【問你點防?】研究:勒索軟件團體已有足夠金錢購買零日漏洞作攻擊
零日漏洞是黑客入侵的途徑之一,隨著網絡犯罪分子不斷尋找新的攻擊方式,他們變得愈來愈先進。有研究人員表示,勒索軟件團體已有足夠金錢購買零日漏洞以發動攻擊。以前零日漏洞是國家級的領域,但現在犯罪團體也有資金購買,看來攻擊將會變得更頻繁也更難抵禦。
零日漏洞和利用這些漏洞的知識,一直在地下論壇上索價不菲,犯罪分子能以這些漏洞謀取更大利益,特別是涉及網絡安全研究人員不知道的零日漏洞,潛在受害者就更難以安全更新來防禦攻擊。例如在今年 Microsoft Exchange 漏洞被披露後的幾周內,網絡犯罪分子就爭先恐後地利用這個漏洞,以便在更新廣泛應用之前作攻擊。
零日漏洞以往多由資源充足、有國家支持的黑客行動部署,但 Digital Shadows 網絡安全研究人員的分析,詳細說明了在暗網留言板上有關零日犯罪市場的討論愈來愈多。Digital Shadows 解析,這是一個極其昂貴且競爭激烈的市場,通常是由獲國家支持的威脅組織所擁有的特權,但某些知名的網絡犯罪組織在過去幾年大賺特賺,財力已足夠購買這些漏洞並分一杯羹。
Digital Shadows 的威脅研究員 Stefano De Blasi 向 ZDNet 分享,各州可以以合法方式,從專門開發這些工具的公司那裏,購買零日漏洞。然而,當這些工具是由網絡犯罪分子在法律監管以外開發時,在網絡犯罪世界中識別客戶身份可能變得更容易,只有少數網絡犯罪分子能負擔使用零日漏洞的成本。
這些漏洞可能索價數百萬美元,但對於成功的勒索軟件組織來說,這是一個可以負擔的價格:如果漏洞能似預期運作,他們可以通過滲透網絡獲取成功,而每次成功的勒索軟件攻擊,他們都能賺取數百萬美元。與此同時,還有另一種從發展中的漏洞賺錢的方法,相比下較低級的網絡犯罪分子或會利用這種方法賺錢,即所謂的「漏洞利用即服務(exploit-as-a-service)」。
發現漏洞的網絡罪犯可以將漏洞租給其他犯罪團體,而選擇不直接出售漏洞。相比以複雜的過程出售漏洞,這個做法可能讓他們更快地賺錢,而他們更可從中持續賺錢一段很長的時間,而最終他們仍可將這個零日漏洞出售。報告指,這種模式使零日漏洞開發者能夠通過在等待最終買家的同時,以出租來獲得可觀收益。此外,通過這種模式,租賃方可以測試該零日漏洞,然後決定以獨家或非獨家模式賣出。
目前,向獲政府支持的黑客組織出售漏洞,仍然是一些零日開發商的首選,但鑑於地下論壇上對利用此類漏洞的興趣日益濃厚,反映一些網絡犯罪集團已有接近獲國家支持的營運水平。Stefano De Blasi 指,「漏洞利用即服務」模式的興起,證實了網絡犯罪環境在複雜性和專業化方面都在不斷增長,一些知名犯罪集團現在在技術方面,與國家資助的參與者匹敵,特別是許多著名的勒索軟件組織現在已積累了足夠的財務資源,來購買在非法環境中宣傳的零日漏洞。
零日漏洞的意味著保護網絡免受侵害變得更艱鉅,但網絡安全實踐如在關鍵安全更新發布後立即應用,可以阻止網絡犯罪分子利用漏洞。De Blasi 說,良好的演練和記錄事件響應策略,對於應付攻擊者來襲是至關重要的。