【笑談資安事,長老話你知】- REvil の 謎思

    上星期,我們的黑客吹水 WhatsApp 群組中,有人提到 IKEA 電腦系統 Down 了,線上線下的營業停頓。之後,有客戶問我知不知道原因,我猜想不是 DDOS 攻擊就是勒索軟件 (Ransomware) 攻擊;後來停一停,再想一想,如果是 DDOS,我個 ISP 老友文公子,一定在 FB 公布香港這幾天的 Internet 流量分析,說明應該不是 DDOS,所以我猜應是勒索軟件作祟。在疫情新常態下經濟下滑,很多公司會收縮投資或減少開支,IT 部門常成為被開刀的對象,網絡犯罪組織在疫情也要吃飯,WFH 帶來的資訊安全風險增加,在限聚令和配合政府的呼籲下,很少公司會在疫情期間,安排 Security Awareness Training 給員工,勒索軟件乘虛而入是常識。其實,在過去一年疫情間,已有超過十多間被勒索的受害公司來找我公司,可見一個月一兩單勒索軟件是新常態。

    據外媒《BleepingComputer》報導,REvil 勒索軟件早在 1 月 14 日左右,已入侵了香港英資老牌怡和洋行屬下在亞洲的大型零售連鎖運營商牛奶公司集團(Dairy Farm Group)的網絡系統,並對牛奶公司集團電腦資料進行加密。 牛奶公司集團旗下業務包括惠康、萬寧、7-Eleven、IKEA、Pizza Hu、美心等等,集團在 REvil 勒索軟件攻擊下,被勒索3000 萬美元(約港幣 2.3 億元)贖金。REvil 是一種透過 Oracle WebLogic 服務器漏洞及網絡釣魚活動進行大規模傳播,並勒索受害者及竊取電腦內部資料的攻擊。不過牛奶公司集團回應指,未有發現任何數據外洩。

    這次的幕後黑手 REvil (REvil 又稱 Sodin,或稱 Sodinokibi ) 是近年冒起得極快的網絡犯罪組織,REvil 是從 Resident Evil 電影系列中取來的名字,是著名的 Ransomware-as-a-Service (RaaS) 勒索服務供應商。這次的事故不知道是 REvil 組織主打的,還是由其他組織租用 REvil 的 RaaS 服務引致。REvil 通常會要求受害人在時限內以 Bitcoin,或其他加密貨幣繳付贖金,若未能及時支付,勒索的贖金將會增加一倍,或將竊得的機密數據,放到黑市網站拍賣。根據 HackerOne 的年度報告,僱用 RaaS 一次的成本由 6,500 美元到 25,000 美元不等,收費豐儉由人,以定制勒索軟件為基礎,附加不同國家的語言勒索信件、活動時間、入侵方法、收費方法、覆蓋的國家或地區,更有支持多國語言的 24 小時回應中心。由指定的服務到可訂制的一條龍服務,應有盡有,只怕你想不到,不怕他做不到。

    REvil 勒索軟件於 2019 年 4 月,由美國 Cisco 的 Incident Response 團隊,首次確定是由另一個勒索軟件組織 GandCrab轉化而成。號稱 2018 年最強勒索軟件的 GandCrab,在過去 18 個月運作期間,已賺取 20 億美元勒索贖款,但 GandCrab 於 2019 年 6 月決定金盆洗手,宣佈退休,並主動關閉這隻勒索軟件的運作。大部分人認為,GandCrab 原有的攻擊方法已為人熟悉,容易防衛, 所以索性停止運作,重新開發一種新的攻擊方法;至於那些被 GandCrab 加密的受害者,GandCrab 呼籲請儘速付款,否則 20 天後解密金鑰就會永久被刪除,被加密的資料也永遠救不回來了。不過,當時已有網絡安全專家認為 GandCrab 退休宣言只是煙幕,相信原 GandCrab 的開發團隊是因為原有的攻擊方法已遇到樽頸,成功率不高, 所以索性停止運作,重新開發一種新的攻擊方法。Cisco 的 Incident Response 網絡安全專家細心分析 REvil 勒索軟件樣本後,發現它的部分程式碼與 GandCrab 非常相似,所以認為 REvil 部分成員是由 GandCrab 過檔而組成的。不少網絡安全專家早就認為,一如過往歷史的發展軌跡,長江後浪推前浪,一代新人勝舊人, GandCrab 收山後,在龐大的市場造就下, 就會另有新的勒索軟件取而代之,而 REvil 就是 GandCrab 的繼承者。

    IBM Security X-Force 在 2019 年 4 月,第一次發現 REvil 的勒索活動。至今 REvil 至少成功地入侵了 140 間公司的電腦系統, 其中最得 REvil 關注的行業包括了批發、製造和專業服務。REvil 的受害者中,約有 60% 是美國公司,其次是英國、澳洲和加拿大。2020年, 在 IBM Security X-Force 確認的勒索入侵事故中,有 29% 是與 REvil 有關的,這表明與其他勒索軟件相比, REvil 更擅長入侵受害者的網絡系統。早前 REvil 接受俄羅斯一個 YouTube 頻道訪問,表示集團成員透過勒索軟件,年均收入可超過一億美元。雖然不知有否有點誇張,但從 IBM Security X-Force 的報告情況來看,證明中招者大有人在。

    很多人問我如何有效地預防勒索軟件的攻擊,你可以瀏覽香港政府資訊科技總監辦公室的網絡安全資訊站,當中有很多網絡安全的知識,其中與預防勒索軟件攻擊相關的內容連結如下:https://www.cybersecurity.hk/tc/learning-ransomware.php

    有效預防勒索軟件的保安貼士:

    1.  定期把重要資料備份和不要把備份資料連接電腦

    2.  為使用中的作業系統及軟件安裝最新的修補程式

    3.  更新抗惡意程式碼軟件及識別碼至最新版本

    4.  定期全面掃描電腦,以偵測及防預惡意軟件攻擊

    5.  不要開啓可疑的電郵及即時短訊,或當中的附件和超連結

    6.  不要瀏覽可疑網站,亦不要從可疑網站下載任何檔案

    作為資安長老, 我也是網絡安全資訊站的其中一個會員,並有在這個網站提供我的看法和建議, 如你對網絡安全有興趣的話, 應常常參考這網站的內容。

    作者:資安長老(Frankie Leung)

    超過32年資訊安全工作經驗,現為UDS是Data Systems Ltd的的創辦人和首席資訊安全顧問,為香港政府、大企業、金融界提供資訊安全方案、顧問報告和資安培訓工作。

    ##ransomeware #GandCrab #RaaS #REvil #牛奶公司

    相關文章