兩家美國資安公司號稱有「特殊技術」幫企業解決勒索軟體問題,被揭露其實是瞞著客戶代繳贖金

作者 | 發布日期 2019 年 05 月 27 日 8:30 | 分類 網路 , 資訊安全 follow us in feedly


2015~2018 年,叫 SamSam 的變種勒索軟體席捲北美及英國,造成超過 200 家公司、3 千萬美元以上的損失。犯罪者很聰明的鎖定醫療機構及大眾資源服務機構,因為很清楚如果這些機構的電腦關閉,可能導致人命相關損失。據估計,勒索者至少收到 600 萬美元以上贖金。不過,這起案件中意外發現,有兩家所謂的資安公司在趁火打劫。

勒索軟體的變種不斷增加,SamSam 是其中一種,但是此程式的與眾不同之處是能透過未更新修補程式的伺服器端軟體接觸目標。 重點是,犯罪趨勢越來越嚴峻,勒索攻擊時直接鎖定企業。近期攻擊已大有斬獲,這表明網路罪犯改變方式,因為想透過攻擊脆弱的企業獲取最高的利潤。

紐約一間號稱提供客戶解決勒索軟體方案的資料安全公司 Proven Data,前員工 Jonathan Storfer 爆料,一年以上的時間這間公司其實都定期支付贖金給 SamSam 駭客,他就是負責和駭客打交道的人。

雖然比特幣支付有匿名且很難追蹤,不過 ProPublica 追蹤了其中 4 筆交易,證實 2017~2018 年,一個由 Proven Data 控制的線上錢包將比特幣轉交給攻擊者控制的錢包,之後又經過多達 12 次轉移,最後交給一個伊朗駭客控制的錢包。

「這麼大量的勒贖攻擊來自恐怖分子及組織犯罪並不令人驚訝,」Storfer 表示,「問題是,如果每次我們被 SamSam 攻擊,每次我們機構去支付贖金(這毫無疑問有風險),是不是技術上表示我們在資助恐怖分子?」

Proven Data 公司聲稱透過他們「最新研發的技術」,可幫助客戶恢復被勒索的資料,幫他們解鎖。但 Storfer 透露,事實上他們是透過支付贖金的方式,從攻擊者處取得解鎖工具。

靠支付贖金賺錢的安全公司不只一家,另外一間位於佛州的美國資安公司 MonsterCloud,也是號稱有獨特技巧讓資料恢復,但這方法實際上就是支付贖金。

這兩間公司的收費都是以勒索金額的最高金額起跳,然後他們再跟受害者建議,為了未來不再遭受勒索病毒攻擊,建議客戶再購買其他防護方案等等,等於剝被害者兩層皮。

與這兩間公司的欺騙方式對照,還有一間公司叫 Coveware,則是公開表示能幫助受害者,如果願意支付贖金卻不知道如何支付比特幣,或是不想(有些是不能,因本身是政府組織)直接跟駭客打交道,他們願意協助。Coveware 就一邊幫忙支付比特幣贖金,並蒐集駭客的資料,再與政府單位及安全研究單位分享。

Coveware CEO 表示,像 Proven Data、MonsterCloud 這類公司,只要在網上刊登廣告,號稱「不需支付任何贖金給駭客就能幫你資料解密」,就能輕易綁架受害者的情緒,然後讓受害者買單。

他表示:「雖然這種做法有時的確可以解決問題,但牽涉到道德及誠信問題。」

MonsterCloud CEO Zohar Pinhasi 則表示,幫助客戶恢復資料的方法非常複雜,每個 Case 都不同。他拒絕討論公司使用哪些方法,表示這些是商業機密。不過他也說,MonsterCloud 從未誤導客戶,也從未承諾透過特定方法一定能幫客戶百分百恢復資料,因為這根本就不可能。

「我們之所以恢復客戶資料的達成率這麼高,在於我們瞭解攻擊者的手法」,他表示:「受害者不該自己跟駭客接觸支付贖金,因為他們不知道在跟誰打交道。」

至於 Proven Data,則在網站寫著:不建議客戶直接支付贖金,因為可能是資助犯罪行動。

不過 CEO 回覆 ProPublica 的詢問時則承認,支付贖金是作業流程之一。因為公司的任務是:保護客戶資料、確保檔案可恢復、歹徒不會再提高贖金。通常他們當然會先試著用自己的方式恢復客戶資料,但當駭客的勒索方式加密強到一定程度(通常專業駭客做的勒索軟體都一定會強到這種程度),他們就會支付贖金。畢竟客戶中有些是醫院,有病患的生命需要保護。

他也表示,政府部門指出 SamSam 背後是伊朗恐怖分子時,他們就停止支付贖金了,因為這違反美國法律。

事實上,沒有任何一條美國法律禁止受害者支付贖金給勒索軟體作者。如果你跟 FBI 說要支付贖金,他們會做做樣子對你皺眉,然後私下眨眼暗示你「去付吧!」

FBI 發言人曾對支付贖金一事表示,「支付贖金是鼓勵犯罪,導致產生更多受害者,以及贖金可能會用在更嚴重的犯罪活動」,但 2015 年,當初說這些話的探員在 FBI 波士頓舉辦的研討會表示,其實他們經常建議受害者乾脆「支付贖金了事」。

(本文由 T客邦 授權轉載;首圖來源:Flickr/Dennis Skley CC BY 2.0)