美國司法部本週公開一份起訴書,指控 28 歲烏克蘭籍男子 Volodymyr Tymoshchuk 策劃多宗大型勒索軟件攻擊,美國國務院同時宣布懸賞 1,100 萬美元追緝該名在逃疑犯。檢察官指控 Volodymyr Tymoshchuk 在 2018 年 12 月至 2021 年 10 月期間,利用 LockerGoga、MegaCortex 和 Nefilim 三種勒索軟件變種,攻擊全球數百間企業,造成估計 180 億美元經濟損失。
攻擊規模橫跨全球多個產業
美國紐約東區聯邦檢察官 Joseph Nocella Jr 表示,Volodymyr Tymoshchuk 屬於連環勒索軟件罪犯,專門針對美國藍籌企業、醫療機構和大型外國工業公司發動攻擊,並威脅拒絕支付贖金的受害者會將其敏感資料公開。聯邦調查局紐約分局助理局長 Christopher Raia 強調,網絡罪犯可能認為自己能夠逍遙法外,但執法部門會持續追查並將罪犯繩之於法。
檢控文件顯示,Volodymyr Tymoshchuk 與同黨在 2019 年 7 月至 2020 年 6 月期間,利用 LockerGoga 和 MegaCortex 勒索軟件攻擊美國超過 250 間公司,全球受害企業數量更達數百間。執法部門主動通知多間潛在受害企業其網絡已遭入侵,成功阻止勒索軟件部署,令許多勒索企圖未能得逞。
法國當局將 Volodymyr Tymoshchuk 列入歐洲頭號通緝犯名單,指控其犯罪集團活動導致 180 億美元損失,形容他屬於「危險人物」。美國司法部同時宣布,若能提供 LockerGoga、MegaCortex 和 Nefilim 等勒索軟件其他關鍵領導人的資料,將額外提供最高 100 萬美元獎金。
Norsk Hydro 攻擊案成企業應對典範
2019 年 3 月挪威鋁業巨頭 Norsk Hydro 遭受攻擊事件,成為 LockerGoga 勒索軟件最廣為人知的案例。該公司在 40 個國家 170 個據點的數萬台電腦遭到封鎖,報告指造成 8,100 萬美元損失,包括停機時間和清理成本。攻擊影響該公司 35,000 名員工,所有業務運作陷入癱瘓。
Norsk Hydro 遇襲後採取三項關鍵決策:拒絕支付贖金、尋求 Microsoft 協助恢復系統運作,以及對外完全公開透明處理整個事件。該公司立即通知挪威和國際執法機構,管理層定期舉行網上直播回答問題,高層每日召開記者會,並透過 Facebook 發布最新消息,更邀請記者進入控制室採訪。
事件雖造成 7,000 萬美元損失,Norsk Hydro 卻成為有效應對勒索軟件的典範企業,堅持不支付贖金。該公司透明公開分享攻擊資訊的做法,協助提升各產業的網絡安全意識。Microsoft 網絡安全解決方案企業副總裁 Ann Johnson 指出,企業數據屬於戰略資產,網絡罪犯期望取得這些資產,企業必須保護數據並進行備份。
勒索軟件運作模式演變
起訴書詳細描述 Volodymyr Tymoshchuk 的犯罪手法。2020 年 7 月至 2021 年 10 月期間,Volodymyr Tymoshchuk 擔任 Nefilim 勒索軟件管理員,向包括共同被告 Artem Stryzhak 在內的其他成員提供勒索軟件使用權限,換取勒索贖金的 20% 佣金。Stryzhak 已於 2024 年在西班牙巴塞隆拿被捕,並於今年 5 月引渡至美國面對指控。
犯罪集團通常會為每個受害者特製勒索軟件執行檔案,創建只能解密特定受害者網絡的解密密鑰。受害者支付贖金後,犯罪分子會發送解密工具,讓受害者解密被勒索軟件程式鎖定的電腦檔案。研究人員指出,Nefilim 集團主要針對年收入超過 1 億美元的組織,部分報告更指出目標企業年收入至少達 10 億美元。
網絡安全公司 Group-IB 在 2023 年 11 月的研究報告中,將 Volodymyr Tymoshchuk 與 JSWORM、Karma、Nokoyawa 和 Nemty 等多個勒索軟件集團聯繫起來,並協助這些組織自 2019 年 4 月起在多個俄語黑客討論區招募成員。
企業面對勒索攻擊的應對策略
勒索軟件攻擊對企業營運造成嚴重衝擊,受害企業除了資料損失和業務中斷,還需承擔高昂的緩解和恢復成本。專家分析指出,企業應對勒索軟件攻擊需要採取多層次防禦策略。
網絡分割能夠防止勒索軟件快速擴散,企業應密切監控端點活動,因為端點管理除了能偵測惡意軟件,還能識別 PowerShell 和 PsExec 等合法工具的異常行為。備份策略至關重要,Norsk Hydro 正因擁有良好備份策略,才得以避免支付贖金。透明度對恢復信任具有重要作用,Norsk Hydro 的公開溝通方式便協助恢復了各方信任。
企業需要強化身分驗證機制,因為釣魚攻擊和憑證竊取屬於主要風險,員工培訓和強大的身分驗證措施不可或缺。定期進行網絡安全演練,確保員工了解應急程序,並建立與執法部門的溝通管道,在遭受攻擊時能夠迅速獲得支援。
執法部門加強國際合作打擊
美國司法部刑事司代理助理司法部長 Matthew R Galeotti 表示,部分攻擊導致企業營運完全中斷,直到加密數據能夠恢復或還原。這次起訴和懸賞公告反映執法部門決心保護企業免受數碼破壞和勒索,無論罪犯身處何地都會追查到底。
2022 年 9 月國際執法部門透過「No More Ransomware Project」計劃,公開發布 LockerGoga 和 MegaCortex 勒索軟件的解密密鑰,讓受害企業能夠在不支付贖金的情況下恢復數據。執法部門與 Europol、德國、法國和挪威等多個國家的執法機構緊密合作,展開為期兩年的調查行動。
美國國務院跨國有組織犯罪獎勵計劃授權的懸賞金額達到 1,100 萬美元,顯示執法部門對打擊勒索軟件犯罪的重視程度。聯邦調查局設立專門熱線和電郵,鼓勵民眾提供線索協助破案。
未來發展趨勢與企業準備
勒索軟件攻擊持續演變,攻擊者不斷開發新的惡意軟件變種規避偵測。由於攻擊手法日益複雜和先進,企業需要將網絡安全風險納入戰略議程最高層級。整個攻擊價值鏈不斷發展,包括初始存取代理、勒索軟件開發者和附屬機構等多個參與者。
雲端環境成為新的攻擊目標,企業需要加強雲端安全措施。人工智能技術可能被用於開發更複雜的攻擊手法,企業需要採用先進的偵測技術應對。供應鏈攻擊風險上升,企業亦需評估第三方供應商的安全措施。
監管機構可能推出更嚴格的網絡安全法規,企業需要確保合規。網絡保險成為風險管理的重要工具,但保險公司對承保條件要求更加嚴格。企業需要建立網絡韌性文化,確保全體員工了解網絡安全的重要性。
