黑客鎖定製造業發動目標式勒索和DDoS攻擊,成為新常態

2021-01-20 十輪網

利用產業公用系統或平臺的漏洞入侵企業的手法層出不窮,2020年臺灣爆發多起鎖定製造業的攻擊,攻擊手法除了威脅以勒索軟體加密企業的系統和磁碟的目標式勒索攻擊(Target Ransom)外,也有鎖定製造業的目標式DDoS(Target DDoS)攻擊,甚至有傳出黑客發動DDoS攻擊的目的,在於癱瘓製造業的供應鏈平臺,對方可能認為,唯有威脅受害者將遭受到實際損失,受害企業才可能願意支付贖金,而黑客鎖定製造的攻擊手法,不論是目標式勒索或者是目標式DDoS,即便到2021年仍不會消退。

目標式勒索攻擊通過RDP等弱點,入侵企業並勒索高額贖金

利用勒索軟體加密資料,然後威脅受害者支付贖金的手法,從WannaCry勒索軟體之後,這種恐嚇取財的手法一直沒有消失,但不同的是,早期包括WannaCry在內的勒索軟體,鎖定對象是一般個人用戶,即便受害者是企業,通常也都是個人計算機端漏洞未修補造成。

但是,從去年5月起,石油公司、自動化設備企業、半導體封測企業、PCB企業,以及穿戴式大廠等,都爆發遭黑客以勒索軟體加密企業資料,並提出高額贖金要求的受黑事件。

趨勢科技全球核心技術部資深協理張裕敏表示,上述安全事件可以稱之為目標式勒索攻擊,若進一步分析黑客攻擊手法,通常是利用網絡、RDP(遠程桌面協議),以及VPN(虛擬私有信道)的弱點,或者是利用釣魚郵件的方式,入侵並潛伏在企業內部,主要是鎖定AD目錄服務伺服器並在特定的時間點傳播大量的勒索軟體,目的在於加密AD伺服器等重要的主機內容,黑客可以趁機跟企業勒索高額贖金,一旦企業不願意支付贖金,這些黑客也會威脅要將企業資料公開在網絡上,或者是將加密資料先備份一份後,等到企業因為沒有備份資料導致無法恢復相關資料時,黑客便可以趁機要求企業支付勒索贖金。他也發現,很多開發者常用的程序託管平臺,例如GitHub、GitLab等,也都成為黑客存儲從企業偷來資料的渠道。

穿戴式大廠在7月傳出遭到黑客加密並勒索高達3億元贖金後,在11月9日也傳出計算機組裝企業遭到黑客組織DoppelPaymer勒索高額贖金,雖然該企業對外公開不是遭到勒索軟體攻擊,而是網絡系統有問題,不過,區塊鏈安全企業Xrex創辦人黃耀文則是在11月19日觀察到,上述黑客傳出的區塊鏈勒索錢包中,發現有人存入28.3顆的比特幣(約50萬美元),反洗錢企業CipherTrace也進行金流分析發現,這些存入的比特幣是通過場外交易市場(Over the Counter,OTC)的方式購買,但無法確定該比特幣是否為計算機組裝企業支付贖金。

而根據安碁信息技術副總黃瓊瑩的觀察,他發現,有些黑客組織鎖定臺灣高科技企業,他們通常會找到有弱點的網站來突破,像是具有上傳文件功能的網站則是被攻擊大宗,而多數殺毒軟體幾乎無法順利偵測到這些上傳文件網站的惡意Web Shell;其他常見的攻擊標的,則有舊系統忘記下線、測試用主機沒有適當防護,或忘記下線的不設防無主主機,也是黑客最愛鎖定攻擊的對象之一。

