微軟的威脅保護情報(Threat Protection Intelligence)團隊在上週提出警告,人為操縱的勒索軟件活動,對企業造成的威脅日益增加,也是今日網絡攻擊中最具影響力的趨勢,有別於自動散佈的勒索軟件,這些操作勒索軟件攻擊行動的黑客們,通常具備廣泛的系統管理知識,也熟悉常見的網絡安全錯誤配置,可進行徹底的偵察,並因應系統狀況展開攻擊。
該團隊長期觀察特定勒索軟件與相關攻擊活動,找出了重疊的攻擊方式,以與外界分析,同時強調相關的攻擊皆可預防及檢測。
調查顯示,人為操縱的勒索軟件攻擊活動通常可在網絡中暢行無礙,黑客危害了具備高權限的帳號,繼之擴充權限,或使用憑證傾倒技術入侵網絡,相關的攻擊活動,經常始於諸如金融木馬或其它不太複雜的惡意程序,它會觸動組織內部的偵測警告並被防毒解決方案阻擋,但繼之黑客會部署不同的有效載荷或使用管理權限來關閉殺毒軟件,以避免引起任何注意。
例如有一個非常活躍的 PARINACOTA 黑客集團,平均每週攻擊 3 到 4 個組織,該集團在受害電腦上植入的惡意程序與時俱進,從挖礦程序、傳送垃圾郵件或是將受害設備變成殭屍電腦,到現在則以 Wadhrama 勒索軟件為主。
PARINACOTA 最常以暴力攻擊曝露在網絡上的遠端桌面協定(RDP),入侵服務器後即可於組織網絡中,橫向移動或企圖轉移到外部網絡,以擴大攻擊目標,繼之關閉安全解決方案、竊取憑證、植入後門,再部署其它惡意程序和勒索軟件。
另一個近來因贖金高達數百萬美元而知名度大增的勒索軟件為 Doppelpaymer。Doppelpaymer 的攻擊鏈同樣是從暴力破解 RDP 開始,也會使用金融木馬,成功入侵組織後再竊取憑證並擴張權限,並在網絡中游移,也會關閉網絡中的安全服務,再部署勒索軟件。
專門鎖定大型企業及政府組織的 Ryuk,也成為微軟追蹤的重點。Ryuk 一開始是通過電子郵件自動散佈,但後來就被黑客相中而成為人為操縱的工具,黑客先是通過 Trickbot 金融木馬入侵組織,接著也是安裝其它惡意程序、竊取憑證,直至最終完成 Ryuk 勒索軟件的部署。
上述人為操縱的勒索軟件攻擊行動都有一些共同點,像是它們都先以與勒索軟件無關的惡意程序進行感染,企圖關閉安全機制,竊取憑證,在企業網絡中橫向移動以偵察或擴大感染範圍,從開始到成功部署勒索軟件的時間,可能長達幾周甚至幾個月,值得注意的是,有時就算被黑的組織已經支付了贖金,但黑客可能依然通過勒索軟件以外的惡意程序進駐在組織中,這也是同一目標會被重複攻擊的主因之一。
因此,微軟威脅保護情報團隊建議組織的 IT 管理人員,不要輕忽惡意程序警報,因為它們可能是黑客正在展開攻擊的前奏,也應強化網絡資產的安全性,監控暴力破解事件與安全日誌,啟用安全服務的篡改保護機制,或是善用雲端或防火牆等信息安全服務等。
閱讀更多 AI智慧 的文章
