付完贖金解密才發現又一層!網路驚現採取「雙重加密」新手法的勒索軟體

作者 | 發布日期 2021 年 05 月 20 日 8:00 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


勒索軟體攻擊團體始終採取「多多益善」(more-is-more)的方法。如果受害者支付贖金,然後照常營運,攻擊者之後可再度攻擊。再不然,不只是加密目標系統,而是先竊取資料,即使不付錢了事,也可以威脅若不付贖金,就會將機密資料洩漏光光。最近是否有什麼最新勒索威脅的升級手法嗎?的確有,那就是勒索軟體駭客會同時對受害者資料雙重加密。 

雙重加密攻擊以前就發生過,通常是由兩個不同的勒索軟體同時劫持一位受害者造成。但防毒公司 Emsisoft 表示,意識到數十起事件中,同惡意攻擊發動者或團體,刻意將兩種類型的勒索軟體疊加。

「這些團體一直努力找出最好的攻擊策略,用最少工夫賺到最多錢。」Emsisoft 威脅分析師 Brett Callow 表示。「正是基於這樣的攻擊策略,我們看到一個攻擊發動者會開始部署兩種類型的勒索軟體。受害者以為解開自己的資料,卻發現根本沒有完全解密。」

雙重加密勒索攻擊讓資料復原之路更漫漫

有些受害者會同時收到兩封勒索信,Callow 表示,這意味著駭客希望受害者知道他們採取雙重加密攻擊。但在其他情況下,受害者只會看到一封勒索信,且只有支付解開第一層加密的贖金後,才知道還有第二層加密。

「即使標準單次加密勒索軟體攻擊案例,想要恢復正常也勢必像經歷噩夢。」Callow 說:「但是這種雙重加密策略頻繁到組織考慮自身應變之道時,要特別注意到這點。」

Emsisoft 已確定目前有兩種截然不同的攻擊策略。首先駭客先用勒索軟體 A 加密資料,然後透過勒索軟體 B 對資料再加密一次。另一種攻擊之道就是 Emsisoft 所謂的「並行加密」(Side-by-side Encryption)攻擊,這種攻擊先用勒索軟體 A 對組織某些系統加密,然後再用勒索軟體 B 加密其他系統。在這種情況下,雖然資料僅加密一次,但受害者需要兩個解密金鑰解鎖所有內容。研究人員還注意到,並行情況下,攻擊者會採取使兩種不同勒索軟體看起來盡可能相似的步驟,因此事件應變人員很難弄清楚到底發生什麼事。

勒索軟體攻擊團體經常以收入分潤的模式運作,小組之一建立並維護一系列勒索軟體,然後將攻擊基礎設施出租給發動特定攻擊的附屬團隊。Callow 說,透過讓想發動攻擊的用戶端,與兩個提供不同類型惡意軟體的團體協商分割,雙重加密手法就適合這種模型。

機密資料備份還原能力才是阻擋新型勒索軟體攻擊的唯一解方

是否支付數位贖金,無異是既棘手又重要的問題。選擇支付贖金的勒索軟體受害者必須警覺的是,攻擊者實際上會有不提供解密金鑰的可能性。最需注意的是,雙重加密策略的興起勢必又增加額外風險,因為受害者即使支付贖金,並解密文件一次,然後卻發現還需要為第二個解密金鑰再付一次贖金。也因為如此,雙重加密威脅使企業掌握備份還原能力的重要性更甚以往。

「備份還原是漫長而複雜的過程,但雙重加密並不會更複雜。」Callow表示。「如果你決定透過備份重建,那麼就要改弦更張、重新開始,因此舊資料加密多少次無所謂。」

對打從一開始就沒有足夠備份或不想花時間從頭開始重建系統的勒索軟體受害者來說,雙重加密攻擊無異構成額外威脅。但如果受害者對雙重加密攻擊的恐懼,強烈到反而降低全額支付贖金的可能性與意願,攻擊者可能會放棄此新攻擊策略。

(首圖來源:Emsisoft