他繼續指出,黑客藉此入侵企業內部後,可以通過監聽密碼或橫向移動的方式,找到高權限用戶的帳號密碼,例如AD伺服器的Administrator,甚至有機會控制單位最高權限的Domain Controller(DC);當黑客順利掌握該公司後,也會在企業內部安裝VPN軟體,留下未來回到企業內部的渠道。一旦黑客順利掌握受黑企業的高權限用戶,就可以發動地毯式攻擊,不管是潛伏企業內部或控制企業重要的伺服器,全都在黑客一念之間。「這樣的攻擊方式,即便到2021年,也都是很有效的攻擊手法,不見消退。」黃瓊瑩說道。

黑客發動目標式DDoS,臺灣企業曾遭8小時100Gbps流量攻擊

2020年上半年,傳出多家高科技製造業遭黑客以勒索軟體加密,並要求高額贖金的安全事件,不過,在下半年有黑客組織威脅臺灣的製造企業,若不支付贖金,將會發動DDoS攻擊,主要攻擊的標的除了這些公司的官網,也傳出黑客鎖定攻擊更有價值的高科技企業的供應鏈下單平臺,通過癱瘓這些系統,讓高科技企業遭到損失後,更願意支付贖金。

根據不具名消息來源指出,在中秋連假附近,9月26日有系統集成企業接到自稱是Fancy Bear黑客組織的勒索信件,要求企業要支付10個比特幣(約新臺幣300萬元),否則一周後將再度發動DDoS攻擊。該公司隨即遭到第一次DDoS攻擊,但一周後的二度攻擊沒有發生。

在國慶連假期間的10月9日,也有系統集成企業遭到類似的DDoS勒索信件,要求支付20個比特幣(約新臺幣600萬元),同時,也有主板企業收到同樣的勒索信件;到了10月底,先前10月上旬接到勒索信件的系統集成企業,則遭到持續8小時、攻擊流量高達100Gbps~105Gbps的DDoS攻擊;11月初,也傳出有零部件企業遭到二度DDoS攻擊,但該次並沒有收到勒索信件。

對於臺灣製造業遭到的目標式DDoS攻擊,黃瓊瑩指出,黑客都會先通過公開信息,獲得企業的聯繫窗口,如公關、人資、投資人聯繫窗口或客服等,發送勒索郵件。基本上,攻擊者都會先發動試打行動,以取信於受害企業。他表示,黑客試打流量大約是1Gbps,對於企業對外網絡,已經會面臨明顯的停頓或中斷狀況;黑客也會通過網際網路取得受攻擊企業的AS Number(自治系統號碼)作為攻打標的,這通常是企業轄下一個很大的網段。

他進一步說道,黑客試打後,都會宣稱下一波正式攻擊的火力會達到2Tbps到2.5Tbps規模,但實際上,安碁協防的客戶有截獲黑客試打過程的真實記錄,但沒有遇到真正的大規模攻擊,而試打的攻擊來源大部分來自俄羅斯與東歐(俄羅斯、白俄羅斯、烏茲別克斯坦、哈薩克斯坦),另有其他較少量攻擊來自歐(英國、荷蘭)、美、香港與臺灣,其中臺灣被利用的攻擊來源是IP Camera。

