企业信息安全应对勒索软件的攻击难度提升

不同等级的勒索软件在不同企业中的应用

其实，关于勒索软件的散播，不管是DoppelPaymer，或是 conti，以及类似的Ruyk，都是透过像是 Dridex、Trickbot或是Emote对外散布 ，其中，最早出现在去年七月的Conti勒索软体，专门锁定金融及教育产业、私人企业、政府部门，健康及医疗产业，大型与中小型企业，几乎都可以预见勒索软件， 像是攻透过Dridexn散布的DoppelPaymer（攻击鸿海） ，或是其他常见的Egregor，Maze 勒索软件，下面还包括其他类似的勒索软件，像是Netwalker、 Revil（外传攻击宏暮电脑Acer的黑客集团）、透过Emoteti 散布的Ryuk，以及透过Dridex 散布的、攻击卫服部的Globelmposter等，都是属于又资深、规模又大的第一级勒索软件，第二级则是规模次之、较为新进的勒索软件， 常见的Conti、WastedLocker， 或是其他的Avaddon`lOCP、Clop Darside`Pysa/Mespinoza`Ragnar Ranzy 、SunCryptThanosi都归于此类，第三级则是更新、规模小也比较不常见的勒索软件， 包括：Cvartk，Exorcist， Gothmog`Lolkek，Muchlove，NemtyRush ，Wally`XINOF和Zeoticus等 。

勒索软件应用四步骤

而上述每一级的勒索软件，都会利用其网络犯罪集团的黑产供应链，目的就是要逼受黑企业支付赎金，因为勒索软件持续进化，现在进入勒索软件2.0 的时代，黑客追求更聪明、更快，更有效率，希望做到在最短时间内，加密最多档案以达到最大破坏力，他说：「勒索软体2.0更是实践档案加密最佳化的案例，」

随着勒索软件2.O发展，勒索软件也升级 SEEL四部曲，先「偷（Steal）」 ，接着「加密（Encrypt）」，之后「勒索（ Extort）」，最终「外泄（Leak）」 ，

偷的部份，主要是使用APT手法入侵，攻击大部分人为操作部分， 锁定单位AD

（目录服务）主机，锁定重要瓷料，例如HR、SAP REP 、MES，财会系统等数据，再传输到云端硬盘。紧接着加密部分，在AD 服务器部署加密程序，并在AD设定定时炸弹，实施档案加密阶段；勒索的作法则包括：在暗网外泄相关档案数据的信息后，寄给受黑企业人员相关勒索讯息，并同步持续藕取企业资料；外泄则像是挤牙膏一样，逐步泄漏企业资料，也会公布外浅瓷料进度比例，

黑客与企业之间的勒索金的较量

不过，他也说，黑客为了达到逼迫受黑企业支付赎金的目的，在勒索软件加密企业电脑后，黑客也会针对受黑企业的IT、 信息安全或CSIRT人员广发信件，并威胁企业如果不付赎金的话，就会在暗网公布外泄数据，而这种加密数据又威胁外泄数据的作法，称之为双重勒索，不过，当企业在暗网外泄数据达百分之百后，企业的数据就成为开放数据，网络上都可以找回来，但多数企业都等不到这个时候，也无法接受这样的建议，因为黑客背后通常是庞大的组织，很难对锁定攻击的企业收手，除非，黑客打不赢受黑企业常见的勒索软件攻击流程以分成三层，最上游是指黑客组织透过傀儡网络散布勒索软件， 例如Emotets或是Trickbota等；中游则是勒索软件供应商 ，像是Conti、Ryuk， 或是BazarLoader等，虽然上游之一的 Emotet被执法单位抄底，但这些勒索软件供应商可以再找其他的MaaS 平台上架；下游是指整个勒索即服务流程中的受黑企业。

暗网有很多兜售勒索软件的一站式服务，把勒索软件当成一种服务贩售，也就是Ransomware-as-a-Service（勒索软件即服务） ，黑客不仅可以自己产生加密密钥、躲避侦测组合，还可以自定勒索信息和选择想要加密的档案类型，勒索软件依照规模可分成三类，第一级属于组织大，演化许久的勒索软件，第二级则是规模次之、较为新进的勒索软件，第三级则是更新、规模小也比较不常见的勒索软件。