网络犯罪黑市存取服务交易攀升,助长勒索病毒攻击事件
- 萧怡恩/台北讯
-
全球网络网安解决方案厂商趋势科技日前发布最新研究报告,聚焦近期大量勒索病毒攻击事件,深入分析背后错综复杂的网络犯罪供应链。过去两年由于需求急速成长,许多网络犯罪市场甚至有自己的「存取服务」(Access-as-a-Service;AaaS) 交易专区。
趋势科技资深威胁研究员David Sancho指出:「媒体与企业网安部门一直以来都只关注勒索病毒和恶意程序,但真正该优先处理的,是设法减缓初始存取仲介 (initial access broker)所发动的攻击活动。而网安事件应变团队通常必须调查两起以上范围重叠的攻击链,才能找出勒索病毒攻击的源头,使得事件应变流程更为冗长复杂。透过监测存取仲介的活动,团队能防患未然,避免企业网络存取权限遭偷窃、变卖,从源头阻断勒索病毒攻击者的供应来源。」
这项研究针对多个英语与俄语为主的网络犯罪论坛,分析自2021年1~8月间900多笔上架的存取仲介服务。以产业区分,教育是最常出现的主流市场,占所有服务广告的36%,制造业与专业服务以11%并居第二,比例不到第一名的三分之一。
报告指出存取仲介有以下三种主要类型:(一)随机型卖家:只想快速获利,不会花太多时间取得存取权;(二)专业存取仲介:通常是经验丰富、技术娴熟的黑客,能提供各种公司的存取权,受到小型勒索病毒集团和组织青睐;(三)在线商店:提供 RDP 与 VPN 凭证。这类专营商店只提供单一设备的存取,而非涵盖整个网络或组织。然而,他们提供简便、自动化的交易模式,让技术能力有限的网络犯罪者也能购买存取权,甚至能以位置、网际网络服务供应商 (ISP)、操作系统、通讯埠号、管理员权限或公司名称进行查找。
多数存取仲介提供的商品仅为一组登入凭证,来源可能包含:先前外泄的口令或口令杂凑的破解;遭入侵的殭屍电脑;遭恶意利用的VPN闸道、网站服务器等网安漏洞;一次性随机攻击等。
这类服务订价依照存取类型 (单一设备或整体网络/企业)、公司目标年度营收、买家额外需执行的工作等而有不同。虽然取得RDP存取的价格最低仅有10美元,单一企业的管理凭证平均价格为8,500美元,有时甚至高达10万美元。
趋势科技建议企业单位采取以下网安防护策略:留意已经公开的数据外泄事件;如果怀疑企业凭证可能遭外泄,要求所有使用者重设口令;使用多因子验证(MFA)机制;监控使用者行为;注意DMZ区内的活动,假设提供对外的服务 (如VPN、网络邮件、网络服务器等) 会持续遭受攻击,随时提高警觉;落实网络分割与微切分(micro-segmentation);实施口令政策最佳实务;建立一定层级的零信任架构。
如欲阅读完整AaaS报告,请至活动网站。
