最新消息與洞察
NEITHNET 資安實驗室
回顧2023年勒索軟體事件,從大型企業到一般民眾,幾乎無人能夠完全置身事外。2023年,我們見證了幾起轟動全球的勒索軟體攻擊事件,這些事件不僅對受害企業造成了重大經濟損失,也對全球供應鏈造成了深遠的影響。在台灣則有幾起針對知名高科技製造業和關鍵基礎設施的攻擊,引起了政府和企業對於網路安全的高度重視。我們從Cyberint的報告中[註1]可以觀察到2023年下半年的勒索軟體活躍度變化(如下圖一、圖二)。
從圖中資訊可以看到除了領先的 Lockbit3 之外,其他勒索病毒的家族各有消長。而從Chainalysis的報告[註2]中也可以看到一些有趣的現象(如下圖三)。Cl0p 是勒索病毒中的一個分支,其攻擊方式被稱為「big game hunting」(大型狩獵)。這種策略的特色相對於其他菌株攻擊次數較少,但每次攻擊都會索要大筆贖金。Cl0p 利用零日漏洞對許多財力雄厚的大型組織受害者進行集體勒索,這種策略驅使攻擊者選擇將資料外洩而非加密的策略。
大型狩獵已成為過去幾年攻擊的主流策略,勒索軟體支付額在 100 萬美元或以上的佔比例越來越大。Cl0p 在 2023 年最具影響力的攻擊是對 MOVEit 零日漏洞的利用,MOVEit 是許多 IT 和雲端應用程式使用的檔案傳輸軟體,該漏洞同時暴露了數百個組織和數百萬人的資料。從 2023 年 5 月開始,Cl0p 開始利用 MOVEit 漏洞瞄準大量受害者。由於受害者數量龐大,若將受害者的檔案加密並將解密金鑰分發給付費的受害者,在後勤運作上是不切實際的。而以資料外洩的方式,在不阻止存取的情況下竊取資料並威脅將其發布給公眾,這樣做法證明是更有效的,如此可以避免密鑰被破解的情況。Cl0p 的 MOVEit 攻擊活動使其一度成為整個生態系統中最突出的病毒,累積超過 1 億美元的贖金,佔2023年 6 月的勒索軟體總損失價值的 44.8%、7 月的 39%。
而在勒索軟體即服務 (Ransomware as a Service, RaaS) 的生態中,我們也看到Chainalysis的報導中[註2]發現初始存取掮客(Initial Access Broker, IAB)與其他勒索病毒之間的金流(如圖四)。IAB通過滲透潛在受害者的網絡,以低至幾百美元的價格將存取權限出售給勒索軟體攻擊者。研究發現IAB的資金流入與勒索軟體支付快速增加之間存在相關性,這很可能表示監控IAB並允許潛在的干預,可以提供早期預警訊號並減輕攻擊。IAB與RaaS兩者的結合,使得勒索軟體攻擊成功所需的技術門檻大幅降低,對網路犯罪組織來說是一種有效的商業模式。
勒索軟體攻擊情勢在2023年有了重大變化,尤其是 RaaS 的助長,使得勒索攻擊蔓延得更廣、更快速。 面對詭譎多變的網路威脅,我們不能被動的坐以待斃,企業組織不僅應加強資安觀念教育、落實嚴謹的防火牆規則與資料存取的權限控管,更需要積極增補缺乏的資安防護方案,從雲端、內網、端點,由外到內,即時監控企業網路活動中可疑的存取行為,便能即早一步阻止入侵行為及擴散的發生。
參考資料:
註1:Ransomware Trends Q4 2023 Report https://cyberint.com/blog/research/ransomware-trends-and-statistics-2023-report/
註2:Chainalysis https://www.chainalysis.com/blog/ransomware-2024/
註3:Intelligence Reports https://www.recordedfuture.com/research/intelligence-reports
更多資安訊息及防護策略,歡迎與NEITHNET資安專家聯繫:info@neithnet.com