苏州众里数码半导体行业信息安全专家

服务热线:18625216903
苏州众里10余年企业网络安全部署经验

企业信息安全关于勒索软件的讨论

2021-12-24

    一般来说,暗网有很多兜售勒索软件的一站式服务,把勒索软件当成一种服务贩售。也就是Ransomware-as-a-Service (勒索软件即服务)。黑客不仅可以自己产生加密密钥、躲避侦测组合,还可以自定勒索信息和选择想要加密的档案类型。

购买软件去勒索同样具有风险性

这些黑客多来自东欧、乌克兰等地,相关勒索软件即服务看起来人人都可以轻易上手使用,任意发起小规模攻击,还是会有企业付钱。发动一次勒索平均可以获得五颗比特币(25万美金)赎金 。但他强调,这些恶意程序本身都藏有后门程序,一旦使用者启用了该服务去进行勒索,黑客作者不仅知道谁用的,勒索谁,连使用者在哪里都一清二楚。因此,千万不要随便去暗网买个勒索即服务,就觉得可以轻易赚到企业的赎金,其中还是有很高的风险和危险性。

勒索软件

金融木马通过勒索软件发布钓鱼信件进行勒索

以前的金融木马是为了取得银行帐号作为洗钱之用,现在的金融木马却是采用敏捷开发,实践软件迭代开发的病毒。

举例而言,DridexTrickbot Emotet都是常见的金融木马,多年发展下来,程序本身自我混淆和规避侦测技术能力强,持续改良通信构架,像是Dridex 便大量使用VEHVectord Exception Handling )进行程序解密并透过在线软件更新(In Line Patch)方式做动态修改;而许多勒索软件也会透过钓鱼信件发送 传统invoice.zip的钓鱼信件样本,已经持续进化成更符合真实社会、更精准的钓鱼信件,并会在模拟真实的档案中「加料」, 勒索软件多透过傀儡网络散布,年初扫荡Emotet有益于打击声势

 

勒索软件打击工作任重道远

202010 微软曾出手打击Trickbot傀儡网络,当时并没有成功剿灭,, 但今年127日由德国发起的抄底最大规模倪儡网络Emotet 行动中,不仅扫荡相关的命令与控制服务器(中继站)的基础设施,乌克兰更逮捕到两名Emotet系统管理员 证明此次扫荡行动让Emotet大受打击

关于先前鸿海在墨西哥的厂区,遭到黑客集团DoppelPaymer勒索软件的恐吓事件 外传有1,200台服务器遭到黑客绑架并有 20TB30TB的加密数据遭到黑客删除。而实际上来说, DoppelPaymer病毒是BitPaymer勒索病毒的变种 2019年便陆续出现于几起勒索攻击事件中

 

勒索软件攻击和勒索流程

勒索软件攻击若要得逞,我们可以进一步分析常见的入侵手法,一般而言,黑客透过远端桌面帐密及漏洞获取权限后,便在企业电脑中植入Dridex病毒以窃取数据 ,然后,透过永恒之蓝(EternalBlue)或Zerologon 的漏洞在企业内横向移动并取得企业内AD(目录服务)控制权后 ,伺机发动大规模勒索攻击,

黑客集团除加密档案外,也同时恐吓受黑企业用户,如果企业不愿意支付赎金的话,黑客将会在暗网泄漏企业资料,借此恐吓受黑企业支付高额赎金,包括电脑制造业者仁宝科技在内,都是透过Dridex Emotet等垃圾邮件邮件散布勒索程序,另外,工业电脑大厂研华也传出遭到勒索软件 Conti外泄一批3GB的内部资料,这也证实黑客集团为了逼迫受黑企业支付赎金,会外泄部分内部资料,证明他们的确拥有受黑企业的内部数据。

相关推荐
  • 2014.01.05

咨询热线

18625216903