【改名成風】勒索軟件集團重塑品牌 背後兩大原因大拆解
美國 FBI 與 CISA 發表聯合報告,指有證據顯示勒索軟件集團 Royal 企圖重新開新戰線,以另一名義經營新的勒索軟件集團 BlackSuit,事件被踢爆後,業內人士估計 Royal 可能會再用新名目登場。事實上,Royal 本身亦是由勒索軟件集團 Conti 的成員創立,只是換個新名繼續作惡,到底為何要頻頻轉名?背後原來有兩大原因。
要美國兩大安全機構一齊發表聯合報告的 Royal,到底是甚麼來頭?原來這個勒索軟件集團擅長用回撥釣魚電郵(callback phishing)及社交工程攻擊令目標人士上當。
Royal 一年間勒索近 2.8 億美元
他們首先會向目標發出一封電郵,指他們訂閱的項目快將到期,如不停用就會再續收費,在心理上催促目標立即致電電郵中留下的電話號碼,如對方真的致電想取消服務,集團成員便會以社交工程攻擊說服對方在電腦上安裝合法的遙距桌面工具,讓假扮成技術支援人員的黑客可以進入目標人物的電腦,快速研究最隱密的入侵方式並付諸實行,最終達成入侵企業內部網絡的目的。
Royal 在上年初被發現後,直至上年 9 月才開始活躍起來,但在短短的一年多之間,便成功入侵至少 350 間公司或機構,向受害對象勒索 2.75 億美元。雖然並非每個受害者都會付贖金,但從其入侵量可見,入侵的手法應該相當成熟,絕非新手。
而網絡安全公司 AdvIntel 專家早前便證實了這一點,他們指出 Royal 雖然一開始是使用另一勒索軟件集團 ALPHV/BlackCat 外洩的程式碼,但相信只是為了令人混淆,所以當開發出自家的 Zeon 勒索軟件後便很快露底,被專家從他們在受害者電腦系統留下的勒索信中,發現與表明支持俄羅斯入侵烏克蘭的勒索軟件集團 Conti 有密不可分的關係,來來回回可能都是同一批人。
企業交贖金或違反政府制裁令
有人可能會問,為何這些黑客集團要經常改名?原來有多個主要原因,以 Conti 為例,由於他們在去年 2 月發聲支持俄羅斯向烏克蘭動武,又威脅會攻擊其他反對者,因而已被歐美政府列為制裁目標,如果有受害企業打算支付贖金換取破解方式,便會違反這些政府的制裁令,變相會被雙重罰款或禁止貿易往來,換言之可說斷了 Conti 的米路。
另外,由於 Conti 成為各國眼中釘,投放研發其攻擊的資源便會較大,例如 FBI 及 CISA 便在今年 3 月發表針對 Royal 的 IoC 入侵指標及攻擊策略分析,令他們被安全工具捕獲的機會大幅提升!在這兩大原因下,難怪黑客集團要用另一個或多個身份重新經營,一來可以分散風險,二來遇著受害企業想支付贖金,都不會因制裁而卻步。