相關焦點

  • DDOS攻擊常見的類型
    甚至不會想到你自己也會成為目標的時候,威脅就已經出現了,一旦發生,常常措手不及,造成極大的損失。而導致這個問題的最主要的因素就是以成本低廉、破壞力強大而深受黑客喜愛的ddos攻擊了。實際上ddos攻擊存在很多種類,不是只有單一的攻擊方式。為了企業能夠更好的對ddos攻擊就進行防禦,墨者安全給大家簡單的普及一下常見的幾種DDOS攻擊形式。
  • 新型DDoS攻擊--「脈衝波」來襲:大流量+多目標攻擊
    近日,據墨者安全數據報告,一種新型兇殘DDoS攻擊出現,黑客將其命名為「脈衝波」DDoS攻擊!「脈衝波」DDoS,是高級黑客設計出來的新攻擊戰術,主要是利用混合DDoS緩解解決方案中的弱點,翻倍增強殭屍網絡的攻擊強度,可以讓被攻擊者的網絡長時間癱瘓。
  • DDOS攻擊的防禦方法有哪些?
    DDOS是分布式拒絕服務攻擊,是指處於不同位置的多個攻擊者同時向一個或數個目標發動攻擊,或者一個攻擊者控制了位於不同位置的多臺機器並利用這些機器對受害者同時實施攻擊。由於攻擊的發出點是分布在不同地方的,這類攻擊稱為分布式拒絕服務攻擊,其中的攻擊者可以有多個。
  • 勒索病毒在歐洲再度爆發 連車諾比都受影響
    據《華盛頓郵報》報導,新一輪的網絡攻擊在本周二席捲歐洲,上個月令人心有餘悸的勒索病毒有再度重演之勢。
  • 比特幣黑客勒索上市公司 FBI凍結100萬阻止黑客攻擊特斯拉
    以色列媒體 Calcalis傳言說,黑客最近對勒索軟體進行了攻擊,攻擊者是在納斯達克上市的無線晶片和相機傳感器生產商Tower Semiconductor Ltd.(TSEM)。惡意分子要求贖金數十萬美元。今年早些時候,在夏天,另一家在以色列和納斯達克交易的公司,軟體製造商Sapience被迫向黑客支付了25萬美元的贖金,以防止其計算機被關閉。
  • 特斯拉 Model X 遭遇黑客中繼攻擊,3分鐘可開走汽車
    這支部隊由政府的網絡黑客組成,負責發動進攻性網絡戰,打擊英國的敵對國家、恐怖組織和犯罪集團。 這支精兵隊伍來自英國政府通信總部、國防部、軍情六處、國防科技實驗室,集情報能力和國防能力於一身,大大提高了英國在網絡空間中對抗對手的能力。
  • 轉型中的製造業成網絡攻擊主要受害者
    2020年,製造企業遭受到的網絡攻擊威脅比以往任何時候都要多。網絡犯罪組織和國家級攻擊組織為竊取智慧財產權、數據或通過勒索攻擊獲取經濟利益,令製造業成為全球受威脅最大的行業之一。
  • 梭子魚發布關於魚叉式網絡攻擊的重點洞察報告
    中國,北京(2019年4月8日)— 雲安全解決方案供應商梭子魚網絡於美國加州時間2019年3月19日發布關於魚叉式網絡攻擊的重點洞察報告:主要涉及網絡威脅與趨勢。梭子魚的研究員們在三個月的時間內,鑑定超過36萬份魚叉式網絡釣魚的電子信件,識別與分析出了三種最主要的攻擊形式:品牌冒充、企業電子郵件洩漏以及勒索。
  • 勒索病毒變異體今日再引爆發高峰:神秘黑客組織曝光
    上海中山醫院電腦已被感染5月13號,發現了詭異域名註冊即可中止病毒程序的安全工程師也坦白承認這是個美麗的巧合,同時提醒需要為電腦打上補丁,以免病毒變種,繞過這一域名,發動下一波攻擊。果然就在昨天下午,國家網絡與信息安全信息通報中心發出就勒索病毒發布緊急通報。
  • 網絡攻擊敲詐「茶水費」 倆「黑客」被抓 ——歷下警方破獲破壞...
    網絡攻擊敲詐「茶水費」 倆「黑客」被抓 ——歷下警方破獲破壞計算機信息系統案 2020-12-03 10:40 來源:澎湃新聞·澎湃號·政務
  • 攻擊癱瘓拍賣網站後索要「茶水費」,倆計算機「黑客」被抓
