按 Enter 到主內容區
:::

TWCERT-電子報

:::

愈來愈多勒贖團體,自黑市買受害對象初步駭入成果,形成「駭侵産業生態系」

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-06-18
  • 點閱次數:153
愈來愈多勒贖團體,自黑市買受害對象初步駭入成果,形成「駭侵産業生態系」 TWCERT/CC

資安專家發現,愈來愈多駭侵勒贖團體,自黑市的其他駭侵者購買他們駭入對象的初步駭侵成果,再進行進一步的勒贖攻擊,儼然形成一個駭侵産業生態系。

資安廠商 Proofpoint 旗下的資安專家發現,近來有愈來愈多駭侵勒贖團體,自駭侵黑市的其他駭侵者處,購買他們駭入對象的初步駭侵成果,再用以發動進一步的勒贖攻擊,儼然形成一個駭侵産業生態系。

據 Proofpoint 日前發表的研究報告指出,這類駭侵者之間的「垂直整合」,已經發展成一個利潤豐厚的「産業生態系」;一些較小規模的駭侵者,先針對某些受害者發動駭侵攻擊;其他主要駭侵團體再向其購買「使用權」,進一步發動更大規模的攻擊。

Proofpoint 說,日前對美國的燃油運輸造成極大危害的 Colonial Pipeline 勒贖駭侵事件,即是透過這種「上下游」駭侵者的交易來進行的。

Proofpoint 表示,該公司目前發現至少有 10 個駭侵團體,涉及進行所謂的「前期駭侵攻擊」;這 10 個駭侵團體先以釣魚信等各種手法,入侵受害目標,將惡意軟體植入受害單位後,接著便待價而沽,在黑市中尋找願意出價接手的大型駭侵團體。

大型駭侵團體接下來即可利用這些「預先布署」的惡意軟體,傳送發動後續攻擊使用的酬載勒贖工具來發動攻擊,而不需要自行發現受害者的資安漏洞。

Proofpoint 指出,2021 年上半年至少有 20% 針對金融産業進行的後門勒贖攻擊,是採用這種「垂直分工」的方式來進行。

Proofpoint 在報告中也列出了 TA800、TA577、TA569、TA551、TA570、TA547、TA544、TA571、TA574、TA575 等 10 個觀察到的前端駭侵團體,及其使用的駭侵手法、駭侵工具,以及後續的「客戶」等詳細資料。

回頁首