勒索病毒(勒索軟體,Ransomware) 目前已成為一種惡名昭彰又極具破壞力的惡意程式型態,對企業機構、政府機關、醫療產業以及核心基礎設施造成嚴重的財物損失。對駭客集團來說,勒索病毒一直是個非常賺錢的商業模式。不過,我們想了解在長期與短期未來當中,有哪些因素可能造成勒索病毒商業模式的改變。
趨勢科技團隊做了一番徹底的研究來了解勒索病毒的未來,分析它們經歷的各種情況:從聚焦風險評估、躲避執法機關,到設法在經營過程當中尋找更好的賺錢機會。
很顯然地,地緣政治事件 (如 2022 年俄羅斯入侵烏克蘭) 是引發變革的誘因之一。除此之外還有:政府祭出更強力的主動防禦策略、逮捕犯罪集團、制定虛擬加密貨幣相關法規來減少洗錢管道等等。我們相信這些情況都有利於建立一個更不利於勒索病毒活動、進而打擊犯罪集團的環境。
勒索病毒的演進
⚠️ 2005-2010年 假防毒軟體:勒索贖金的惡意程式始祖
在掌握勒索病毒的未來以及它對網路資安的意義之前,很重要的一點就是回顧它多年來的演變過程。
在過去十年當中,勒索病毒攻擊早已成為一項日益普遍的數位威脅。若要更清楚認識這種惡意手法,我們可回顧一下早期一些會勒索贖金的惡意程式,如:假防毒軟體( Fake AV )與 Locker 惡意程式。兩種惡意程式都會挾持電腦上的資料,再利用各種恐嚇手段來要脅使用者付錢。
假防毒軟體在 2005 至 2010 年間尤其猖獗,因為它能成功讓許多人以為自己的電腦中毒 (但根本沒有)。不過這也讓它成功吸引了媒體注意,導致它在駭客之間的受歡迎程度隨時間而逐漸下滑。
⚠️ 2010 年 Locker 惡意程式:將電腦完全鎖住,必須支付「罰款」才能解開電腦
2010 年,Locker 惡意程式的威脅已經相當氾濫。有別於一般專為破壞電腦設計的病毒,此惡意程式會將電腦完全鎖住,讓使用者無法使用,使用者必須支付一筆謊稱是政府「罰款」的費用才能解開電腦。但隨著這類故事在媒體上大量曝光,受害者很快就了解這是騙局。
⚠️ 2015 年加密型勒索病毒:一波要求以比特幣支付贖金的勒索病毒席捲全球
從 2015 年起,勒索病毒開始成為一種家喻戶曉的威脅,專門使用強大的加密演算法將使用者的檔案鎖住,然後要求一筆贖金來解開檔案。這類攻擊非常成功,因為受害者的電腦系統一旦被感染就幾乎求助無門。所以,勒索病毒不論對一般使用者或企業都是一項嚴重威脅。
隨後,一波要求以比特幣支付贖金的勒索病毒席捲全球,這樣的作法能讓駭客躲避執法機關的查緝,而且更容易收受款項。常見的勒索病毒集團包括 CryLock 和 Dharma/Crysis,他們最初的作法是大量散布隨附惡意檔案或下載連結的電子郵件作為惡意程式的主要散布途徑,這麼做通常能避開垃圾郵件過濾軟體,因而能夠無差別地散布。
⚠️ 2019 年現代化勒索病毒:從雙重勒索 (加密、將資料公開) 演變成三重或四重勒索 (加密、將資料公開、DDoS 阻斷服務攻擊、在社群媒體上騷擾受害的客戶和供應商)。
隨著勒索病毒持續演進,駭客的攻擊也日趨針對性。2019 年,新版的惡意程式會利用駭客手法或其他方式來滲透網路。為了尋找珍貴資料,它們會在網路內部四處移動並取得系統管理員權限,最後將資料加密並要求一筆贖金。一些最為人知的變種包括 Conti、Clop 和 LockBit。
今日的勒索病毒攻擊已經進化出一種精密的策略:結合加密與其它手法來逼迫受害者付款,包括將受害者資料一點一點公布在網路上來製造壓力,使得這類威脅不論對企業機構或一般個人都更難防範。
至於勒贖部分,駭客不會只滿足於基本的要求。近年來,勒索病毒攻擊已經從雙重勒索 (加密、將資料公開) 演變成三重或四重勒索 (加密、將資料公開、DDoS 阻斷服務攻擊、在社群媒體上騷擾受害的客戶和供應商)。其最終目標不變,也就是不計代價從贖金中獲利。
勒索病毒所仰賴的關鍵地下服務
勒索病毒已成為網路犯罪複雜生態系的一環,有幾種駭客會在勒索病毒的攻擊階段當中扮演重要角色 (從攻擊前到攻擊後)。這些階段對於攻擊成功與否相當關鍵,因此,認識這些階段對於防範這類災難性攻擊至關重要。
勒索病毒攻擊的幾個階段:
⭕️ 突破防線
駭客經常利用含有木馬程式的惡意電子郵件來入侵網路,並搭配某些社交工程技巧或利用對外連網系統的漏洞來攻擊企業。此外,有些勒索病毒集團還會向一些專門的服務購買企業網路的存取權限,或者自行取得這類存取權限。
⭕️ 橫向移動與提升權限
在這階段,駭客會試著進一步深入受害者的網路,並試圖利用一些標準或客製化的駭客工具來取得更高權限。
⭕️ 將機密資料外傳
在成功橫向移動之後,駭客很可能會取得一些私密資料並試著將資料外傳。此外,也會分析這些偷來的資料以決定該勒索多少贖金,同時也判斷企業是否有投保資安險。
⭕️ 破壞備份系統
駭客會試圖破壞備份流程和系統以降低受害者從備份資料復原系統的機會。
⭕️ 植入勒索病毒程式
在這階段,駭客會在系統植入可能對受害者造成嚴重損害的勒索病毒:將資料檔案加密以及讓 IT 系統無法使用。
⭕️ 勒索贖金
接下來駭客會向受害者勒索贖金。讓企業受害最深的兩點是:受害者只有在支付贖金之後才能拿到解密金鑰,以及駭客威脅如果不支付贖金就要將資料公開。
在接下來的第 2 篇,我們將探討可能導致勒索病毒集團改變商業模式甚至掀起一場勒索病毒革命的一些誘因。