勒索軟件不斷進化：多重勒索

勒索軟件攻擊正在全球造成廣泛破壞，成爲目前其中一個最大的網絡威脅。越來越多公司和機構受到嚴重影響。根據一份勒索軟件報告，2021年第一季每宗事故的受害人平均遭勒索支付220,298美元 (193萬港元)，比2020年第四季度增加43%^[1]。

去年，香港電腦保安事故協調中心（HKCERT）發表了兩篇博錄，揭示勒索軟件集團利用雙重勒索策略來威迫付款。隨著時間推進，勒索手法正向更多方面發展，勒索軟件集團的策略近月,更從雙重勒索演變爲多重勒索。

什麽是多重勒索？

傳統的勒索軟件只採用單一勒索，勒索軟件集團只是加密受害者的數據，並要求支付贖金以回復原狀。然而，受害人只要有定期進行離綫備份，便可透過還原備份來恢服重要數據，免受加密勒索軟件的影響。

當發現這種策略失效後，勒索軟件集團開始加入多一個勒索元素，變化出另一種策略，稱為雙重勒索。攻擊者會先偷取受害人的大量敏感數據，接著才進行加密，然後威脅發佈或出售手上的敏感資料，令受害人面對商譽受損或遭監管機構處罰的壓力，從而迫使其就範，支付贖金。第一個使用這種策略的是一個稱爲Maze的勒索軟件集團，之後更有越來越多效仿者跟隨。

最新的發展是勒索軟件集團正進一步採用不同的勒索方法，以求加强對受害者的壓迫和威脅，使其支付更多的贖金。我們觀察到有至少四種新的勒索方式，包括發動分散式阻斷服務（DDoS）、聯繫受害人的客戶、沽空受害公司的股票以及影響基礎設施系統。由於這種複雜的勒索策略包含著兩種以上的勒索方法，因此被稱爲「多重勒索」。

在下一章節，我們將分析這四種新的勒索方式。

新型勒索方式分析

1.   DDoS勒索

分散式阻斷服務（DDoS）攻擊是透過向目標網站或網絡服務發出遠超其能處理的大量網絡流量，癱瘓有關網站或網絡服務。

2020年10月，勒索軟件集團SunCrypt和RagnarLocker以向受害者的網絡或網站發動DDoS攻擊作為額外武器，迫使他們支付贖金^[2]。然後，另一勒索軟件集團Avaddon開始使用相同的策略，癱瘓其目標受害人的網站或網絡，脅逼受害人展開談判^[3]。2021年5月，一家大型保險公司的亞洲分部便遭Avaddon攻擊，其資訊科技(IT)服務因而被中斷^[4]。隨後，越來越多的勒索軟件集團把DDoS勒索加入他們的武器庫中。

正如我們觀察所得，勒索軟件集團認爲只將數據加密及洩露的威脅力已不足以驅使受害人支付贖金，所以他們直接影響受害人的網上業務，以圖增加受害人的壓力。此外，利用網絡罪犯控制的殭屍網絡進行DDoS攻擊的服務在暗網市場上很容易獲得。這亦有助於勒索軟件集團採用這種策略來讓受害人屈服，使其傾向交付贖金以求儘快解決問題。

2.   聯繫受害者的客戶和合作夥伴

部份勒索軟件集團則部署了另一種新的施壓策略，他們會直接發送電子郵件或打電話到受害人的客戶和合作夥伴，指他們的數據將被洩露，然後要求他們說服受害人支付贖金^[5]。

第一個使用這種策略的是Clop勒索軟件集團，他們在暗網洩露了受害人的數據，包括員工的稅收和財務記錄，然後呼籲受害人客戶向受害人施壓。2021年2月，REvil勒索軟件集團宣佈，他們的雙重勒索計劃增加了一個新的手法，就是會給受害人的商業夥伴和媒體打電話^[6]。

沒有人會願意捲入任何數據洩露事件，無論事件發生在他們的組織、服務供應商或合作夥伴身上，所以當勒索軟件集團聯繫受害者的客戶和合作夥伴，並表示已掌握其個人資料時，自然會引起很多的關注，以及産生龐大的公衆壓力來要求受害人儘快解决事件，亦會更容易迫使受害人屈服。

3.   沽空受害人的股票

2021年4月，DarkSide勒索軟件集團通過沽空受害人的股票來加大對受害人的勒索力度。該集團在其暗網網站上發佈訊息，表示會提前通知市場上的沽空者，以便他們在公佈受害人的名字之前沽空該公司的股票^[7]。

