勒索病毒演進深入剖析:商業模式改變背後的誘因 (中篇)
本系列三篇部落格深入剖析勒索病毒(勒索軟體,Ransomware) 商業模式的演進 (從早期發展到最新趨勢)。 勒索病毒已經變成一種越來越具破壞力的存在,對所有產業、所有規模的企業都造成危害。如果不了解這種惡意手法背後的傳統,想要對抗它可能會覺得難上加難。
在第 1 篇當中,我們討論了勒索病毒過去的演進,看看勒索病毒集團如何隨著這項威脅的演變而調整他們的手法。本篇將探討網路犯罪集團商業模式改變背後的誘因。
典範轉移的誘因
網路犯罪集團是精明且適應能力強大的一群,他們能快速修正商業模式來因應資安情勢的變化。以下是幾個可能促使他們小幅修正或徹底改變勒索病毒營運方式的誘因:
⭕️ 執法機關越來越常破獲勒索病毒集團活動
執法機關與資安研究人員一直在對抗勒索病毒集團,跨國的犯罪集團破獲行動,以及電腦專家日以繼夜的監控,對這類惡意程式的散播形成一股不小的威脅。
而上述一切的努力都是為了讓駭客更難施展,並且在犯罪集團內部製造一股恐慌,也許有人是執法機關或資安研究人員派來臥底的。
⭕️ 政府對虛擬加密貨幣的規範
虛擬加密貨幣的出現,讓高度匿名的跨國金流成為可能,大大鼓勵了網路犯罪集團散播勒索病毒。因此,對數位貨幣的使用及流通加以適當管制,有助於遏止這類活動,降低其財務報酬。
虛擬加密貨幣規範勢必將帶來一定的衝擊,讓洗錢更變得更加困難。
⭕️ 更多勒索病毒相關的制裁以及底層服務
作為外交政策的一種手段,世界各國已針對違反的個人和機構實施經濟制裁。聯合國 (UN) 和美國財政部海外資產控制辦公室 (Office of Foreign Assets Control,簡稱 OFAC) 是負責維護制裁名單的兩個主要單位。
某些勒索病毒集團已經被列入制裁名單,一些對其提供支援服務的機構 (如虛擬加密貨幣交易所) 也同樣被點名。不過可預料地,這些制裁對勒索病毒的影響有限。
⭕️ IT 資安情勢的轉變與移轉至雲端
隨著越來越多企業移轉至去中心化資料中心與遠距上班模式,勒索病毒集團的營運勢必也會出現困難。不過,同樣可以預料的是,這些集團也會採取應變措施,試圖找尋雲端伺服器的漏洞。
⭕️ 可憐的營運資安 (OpSec) 團隊面臨業務重新評估
即使是勒索病毒服務 (RaaS) 集團也無法避免犯下一些營運上的資安錯誤。我們團隊最近發現了幾個隱身在 Tor 上的 RaaS 網站因為一些常見的錯誤 (如暴露過多非必要的服務以及存取管理不當) 而讓我們查出它們的 IP 位址。
有幾個知名的 RaaS 集團已經被執法機關或資安研究人員駭入長達數個月之久。因此,我們預料這些集團應該會提升他們的營運安全。
未來勒索病毒將如何演變?
近年來,勒索病毒已經成為一項普遍且充滿挑戰的威脅。從政府機關和醫療機構,到私人企業和關鍵基礎設施,沒有任何機構能倖免於這類網路攻擊的荼毒,而不斷攀升的贖金,也讓企業機構變得脆弱。
不過,勒索病毒威脅在 2022 年似乎有緩和的跡象,但這並不意味著眼前的問題將憑空消失,反倒是,勒索病毒很可能只是隨著時間緩慢演進,但最終可能發生革命性變革,出現某種我們從未見過的精密攻擊。隨著駭客不斷磨練自己的技巧,他們也可能變得更加理性、且更專業,例如,一方面發動攻擊,一方面提升營運安全。
近期一些報告指出,國家級駭客也在使用勒索病毒,原因當然不是為了錢。長久以來,國家級駭客一直將勒索病毒當成煙霧彈使用來掩蓋他們真正的意圖:執行間諜活動或破壞行動,像這樣的活動預料在未來短期之內仍將延續下去。
除此之外,其他的演進方向還有:採用更多零時差漏洞攻擊以及攻擊雲端基礎架構,這或許會讓勒索病毒甚至更難防範,這一點可能大大影響其將來的成功率。
在勒索病毒集團持續調整犯罪商業模式的過程當中,勢必會試圖尋找提升獲利的方式。所幸,針對這類動機,我們可事先預測其演進方向並預做準備。了解勒索病毒創新背後的動力之後,我們就能搶先一步防範瞬息萬變的威脅情勢。
接下來在本系列的最後一篇,我們將討論勒索病毒商業模式的短期與長期未來,以及這對企業的意義為何。
◉ 延伸閱讀: