被攻擊的組織檔案遭到三次加密並收到三份不同勒索註記。攻擊者有可能認知到競爭日益激烈的市場中,存在的『資源』數量是有限的,或是相信對受害目標施加的壓力越大—多次攻擊—受害者付錢的可能性則越大。
新一代網路安全全球供應商Sophos,本月在 Sophos X-Ops 的主動攻擊者白皮書《Multiple Attackers: A Clear and Present Danger多重攻擊者:一個迫切的危機》說明,Hive、LockBit 和 BlackCat 等三個著名的勒索軟體集團連續攻擊同一個網路。每個勒索軟體集團都留下自己勒索的註記,並且部分的檔案還遭受到三次的加密。
當收到三張勒索的註記,您能想像有多糟嗎?
Sophos 資深安全顧問 John Shier 表示:「收到一張勒索的註記就已經夠糟糕了,更不用說收到三張。多個攻擊者經常會使得受駭系統復原程度變得的複雜,困難度高到難以想像,特別是檔案被加密三次。對任何企業而言,愈多個攻擊者事件無一企業可倖免,因此無論企業的規模大小亦或產業的屬性,於網路上的安全都需要具備防禦、偵測和回應因應事件的能力。」
白皮書進一步透漏重疊式的網路攻擊其他案例手法,包括加密挖礦程式、遠端存取木馬程式 (RAT) 和殭屍程式,以往多個攻擊者鎖定同個目標系統時,攻擊通常會持續數月或數年,然而Sophos 白皮書中指出最近的攻擊則是經常發生於數天或數週內 (甚至是同時發生多個攻擊),並且通常攻擊者各自透過不同漏洞的入口點,入侵同一個被鎖定的網路目標系統,由此可知目前攻擊者不但增加攻擊的頻率外,還縮短加速攻擊的時程。
駭客集團彼此間也會為了爭奪資源,而當同時行動進行攻擊時,也會相互阻礙,例如加密挖礦程式通常會消滅與其處於同一個系統上的競爭對手,今日的遠端存取木馬程式曾於公開的論壇上標榜有能力消滅殭屍程式的訊息,然而,最近受害目標的系統出現三個勒索軟體集團的攻擊,系統內最後一個入侵的勒索軟體 BlackCat 不僅刪除了自己的活動足跡,還刪除了另外兩個勒索軟體 LockBit 和 Hive 。在另一個案例,則是受害的目標系統被 LockBit 勒索軟體感染約莫三個月後,據稱與 Conti 相關組織 Karakurt Team 成員則利用 LockBit索 留下的後門,來竊取資料並進行勒索。
勒索軟體集團,也有競與合
Shier 強調:「總體而言,勒索軟體集團之間似乎彼此不怎麼敵對了。就如同 Sophos 白皮書所述,LockBit 並沒有明確禁止自己人與競爭對手合作。雖然我們還沒有找到合作的證據,但有可能攻擊者體認到在競爭日益激烈的市場中,存在的『資源』數量是有限的,或是相信對受害目標施加的壓力越大—多次攻擊—受害者付錢的可能性則越大。也許攻擊者們討論過並同意互惠互利,例如一組人加密資料,另一組負責偷竊。有時,這些團體得要決定是否要合作——是接受合作還是讓自己更強——但是,目前的競爭環境是允許不同團體合作進行多次攻擊的。」
白皮書中指出的攻擊,大多數都是透過未經修補的漏洞入侵開始,其中最值得注意的是 Log4Shell、ProxyLogon 和 ProxyShell,或是設定錯誤、遠端桌面通訊協定 (RDP) 不安全的伺服器。在出現多個攻擊者的絕大部分案例中,受害者並未完全修復初始攻擊,使後來的網路犯罪活動有可趁之機。如相同的 RDP 設定錯誤以及 RDWeb 或 AnyDesk 等應用程式,都會成為後續攻擊入侵的途徑。事實上,有漏洞的 RDP 和 VPN 伺服器是暗網最受歡迎的銷售物件。
結語
最後,在 2021 年開始逐漸看到組織同時成為多個攻擊的受害者的現象,這將可能會是一個趨勢,雖然目前尚未非常多的案例發生,但是企業一但系統的漏洞被發現,對於駭客集團的入侵,無論是單一攻擊或是多個攻擊都有可能竊取企業重要機敏資料,垂手可得,因此,對企業而言除了認知攻擊的手法外,做好企業網路防禦、偵測與因應的部署應首當其衝才是。
註:
Multiple Attackers: A Clear and Present Danger多重攻擊者:一個迫切的危機