資安業者趨勢科技今日發表一份關於「Nefilim」勒索病毒集團的研究報告,Nefilim 專門攻擊營收 10 億美元以上的企業,是勒贖獲利中位數最高的勒索病毒集團。
趨勢科技網路犯罪研究總監 Bob McArdle 表示,最新勒索病毒攻擊運用了進階持續性滲透攻擊(APT)集團長期磨練出來的方法,因此非常具針對性、適應性及隱密性。像 Nefilim 這樣的集團會藉由竊取資料與鎖住企業關鍵系統來勒索一些獲利頂尖的全球企業。
報告顯示,Nefilim 的攻擊通常包含以下幾個步驟。首先是突破防線,利用登入憑證強度上的弱點,攻擊暴露在外的 RDP 服務,或對外的 HTTP 服務。而一旦潛入企業後,就利用合法工具在網路內部橫向移動,尋找高價值系統,然後竊取資料並將資料加密。
接著,Nefilim 會利用 Cobalt Strike 以及一些可穿越企業防火牆的網路通訊協定 (如 HTTP、HTTPS、DNS)建立回傳及掌控機制;同時會採用防彈主機代管服務來架設幕後操縱(C&C)伺服器。
最後,Nefilim 在成功入侵之後,便會竊取重要資料,並威脅將資料公布至 TOR 網路的網站,以此勒索受害者。Nefilim 去年大概發表 2TB 的資料;而當竊取資料累積到一定數量,駭客就會手動啟動勒索病毒程式並加密檔案。
趨勢科技先前就曾提出警告,一些合法的工具將廣泛遭到駭客利用,像是 AdFind、Cobalt Strike、Mimikatz、Process Hacker、PsExec 以及 MegaSync,這些工具不僅將成為勒索病毒攻擊的幫兇,更會讓駭客不容易被發現。而這對於通常各自負責不同環境的 SOC 分析師來說更是個挑戰,由於看到的事件記錄不同,很難掌握威脅的全貌並察覺攻擊的存在。
報告強調,最新勒索病毒家族的犯案手法,讓原本就已疲於奔命的資安營運中心(SOC)和 IT 資安團隊,更難偵測及回應這類威脅;這不僅影響到企業的獲利能力和商譽,更影響到 SOC 團隊日常維運。
(首圖來源:趨勢科技)