    齊魯晚報·齊魯壹點記者 尉偉 通訊員 趙楊黑客李某等三人購買網絡工具、攻擊癱瘓拍賣類網站後,再聯繫網站相關人員以恢復為名索要「茶水費」。12月2日,齊魯晚報齊魯壹點記者從歷下公安獲悉:日前,歷下警方圍繞「淨網2020」專項行動,成功破獲一起利用DDOS流量瘋狂攻擊網站並實施勒索的案件,抓獲犯罪嫌疑人李某和孫某,查實2人夥同他人,在40餘天的時間裡,攻擊網站50餘家,敲詐得手人民幣14萬餘元。
  • Radware深度解讀WannaCry勒索攻擊
    【IT168 評論】2017年5月12日,勒索軟體變體WannaCrypt惡意軟體(也作WCry、WannaCry或WanaCrypt0r)在全球範圍內爆發,攻擊目標是全球範圍內的電腦,並成功擊垮了全球數十家企業。
  • 最常見的導致伺服器癱瘓的網絡攻擊有哪些?
    ,主要就是通過很多的"傀儡機」( 被攻擊者入侵過或可以間接利用的主機)向被攻擊的主機發送大量看似合法的數據包,伺服器將會消耗非常多的資源(CPU和內存)來處理這種無效連接,最後導致資源耗盡,伺服器崩潰,正常訪客無法訪問。
  • 防範勒索軟體攻擊的六個行動
    Gartner的高級分析師Paul Webber說:「在最近的一些勒索軟體攻擊案例中,受害組織向攻擊者支付了巨額贖金,這可能是這種攻擊越來越猖獗的原因之一。相反,如果組織希望減少勒索軟體引起的損失,需要專注於準備和早期應對。」
  • 飛機零部件企業ASCO遭遇勒索病毒,工業網際網路成網絡攻擊重災區
    易到用車遭勒索病毒沒過多久,飛機零件供應商又被坑了。背後的黑客團夥們會心一笑:天上飛的,地上跑的,一個也逃不掉。據外媒報導,最近,世界上最大的飛機零部件供應商之一ASCO遭遇勒索病毒,已造成四個國家的工廠停產。
  • 智能照明的缺陷:黑客能夠通過電燈泡攻擊商用和家用網絡
    智能照明的缺陷:黑客能夠通過電燈泡攻擊商用和家用網絡 黑客可以利用常用 ZigBee 協議中的漏洞攻擊智能電燈泡及其控制器,從而將勒索軟體或間諜軟體傳播到網絡。
  • 比特幣勒索病毒是什麼?電腦中了WNCRY蠕蟲攻擊會怎麼樣?
    5月12日起,Onion、WNCRY兩類敲詐者病毒變種在全國乃至全世界大範圍內出現爆發態勢,大量個人和企業、機構用戶中招。  與以往不同的是,這次的新變種病毒添加了NSA(美國國家安全局)黑客工具包中的「永恆之藍」0day漏洞利用,通過445埠(文件共享)在內網進行蠕蟲式感染傳播。
  • 勒索病毒橫行引發網際網路危機 如何防範「想哭」?
    消息稱,這款惡意軟體以類似於蠕蟲病毒的方式傳播,會掃描電腦上的TCP445埠(Server Message Block/SMB),攻擊主機並加密主機上存儲的文件,然後要求以比特幣的形式支付贖金,勒索金額約在300至600美元之間。  這場浩劫在開始24小時後出現了一絲轉機。5月13日晚間,一位22歲的英國程式設計師小哥似乎「誤打誤撞」找到了破局之策。
  • 一次計算機「攻擊」,1500萬用戶「停跑」,到底什麼是「黑客」?
    文|薰兒勒索病毒攻擊佳明Garmin公司是全球知名的GPS設備品牌,涉足智能終端和多場景導航等領域,相當專業的企業,在5G時代還沒有真正來臨之際,已經實現了多個終端聯動的功能,比如佳明最暢銷的智能手錶。
  • 勒索病毒WannaCry「想哭」再現2.0版 手機電腦都跑不了
    英國、俄羅斯、義大利相繼淪陷英國方面, 5月12日英國國家醫療服務體系遭遇了大規模網絡攻擊,多家公立醫院的電腦系統幾乎同時癱瘓,電話線路也被切斷,導致很多急診病人被迫轉移。《每日郵報》稱,至少19家位於英格蘭和蘇格蘭的NHS所屬醫療機構遭到網絡攻擊,這些機構包括醫院和全科醫生診所。