科技

亞太攻擊數暴增168%!趨勢科技拆解勒索病毒集團Nefilim,這些合法工具成駭客幫凶

數位時代
更新於 2021年06月10日09:28 • 發布於 2021年06月10日08:14

疫情肆虐,網路攻擊更是甚囂塵上!全球網路安全商Check Point今(10)日發表研究指出,與去年同期相比,亞太區整體於5月的網路攻擊數量驟增168%,且其中增幅最大的惡意軟體類型是勒索軟體和遠端存取木馬(RAT)。而資安龍頭趨勢科技 也針對知名勒索病毒集團Nefilim發表研究報告,分析最新勒索病毒攻擊手法與預防手段。

趨勢科技指出,從2020年3月至2021年1月所研究的16個勒索病毒集團當中,已知受害者數量最多的四大集團分別為:Conti、Doppelpaymer、Egregor及REvil。而竊取資料最多的是Cl0p集團,前後共5TB資料存放上線上。

廣告(請繼續閱讀本文)

而此次公開報告的Nefilim,則是專門攻擊營收10億美元以上的企業,是勒贖獲利中位數最高的勒索病毒集團。 如報告中指出,Nefilim的攻擊通常包含以下幾個步驟:

  • 突破防線:利用登入憑證強度上的弱點,攻擊暴露在外的RDP服務,或對外的HTTP服務。
  • 一旦潛入企業,就利用合法工具在網路內部橫向移動,尋找高價值系統,然後竊取資料並將資料加密。
  • 利用Cobalt Strike以及一些可穿越企業防火牆的網路通訊協定(HTTP、HTTPS、DNS)來建立回傳及掌控機制。
  • 採用防彈主機代管服務來架設幕後操縱(C&C)伺服器。
  • 竊取重要資料,並威脅將資料公布至TOR網路的網站上,以此勒索受害者。Nefilim去年大概發布了2TB的資料。
  • 當竊取資料累積到一定數量,駭客就會手動啟動勒索病毒程式並加密檔案。

趨勢科技先前就曾提出警告,一些合法的工具將廣泛遭到駭客利用,如: AdFind、Cobalt Strike、Mimikatz、Process Hacker、PsExec以及MegaSync ,這些工具不僅將成為勒索病毒攻擊的幫兇,更會讓駭客不容易被發現。而這對於通常各自負責不同環境的SOC(資安營運中心)分析師來說更是個挑戰,由於看到的事件記錄不同,很難掌握威脅的全貌並察覺攻擊的存在。

趨勢科技表示,最新勒索病毒家族的犯案手法,讓原本就已疲於奔命的資安營運中心(SOC)和IT資安團隊,更難偵測及回應這類威脅。這不僅影響到企業的獲利能力和商譽,更影響到SOC團隊日常維運。

廣告(請繼續閱讀本文)

此外,根據Check Point的研究,2021年4月至5月期間,亞太區的網路攻擊增加了53%,其中台灣排名亞太區第五,增加17%;目前平均每間企業每週遭到1,245次攻擊。

因Covid-19疫情關係,近期亞太地區開始實施新一波的居家辦公計畫,意味著攻擊者有更多的安全漏洞可以利用。而這當中,「滾雪球效應」也是其中一項攻擊事件增加的重要原因,當亞太地區的網路攻擊成功機率越高,就有越多的攻擊者鎖定該區域。

而上個月(2021年5月份),增幅最的的產業,就屬公用事業,占比39%、網路服務供應商/託管服務供應商為第二,占比12%,再來則為軟體業(6%)。至於地區排名,則以日本第一、新加坡居次、印尼第三,而台灣則排名第五。

同時,針對一般消費者,Check Point也提供8項建議以利確保安全上網:

  • 檢查收件匣中完整電子郵件地址,並注意拼寫錯誤的超連結。
  • 確認網址的真實性:建議不要直接點擊電子郵件中的網址,應使用Google 搜尋結果頁面中的連結。
  • 警惕相似的網域名稱:注意電子郵件或網站中的拼寫錯誤以及陌生郵件。
  • 採用進階網路安全解決方案防護行動裝置及終端裝置的網頁瀏覽,以防使用者誤入已知或未知的網路釣魚網站。
  • 當帳戶資訊或電匯指示出現任何變化時,採用雙重身份驗證。
  • 切勿將登錄憑證或個人資訊回傳至簡訊或電子郵件。
  • 定期檢視自身財務帳戶。
  • 即時更新所有軟體及系統。

責任編輯:蕭閔云

查看原始文章