以前惡意程式可能是為了好玩
或是駭客為了證明自己的能力而做
現在則是為了錢財
除了以前的Dridex針對金融體系的木馬
勒索病毒也是現在企業最頭痛的威脅
勒索病毒的目的是什麼?
為甚麼它們猖獗到成為企業般有組織地發展?
勒索病毒沒有特定目標,即使你只有一塊錢,他們也會撲上來
所以不要有「我只是個人、我們只是小公司」的想法,以為不會中勒索病毒
例如STOP勒索病毒會偽裝成Windows更新檔放在破解網站
只要有人下載就會中標,根本沒在管到底是不是大企業
事實上,在勒索病毒的生態中,加入勒索病毒集團的下線成本低,報酬高。對勒索病毒集團來說,與新的下線建立良好的關係是一項值得的投資
一個新的下線平均只要花1500美元,就可以獲得100萬個有漏洞的VPN。這些有漏洞的VPN指的是不小心將VPN用戶登入帳密為test,或是admin。雖然聽起來很蠢,但這些情況非常常見;資訊人員可能只是設定上的微小錯誤,就能造成巨大的損害
勒索病毒集團接下來會花幾週或幾個月的時間,從這些有漏洞的VPN中根據以下條件篩選目標:
會不會有同一個勒索病毒集團的不同下線攻擊同一個企業,或是兩個不同的勒索病毒家族攻擊同一個企業?當然有。兩個不同的下線入侵同一間公司獲得訪問權限,然後將帳密與權限賣給兩個不同的勒索病毒集團。勒索病毒集團獲得訪問權限後,才發現進入時該組織已經被勒索,這時就會出現雙重勒索的情況。也就是即使交付贖金,也只解了第一層的加密,需要再付一次贖金給同個集團、另一個下線,才能恢復檔案
那些正確配置端點防護、EDR、SOC,並且有良好的政策或資產管理的公司,將可抵禦大多數的勒索病毒。如果一個集團遇到一個有好資安配置的公司,他們可能會完全放棄目標、或將訪問權限賣給另一個勒索病毒集團,因為破解這些資安防護的成本超出他們的預期
被勒索病毒集團盯上的目標,還有一個經常被忽視的地方。北約以外的勒索病毒集團,往往不了解他們所攻擊的目標與文化。我們常看到勒索病毒集團攻擊美國的學校、醫療系統,並沒有理解美國是如何分配預算給這些目標。他們誤以為這些目標從稅收獲得許多現金,而且根本不相信受害者說他們沒錢。勒索病毒集團依賴維基百科或ZoomInfo、甚至是公開財報才了解這些目標的利潤,卻常常錯誤百出
無論如何,如果你非常認真地想要對抗勒索病毒,還是得看看自身企業的財務限制。中小企業沒有大型企業擁有的金錢或人力,來對抗越來越危險的網路環境;甚至有時候大型企業也不重視資訊安全,導致許多擁有ISO 27001的企業同樣遭受勒索病毒困擾