趨勢科技發表一份關於Nefilim勒索病毒集團的研究報告,報告中詳細說明最新勒索病毒攻擊的深入分析與洞見,包含勒索病毒集團的最新發展、他們如何躲避偵測,以及企業如何利用進階多層式偵測及回應為核心的威脅防禦平台來攔截這類威脅。
最新勒索病毒家族的犯案手法,讓原本就已疲於奔命的資安營運中心(SOC)和IT資安團隊,更難偵測及回應這類威脅。這不僅影響到企業的獲利能力和商譽,更影響到SOC團隊日常維運。
在該報告從2020年3月至2021年1月所研究的16個勒索病毒集團當中,已知受害者數量最多的四大集團分別為:Conti、Doppelpaymer、Egregor及REvil。而竊取資料最多的是Cl0p集團,前後共5TB資料存放上線上。
Nefilim專門攻擊營收10億美元以上的企業,是勒贖獲利中位數最高的勒索病毒集團。如報告中指出的攻擊通常包含以下幾個步驟:
- 突破防線:利用登入憑證強度上的弱點,攻擊暴露在外的RDP服務,或對外的HTTP服務。
- 一旦潛入企業,就利用合法工具在網路內部橫向移動,尋找高價值系統,然後竊取資料並將資料加密。
- 利用Cobalt Strike以及一些可穿越企業防火牆的網路通訊協定(HTTP、HTTPS、DNS)來建立回傳及掌控機制。
- 採用防彈主機代管服務來架設幕後操縱(C&C)伺服器。
- 竊取重要資料,並威脅將資料公布至TOR網路的網站上,以此勒索受害者。Nefilim去年大概發布2TB的資料。
- 當竊取資料累積到一定數量,駭客就會手動啟動勒索病毒程式並加密檔案。
趨勢科技先前就曾提出警告,一些合法的工具將廣泛遭到駭客利用,如:AdFind、Cobalt Strike、Mimikatz、Process Hacker、PsExec以及MegaSync,這些工具不僅將成為勒索病毒攻擊的幫兇,更會讓駭客不容易被發現。而這對於通常各自負責不同環境的SOC分析師來說更是個挑戰,由於看到的事件記錄不同,很難掌握威脅的全貌並察覺攻擊的存在。
Trend Micro Vision One可監控並交叉關聯多個防護層上的可疑行為,涵蓋端點、電子郵件、伺服器及雲端工作負載,不讓駭客躲在任何死角。如此一來,資安團隊就能提升事件回應速度,在對企業造成嚴重影響之前能迅速阻斷攻擊。
趨勢科技網路犯罪研究總監 Bob McArdle 表示,最新勒索病毒攻擊運用進階持續性滲透攻擊(APT)集團長期磨練出來的方法,因此非常具針對性、適應性及隱密性。像Nefilim這樣的集團會藉由竊取資料與鎖住企業關鍵系統來勒索一些獲利頂尖的全球企業。這份最新的報告對於每位想要徹底了解這急速成長的地下經濟,以及想知道Trend Micro Vision One如何協助企業加以反擊的企業人員來說,都是一份必讀資料。