攻擊者認爲，揭露一個上市公司被入侵，其負面影響足以導致其股價下跌，讓沽空者獲利。同時，沽空公告也是一種威脅方法，即不支付贖金會導致其股票受到負面影響，從而迫使受害人支付贖金。

4.   破壞受害人運營的關鍵基礎設施系統

網絡罪犯不僅會針對機構的資訊科技設施，亦會利用勒索軟件向有保安漏洞的運營科技系統（OT）發動攻擊。運營科技系統是用作管理工業設備運行或關鍵基礎設施。

2021年5月，美國其中一間最大的油管運營商在被DarkSide勒索軟件集團攻擊後，主動關閉了輸油業務並暫停了IT系統。該公司花了近一周的時間恢復營運，在停運期間，美國的汽油價格急劇上升^[8]。該公司最終支付了440萬美元贖金以換取解密密鑰 ^[9]。

癱瘓公司業務系統會造成財務和聲譽的損失。攻擊者亦清楚知道暫停OT系統會造成巨大的經濟損失，受害人亦會面臨來自社會和政府的壓力要求儘快恢復營運。最近，各種各樣的機構，如醫院、製造商和關鍵基礎設施服務供應商都成爲這種攻擊的受害人。我們可以預見，對關鍵基礎設施系統的攻擊在未來將會持續增加。

保安建議

以下是保護網絡、數據以及IT和OT系統，免受採用多重勒索方式的勒索軟件攻擊的保安建議：

1. 政策與評估
   1. 設立一個數據保護政策，涵蓋由收集，處理及銷毀資料的完整資料生命周期之處理方式；
   2. 定期進行保安評估並堵截發現的漏洞；

2. 系統保護
   1. 儘量减少擁有特權訪問權限（如網域的管理權限）的用戶數量，以限制攻擊範圍及影響。日常的操作亦只應使用沒有特權訪問權限的普通賬戶；
   2. 安裝終端保安解决方案，可以檢查電郵和網絡內容中的惡意下載內容，檢測和隔離惡意程式碼，以防止感染惡意軟件；
   3. 加強網絡基礎架構，減少暴露於互聯網當中的端點；
   4. 設立數據私隱政策，其中包括敏感數據加密和密碼政策，以及加密密鑰的隔離處理；
   5. 考慮使用DDoS保護解决方案或服務，以抵禦DDoS攻擊；

3. 系統監察及偵測惡意活動
   1. 設置網絡監控和保安檢測，一旦發現任何異常的網絡活動，立即進行事故響應；
   2. 架構網絡威脅情報平台，以追蹤最新的威脅，並與同行組織交流信息，預先阻止新出現的攻擊；

4. 應對攻擊
   1. 定期進行網絡保安演習，如網絡釣魚演習及勒索軟件攻擊演習，並進行培訓以提高員工的保安意識；
   2. 設立事故響應計劃，及時應對勒索軟件、數據洩露及DDoS攻擊；
   3. 設立業務持續應急計劃，在發生勒索軟件、DDoS和OT系統中斷事件時，最大限度地减少對業務的影響；
   4. 不要支付贖金，因爲這只會對勒索軟件集團助紂為虐；以及
   5. 如有任何網絡保安問題，請向 HKCERT 查詢或尋求協助。

參考資料

[1] https://www.coveware.com/blog/ransomware-attack-vectors-shift-as-new-software-vulnerability-exploits-abound

[2] https://www.bleepingcomputer.com/news/security/ransomware-gangs-add-ddos-attacks-to-their-extortion-arsenal/

[3] https://www.bleepingcomputer.com/news/security/another-ransomware-now-uses-ddos-attacks-to-force-victims-to-pay/

[4] https://www.zdnet.com/article/asia-division-of-cyber-insurance-company-axa-hit-with-ransomware-attack/

[5] https://krebsonsecurity.com/2021/04/ransom-gangs-emailing-victim-customers-for-leverage/

[6] https://blog.checkpoint.com/2021/05/12/the-new-ransomware-threat-triple-extortion/

[7] https://therecord.media/ransomware-gang-wants-to-short-the-stock-price-of-their-victims/

[8] https://www.zdnet.com/article/colonial-pipeline-ransomware-attack-everything-you-need-to-know/

[9] https://www.zdnet.com/article/colonial-pipeline-ceo-paying-darkside-ransom-was-the-right-thing-to-do-for-the-country/