微軟:人為操縱的勒索軟體攻擊愈來愈危險

微軟的威脅保護情報(Threat Protection Intelligence)團隊在上周提出警告,人為操縱的勒索軟體活動,對企業造成的威脅日益增加,也是今日網路攻擊中最具影響力的趨勢,有別於自動散布的勒索軟體,這些操作勒索軟體攻擊行動的駭客們,通常具備廣泛的系統管理知識,也熟悉常見的網路安全錯誤配置,可進行徹底的偵察,並因應系統狀況展開攻擊。

該團隊長期觀察特定勒索軟體與相關攻擊活動,找出了重疊的攻擊方式,以與外界分析,同時強調相關的攻擊皆可預防及檢測。

調查顯示,人為操縱的勒索軟體攻擊活動通常可在網路中暢行無礙,駭客危害了具備高權限的帳號,繼之擴充權限,或使用憑證傾倒技術入侵網路,相關的攻擊活動,經常始於諸如金融木馬或其它不太複雜的惡意程式,它會觸動組織內部的偵測警告並被防毒解決方案阻擋,但繼之駭客會部署不同的酬載或使用管理權限來關閉防毒軟體,以避免引起任何注意。

例如有一個非常活躍的PARINACOTA駭客集團,平均每周攻擊3到4個組織,該集團在受害電腦上植入的惡意程式與時俱進,從挖礦程式、傳送垃圾郵件或是將受害裝置變成殭屍電腦,到現在則以Wadhrama勒索軟體為主。

PARINACOTA最常以暴力攻擊曝露在網路上的遠端桌面協定(RDP),入侵伺服器後即可於組織網路中,橫向移動或企圖轉移到外部網路,以擴大攻擊目標,繼之關閉安全解決方案、竊取憑證、植入後門,再部署其它惡意程式及勒索軟體。

另一個近來因贖金高達數百萬美元而知名度大增的勒索軟體為Doppelpaymer,Doppelpaymer的攻擊鏈同樣是從暴力破解RDP開始,也會使用金融木馬,成功入侵組織後再竊取憑證並擴張權限,並在網路中游移,也會關閉網路中的安全服務,再部署勒索軟體。

專門鎖定大型企業及政府組織的Ryuk,也成為微軟追蹤的重點。Ryuk一開始是透過電子郵件自動散布,但後來就被駭客相中而成為人為操縱的工具,駭客先是透過Trickbot金融木馬入侵組織,接著也是安裝其它惡意程式、竊取憑證,直至最終完成Ryuk勒索軟體的部署。

上述人為操縱的勒索軟體攻擊行動都有一些共同點,像是它們都先以與勒索軟體無關的惡意程式進行感染,企圖關閉安全機制,竊取憑證,在企業網路中橫向移動以偵察或擴大感染範圍,從開始到成功部署勒索軟體的時間,可能長達幾周甚至幾個月,值得注意的是,有時就算被駭組織已經支付了贖金,但駭客可能依然藉由勒索軟體以外的惡意程式進駐在組織中,這也是同一目標會被重覆攻擊的主因之一。

因此,微軟威脅保護情報團隊建議組織的IT管理人員,不要輕忽惡意程式警報,因為它們可能是駭客正在展開攻擊的前奏,也應強化網路資產的安全性,監控暴力破解事件與安全日誌,啟用安全服務的篡改保護機制,或是善用雲端或防火牆等資安服務等。

原文來自 iThome Online