原文來自 Wired《Ransomware’s Dangerous New Trick Is Double-Encrypting Your Data》,作者 Lily Hay Newman。台灣康泰納仕集團授權提供,由 Linden Chen 翻譯並經 INSIDE 編審。
愛用勒索軟體的駭客組織最近喜歡採用一種「多多益善」的套路。如果受害者支付贖金,把檔案救回來讓系統恢復正常,他們還是會再度攻擊這些受害者,而且方法不只是在受害者的系統中加密。
什麼意思呢?駭客在入侵系統時不只會把程式加密,還會竊取他們的資料,如果他們不願意付贖金,駭客就會威脅把這些資料洩漏出去。為了防止這種狀況發生,你可能會想要更新、升級到最新版本的防毒軟體?但勒索軟體駭客可以對受害者的資料進行兩次加密。
兩次加密攻擊過去就曾經發生過,通常是由兩個個別的勒索軟體駭客組織同時對一位受害者下手所造成。但是防止病毒惡意入侵電腦的公司 Emsisoft 指出,已經發現到有數十起事件中是同一個駭客、組織,故意一次玩兩種勒索軟體。
「這些駭客組織一直以來都在試著用最少努力賺到最多錢的最佳策略。」Emsisoft風險分析師布瑞特・卡洛(Brett Callow)說。「一位駭客會同時部署兩層勒索軟體。受害者解密後才發現,其實資料沒完全解密。」
卡洛說,有一些受害者會一次收到兩次付贖金的通知。這代表駭客希望他們的受害者知道遭受到雙重加密攻擊。但在其他情況下,受害者只會看到一個付贖金的通知,而且只會在他們已經付贖金消除第一層加密後,才會知道原來有第二層加密。
「即便在常見的單層加密軟體案件中,通常想把資料救回來也絕對是場惡夢,」卡洛說。「但是我們正發現這種雙層加密勒索手法。因此我們認為,在各大組織考慮如何回應他們時,應該要警覺這一點。」
Emsisoft 已經確立兩種截然不同的策略。首先,駭客會使用勒索軟體 A 加密資料,而後使用勒索軟體 B 再重新加密一次資料。另一種方法涉及 Emsisoft 所稱「並行加密」攻擊。這種攻擊會對組織內的某些系統用勒索軟體 A,而某些系統用勒索軟體 B。這種情況之下,資料只被加密一次,但受害者需要兩個解密金鑰,才能解鎖全部資料。研究人員還注意到,這種並行加密攻擊下,攻擊者會採取一些手法,讓兩種不同的勒索軟體看起來儘可能相似,因而必須回應的受害者就更難搞清楚到底發生什麼事情。
勒索軟體駭客組織通常用收益分享模式運作。其中一個小組會打造並維護一系列勒索軟體,並把它執行攻擊的基礎設施租借給執行特定攻擊的「分支組織」。卡洛說,雙重加密攻擊正好適合這種模式,讓想要發動攻擊的客戶能和兩個組織「叫貨」,兩個組織都可以提供不同型式的惡意軟體。
是否用數位支付贖金,是個棘手且重要的問題。想支付贖金的勒索軟體受害者必須警惕:攻擊者恐怕將不會真的提供解密金鑰。但是雙重加密策略的興起,增加受害者支付時可能產生的額外風險。他們解密完第一個加密勒索軟體後,會發現還要再為第二個加密勒索軟體支付贖金。因此,雙重加密的威脅,讓資料備份還原的能力比過去任何時刻都更為重要。
「從備份中修復資料,是個漫長且複雜的過程,但是雙重加密並不會讓這個過程更加複雜,」卡洛說。「如果你決定從備份中重建資料,就是從頭開始,因此無論數據被加密多少次都沒關係。」
對於沒有足夠備份資料,或是不想花時間從頭開始重新打造系統的勒索軟體受害者,雙重加密構成另一種威脅。如果擔心雙重加密攻擊會讓受害者較不願意全額支付贖金,攻擊者可能會停止這種新策略。
責任編輯:Chris
核稿編輯:MindyLi
延伸閱讀:
