勒索攻擊頻傳,趨勢科技今日發表最新研究報告,深入分析背後錯綜複雜的網路犯罪供應鏈,並提出過去兩年需求急速成長,許多網路犯罪市場甚至有自己的「存取服務」(Access-as-a-Service,AaaS)交易專區。
這項研究針對多個英語與俄語為主的網路犯罪論壇,分析自 2021 年 1 月至 8 月間 900 多筆上架的存取仲介服務。若以產業區分,教育是最常出現的主流市場,占所有服務廣告的 36%,製造業與專業服務以 11% 並居第二,比例不到第一名的三分之一。
而報告並指出存取仲介的三種主要類型。第一是隨機型賣家,只想快速獲利,不會花太多時間取得存取權。第二是專業存取仲介,通常是經驗豐富、技術嫻熟的駭客,能提供各種公司的存取權,受到小型勒索病毒集團和組織青睞。
第三則是線上商店,提供 RDP 與 VPN 憑證。這類專營商店只提供單一設備存取,非涵蓋整個網路或組織,然而提供簡便、自動化的交易模式,讓技術能力有限的網路犯罪者也能購買存取權,甚至能以位置、網際網路服務供應商(ISP)、作業系統、通訊埠號、管理員權限或公司名稱搜尋。
趨勢科技指出,多數存取仲介的商品僅為一組登入憑證,來源可能包含外洩的密碼或密碼雜湊的破解;遭入侵的殭屍電腦;遭惡意利用的 VPN 閘道、網站伺服器等資安漏洞;一次性隨機攻擊等。
同時,這類服務定價照存取類型(單一設備或整體網路/企業)、公司目標年度營收、買家額外需執行的工作等而不同。雖然取得 RDP 存取的價格最低僅 10 美元,但單一企業管理憑證平均價格為 8,500 美元,有時甚至高達 10萬美元。
趨勢科技資深威脅研究員 David Sancho 表示,媒體與企業資安部門一直都只關注勒索病毒和惡意程式,但真正該優先處理的,是設法減緩初始存取仲介(initial access broker)的攻擊活動。資安事件應變團隊通常必須調查兩起以上範圍重疊的攻擊鏈,才能找出勒索病毒攻擊的源頭,事件應變流程更冗長複雜。透過監測存取仲介活動,團隊能防患未然,避免企業網路存取權限遭偷竊、變賣,從源頭阻斷勒索病毒攻擊者的供應來源。
(首圖來源:趨勢科技)
