勒索軟體即服務 (RaaS) 是犯罪企業的一種商業模式,允許任何人註冊並使用工具進行勒索軟體攻擊。與軟體即服務 (SaaS) 或平台即服務 (PaaS) 等其他即服務模式一樣,RaaS 客戶租用勒索軟體服務,只要發現目標企業即可隨時發動攻擊。
因勒索軟體攻擊導致業務中斷,受害總額也急劇增加,勒索資安事件不勝枚舉,而且有急速增加的趨勢。台灣企業 2023年揭露的重大資安事件為27家,截至2024年1-6月累計受駭企業家數就已超過2023年全年被揭露的總數量,其中超過90%的案例不僅涉及數據加密,還包括數據竊取和勒索,形成企業營運受阻及支付高額贖金的「雙重勒索」。
台灣是全球科技製造重鎮,許多企業手中都握有國際大廠研發資料,這些資料含金量高,讓台灣企業成為了全球駭客眼中的肥羊。根據資安業者Fortinet統計,2023年亞太區共偵測到9703億次威脅,其中台灣占比逾4成,佔全球第一名,換算下來,台灣被攻擊的次數高達近4000億次,其實形勢相當嚴峻。
- 從我們的分析中得知,勒索軟體的主要侵入途徑共分為三種模式:
- 通過釣魚郵件等感染的設備作為跳板進行侵入;
- 透過VPN(虛擬私人網路)或遠程訪問等後門方式進行侵入;
- 從供應商、交易對手或第三方等其他公司系統進行侵入。
無論哪種方式,其最終目標均是侵入相當於Windows中「Active Directory」的「中央管理伺服器」。
- 勒索軟體的三種主要侵入途徑
就手段而言,越來越多的攻擊針對了軟體的漏洞,2023年,針對廣為人知的商業軟體「MOVEit」與「Zimbra」的脆弱性的大規模攻擊接連發生,被害事件數量激增,除了眾所周知的軟體之外,針對特定行業或業務模式的專用軟體也被利用,還有報告指出,多家賭場透過第三方遊戲供應商的系統作為跳板受到侵害。
目前最主要的三種勒索軟體分別是「LockBit3」、「 ALPHV/BlackCat」及「CLOP」,這些均採用了稱為「RaaS(Ransomware as a Service)」的服務模式運作,已形成明確的分工體系。勒索軟體的製造者,即「RaaS運營商」,會開發名為「建構者」的勒索軟體製作模組並透過網站提供。執行攻擊的實施者被稱為「RaaS聯盟」,他們下載這些建構者並實際發動攻擊。
- 勒索軟體的製作與執行等工作已被分工的RaaS模式
如果企業支付贖金,「其中大部分將由實施犯人獲得,剩餘的2至3成將由RaaS操作員獲得」。除此之外,還有暗中活躍的「存取經紀人」出售遭洩漏的ID/密碼等,以及「MaaS(Mobility as a Service)操作員」散佈惡意軟體。
在RaaS模式下,由於每次攻擊都會獲得新的惡意軟體來實施,攻擊的速度和程度也日益增加,其中超過7成是未知的威脅。
RaaS 模式催生出未知威脅,傳統的因應對策已顯不足 ,我們提出了兩個RaaS模式在因應對策上面臨的課題。
- 第一是傳統的對策已不敷使用。「採用模式檔案或簽章型等『阻止過去曾見過的病毒』的方法無法防範。即使採用在入侵後對應的『EDR(Endpoint Detection and Response:端點檢測與因應)』觀念,但對於勒索軟體來說,等到偵測到時已經為時已晚。」
- 第二是因未能妥善因應而導致再次感染的擴散。「目前的趨勢是預期入侵發生並思考安全防護對策。因此,即使在病毒入侵後能夠封鎖已感染的端點,但是殘留在儲存裝置或備份等檔案中的病毒仍會再次擴散感染。」
隨著生成AI(人工智慧)的出現,惡意軟體將更加多樣化和大量化,與防範方之間的差距恐將進一步擴大。 基於上述,建議在防範勒索軟體攻擊時應注意的5大趨勢:
(1)雙重勒索普及化與戰略轉向以資訊竊取為主:不涉及資料加密的「無病毒勒索」案件增加 。
(2)資訊洩漏手法由洩漏網站轉為新手法:採用鏡射或替代通訊協定等手法 。
(3)針對Linux、VMware ESXi 的勒索軟體增多:以「Rust」或「Golang」編寫的惡意程式難以偵測,且能跨平台運作 。
(4)利用漏洞進行大規模攻擊活動增多:從發現漏洞到部署勒索軟體攻擊的流程已成熟。
(5)運用大規模語言模型(LLM)進行攻擊:可用於製作攻擊輔助工具、惡意程式及散布製造程式庫等。
利用深度學習因應未知威脅的「Deep Instinct」
針對上述5大趨勢,我們提出3點因應對策:
1. 從預期感染或入侵的觀念,轉換為預防威脅入侵或感染的對策 。
2. 加強可視化漏洞並立即因應,包括檢查備份與儲存裝置等環境內的檔案,強化IT管理。
3. 投資能因應利用生成AI或大規模語言模型使攻擊更具規模與精巧的新型安全防護 。
為了對抗「未知威脅」,Deep Instinct 提供採用深度學習技術的預測型安全防護基礎「Deep Instinct」,深度學習引擎,能夠偵測並排除未知的惡意程式檔案,而且誤判率低、掃描與判定速度快,且更新頻率少、操作負擔也輕。Deep Instinct也能從指令碼、PowerShell或任何殼層碼在記憶體中的行為,偵測並阻擋攻擊,即使長時間離線,也能持續掃描並判定檔案是否安全。不僅支援indows、Mac,也支援Linux與工業控制系統,Deep Instinct 是一套可靠阻絕未知威脅的機制。
Deep Instinct參考連結: https://www.qiso.com.tw/#DI
錡碩資訊有限公司
