记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

黑客锁定制造业发动目标式勒索和DDoS攻击,成为新常态

2021-01-14 12:24

利用产业公用系统或平台的漏洞入侵企业的手法层出不穷,2020年台湾爆发多起锁定制造业的攻击,攻击手法除了威胁以勒索软件加密企业的系统和磁盘的目标式勒索攻击(Target Ransom)外,也有锁定制造业的目标式DDoS(Target DDoS)攻击,甚至有传出黑客发动DDoS攻击的目的,在于瘫痪制造业的供应链平台,对方可能认为,唯有威胁受害者将遭受到实际损失,受害企业才可能愿意支付赎金,而黑客锁定制造的攻击手法,不论是目标式勒索或者是目标式DDoS,即便到2021年仍不会消退。

目标式勒索攻击通过RDP等弱点,入侵企业并勒索高额赎金

利用勒索软件加密资料,然后威胁受害者支付赎金的手法,从WannaCry勒索软件之后,这种恐吓取财的手法一直没有消失,但不同的是,早期包括WannaCry在内的勒索软件,锁定对象是一般个人用户,即便受害者是企业,通常也都是个人计算机端漏洞未修补造成。

但是,从去年5月起,石油公司、自动化设备企业、半导体封测企业、PCB企业,以及穿戴式大厂等,都爆发遭黑客以勒索软件加密企业资料,并提出高额赎金要求的受黑事件。

趋势科技全球核心技术部资深协理张裕敏表示,上述安全事件可以称之为目标式勒索攻击,若进一步分析黑客攻击手法,通常是利用网络、RDP(远程桌面协议),以及VPN(虚拟私有信道)的弱点,或者是利用钓鱼邮件的方式,入侵并潜伏在企业内部,主要是锁定AD目录服务服务器并在特定的时间点传播大量的勒索软件,目的在于加密AD服务器等重要的主机内容,黑客可以趁机跟企业勒索高额赎金,一旦企业不愿意支付赎金,这些黑客也会威胁要将企业资料公开在网络上,或者是将加密资料先备份一份后,等到企业因为没有备份资料导致无法恢复相关资料时,黑客便可以趁机要求企业支付勒索赎金。他也发现,很多开发者常用的程序托管平台,例如GitHub、GitLab等,也都成为黑客存储从企业偷来资料的渠道。

穿戴式大厂在7月传出遭到黑客加密并勒索高达3亿元赎金后,在11月9日也传出计算机组装企业遭到黑客组织DoppelPaymer勒索高额赎金,虽然该企业对外公开不是遭到勒索软件攻击,而是网络系统有问题,不过,区块链安全企业Xrex创办人黄耀文则是在11月19日观察到,上述黑客传出的区块链勒索钱包中,发现有人存入28.3颗的比特币(约50万美元),反洗钱企业CipherTrace也进行金流分析发现,这些存入的比特币是通过场外交易市场(Over the Counter,OTC)的方式购买,但无法确定该比特币是否为计算机组装企业支付赎金。

而根据安碁信息技术副总黄琼莹的观察,他发现,有些黑客组织锁定台湾高科技企业,他们通常会找到有弱点的网站来突破,像是具有上传文件功能的网站则是被攻击大宗,而多数杀毒软件几乎无法顺利侦测到这些上传文件网站的恶意Web Shell;其他常见的攻击标的,则有旧系统忘记下线、测试用主机没有适当防护,或忘记下线的不设防无主主机,也是黑客最爱锁定攻击的对象之一。

他继续指出,黑客借此入侵企业内部后,可以通过监听密码或横向移动的方式,找到高权限用户的账号密码,例如AD服务器的Administrator,甚至有机会控制单位最高权限的Domain Controller(DC);当黑客顺利掌握该公司后,也会在企业内部安装VPN软件,留下未来回到企业内部的渠道。一旦黑客顺利掌握受黑企业的高权限用户,就可以发动地毯式攻击,不管是潜伏企业内部或控制企业重要的服务器,全都在黑客一念之间。“这样的攻击方式,即便到2021年,也都是很有效的攻击手法,不见消退。”黄琼莹说道。

黑客发动目标式DDoS,台湾企业曾遭8小时100Gbps流量攻击

2020年上半年,传出多家高科技制造业遭黑客以勒索软件加密,并要求高额赎金的安全事件,不过,在下半年有黑客组织威胁台湾的制造企业,若不支付赎金,将会发动DDoS攻击,主要攻击的标的除了这些公司的官网,也传出黑客锁定攻击更有价值的高科技企业的供应链下单平台,通过瘫痪这些系统,让高科技企业遭到损失后,更愿意支付赎金。

根据不具名消息来源指出,在中秋连假附近,9月26日有系统集成企业接到自称是Fancy Bear黑客组织的勒索信件,要求企业要支付10个比特币(约新台币300万元),否则一周后将再度发动DDoS攻击。该公司随即遭到第一次DDoS攻击,但一周后的二度攻击没有发生。

在国庆连假期间的10月9日,也有系统集成企业遭到类似的DDoS勒索信件,要求支付20个比特币(约新台币600万元),同时,也有主板企业收到同样的勒索信件;到了10月底,先前10月上旬接到勒索信件的系统集成企业,则遭到持续8小时、攻击流量高达100Gbps~105Gbps的DDoS攻击;11月初,也传出有零部件企业遭到二度DDoS攻击,但该次并没有收到勒索信件。

对于台湾制造业遭到的目标式DDoS攻击,黄琼莹指出,黑客都会先通过公开信息,获得企业的联系窗口,如公关、人资、投资人联系窗口或客服等,发送勒索邮件。基本上,攻击者都会先发动试打行动,以取信于受害企业。他表示,黑客试打流量大约是1Gbps,对于企业对外网络,已经会面临明显的停顿或中断状况;黑客也会通过互联网取得受攻击企业的AS Number(自治系统号码)作为攻打标的,这通常是企业辖下一个很大的网段。

他进一步说道,黑客试打后,都会宣称下一波正式攻击的火力会达到2Tbps到2.5Tbps规模,但实际上,安碁协防的客户有截获黑客试打过程的真实记录,但没有遇到真正的大规模攻击,而试打的攻击来源大部分来自俄罗斯与东欧(俄罗斯、白俄罗斯、乌兹别克斯坦、哈萨克斯坦),另有其他较少量攻击来自欧(英国、荷兰)、美、香港与台湾,其中台湾被利用的攻击来源是IP Camera。



知识来源: www.safebase.cn/article-262097-1.html

阅读:6105 | 评论:0 | 标签:安全报 ddos 攻击 黑客 勒索

想收藏或者和大家分享这篇好文章→复制链接地址

“黑客锁定制造业发动目标式勒索和DDoS攻击,成为新常态”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云