駭客集團勾結獲利!醫療業成勒索病毒苦主,看準受害者怕曝光心態

2020.02.26 by
蔣曜宇
駭客集團勾結獲利!醫療業成勒索病毒苦主,看準受害者怕曝光心態
shutterstock
過去幾年盛行的勒索病毒,到今年變更加成熟,不僅鎖定政府機構來獲利、更相互結盟索取更高額贖金。加上BEC與供應鏈攻擊,未來的資安場域依舊危機四伏。

2019年的資安威脅變得更具有針對性!資安大廠趨勢科技的2019年資安總評報告指出,隨著勒索病毒犯罪集團開始結盟、犯罪獲利模式變得更穩定,目標性勒索病毒成為駭客愛用的手法,主要攻擊對象包含政府機關、醫院與教育機構等,藉以獲取鉅額贖金。

此外,企業郵件詐騙(BEC)依舊猖狂,雖然整體被偵測到的釣魚網址相關連結有下降,推測是因為部分企業將內部聯繫方式從郵件轉換到Slack等企業溝通軟體上,不過資料也發現BEC的目標開始瞄準基層員工,學校內也看到越來越多教授的身份開始遭到駭客模仿。

勒索病毒穩定成長,高獲利促使駭客集團相互結盟

趨勢科技發現,去年勒索病毒的數量成長10%,最主要的攻擊對象屬醫療業,有超過700家醫療機構遭到攻擊。此外,公家機關與教育機構也成為攻擊標的,光去年一年就有超過110個美國州政府及市政府機關和單位受到勒索病毒襲擊。

值得注意的是,駭客集團開始鎖定目標攻擊並且獲利的趨勢,是因為越來越多機構願意支付贖金,儘快恢復系統運作。 一方面是因為機構不想要讓系統遭入侵的消息曝光,加上勒索病毒攻擊的相關保險機制越來越成熟 。舉例來說,去年七月美國印第安那州政府就曾支付23萬美元(約新台幣700萬元)的贖金,其中有一半左右是由保險支付。

知名勒索病毒Wannacry,就會加密資料,跳出視窗來要求受害者繳付贖金。
Unwire.pro

此外,也有越來越多新的勒索病毒出現,並展現強制加密檔案以外的攻擊特性。包括將所有目標電腦中受影響的檔案複製到駭客方的電腦中的Maze勒索病毒,以及強制Windows電腦重新開機並進入安全模式來規避安全軟體偵測的Snatch病毒。

趨勢科技全球威脅通訊總監Jon Clay認為,勒索病毒的興起是數位轉型所帶來的副作用之一。他指出,許多企業加速數位轉型,但資安的建置卻常常淪為事後的亡羊補牢,為網路犯罪集團敞開一扇大門。資安意識與習慣的缺乏、作業系統過時的老舊設備系統以及未及時修補漏洞的情況,都成為勒索病毒滋長的溫床。

如今, 為了加速勒索病毒的獲利模式,勒索病毒犯罪集團之間更在 2019 年開始結盟。 例如,Sodinokibi 勒索病毒背後的多個犯罪集團就對美國德州 22 個地方政府機關發動一波總贖金高達 250 萬美元(約新台幣7,600萬元)的聯合攻擊行動。

趨勢科技並發現,網路犯罪集團開始經營所謂「存取服務」(access-as-a-service) 的商業模式。歹徒將受害機構的網路存取權限當成一種服務來出租或販售,價格從 3,000 至 20,000 美元不等,最高等級的服務提供了目標企業伺服器和虛擬私人網路 (VPN) 的完整存取權限。

郵件詐騙不只騙老闆,基層員工也可能受害

企業郵件詐騙(BEC)依舊是駭客最愛的手法之一,BEC是一種透過假扮某特定目標在公司裡的上司來騙取他們進行匯款等行為。趨勢科技指出,2019年全球每月有超過2億活躍用戶使用Microsoft Office 365的郵件服務Outlook,這也促使駭客繼續從中騙取利益。

不過,隨著Slack與其他的新興企業內部溝通軟體興起,去年度趨勢科技攔截下的與BEC相關的釣魚連結也從2.69億個下降到1.94億個,下降約27%。不過, 駭客也開始擴大打擊面,開始鎖定更基層的公司員工。

2018年底,趨勢科技就曾預測由於BEC詐騙過度集中於管理階層,之後的駭客會漸漸開始鎖定更下層的員工。根據最新資訊,雖然依舊有28.9%的攻擊鎖定公司的財務長,去年也開始出現針對公司基層會計(4.4%)與學校教授(2.8%)的攻擊,顯示BEC攻擊也開始邁向學校單位。

供應鏈攻擊:電商網站、軟體開發程式受駭客鎖定

供應鏈攻擊也是一大隱憂,供應鏈攻擊是指滲透第三方業者提供的服務來侵入主要的目標企業的攻擊手法,2019年一個叫做Magecart的駭客集團就用這種方式侵入上百個電商網站,透過購物車的第三方金流系統來竊取消費者的信用卡資料。

軟體開發程式的第三方服務也在駭客的攻擊範疇內。駭客透過企業使用的DevOps開發作業流程中的工具或平台來侵入目標企業。舉例來說,DevOps開發中常被使用到的Kubernetes容器作業系統就能被駭客利用,進而將有害檔案植入目標企業內部。另一個容器作業平台Docker,也在去年10月被發現有超過2,000個主機在該平台上遭挖礦蠕蟲病毒感染。

為有效防堵這些攻擊,趨勢科技建議採取一套能夠涵蓋閘道、網路、伺服器以及端點的威脅防禦方法,並給予幾個建議:

一、藉由網路分割、定期備份和網路持續監控來防範勒索病毒。
二、更新並修補系統與軟體來防範已知漏洞。
三、啟用虛擬修補技術,尤其是針對廠商已不再提供支援的作業系統。
四、實施多重認證和最低授權存取原則,防止系統管理工具遭到濫用。

責任編輯:陳映璇

延伸閱讀

每日精選科技圈重要消息