駭侵集團創新營運模式 ：提供多元服務、擴大受害範圍與獲利

資安顧問公司 Secureworks 研究指出，DragonForce 和 Anubis 這兩個 RaaS 組織推出新的商業模式，藉此吸引更多駭客加入其惡意活動。這些勒索軟體集團如同一般企業，持續開發新服務以擴大市占率和獲利，並善用當前生態系的混亂來提供駭客更多合作方式。

DragonForce 與 Anubis 的新營運模式

根據 Secureworks 資安威脅研究團隊（CTU）的調查，DragonForce 最初於 2023 年 8 月以傳統的勒索軟體即服務（RaaS）模式營運，並於上個月轉型為「犯罪集團聯盟」形式。該駭客集團於今年 3 月 19 日在暗網駭客論壇發布公告，表示其加盟商可建立自有「品牌」，除了使用 DragonForce 提供的基礎設施外，也能運用自行開發的惡意程式。

Secureworks 指出，在此模式下，DragonForce 提供基礎設施和工具，但不強制加盟商使用其勒索軟體。服務內容包括管理和客戶後台介面、加密和勒索談判工具、檔案儲存系統、基於 Tor 的資料外洩網站和 .onion 域名，以及相關技術支援。

研究人員表示，此新模式不同於一般 RaaS，主要鎖定那些已有惡意程式但缺乏技術能力或基礎設施支援的攻擊者。不過，研究人員也提醒，一旦其中一個加盟商遭入侵，可能會導致其他加盟商的營運細節與受害者資料外洩。

另一方面，Secureworks 指出 Anubis 自今年 2 月起推出三種加盟商模式：傳統 RaaS 模式（加盟商可獲得 80% 贖金）、「資料勒索」選項（Anubis 協助加盟商竊取並勒索資料）、以及「存取權變現」選項（協助威脅組織對已入侵的受害者進行勒索，加盟商可獲得 50% 贖金）。資料竊取選項則提供加盟商 60% 的淨利。

這種「資料勒索」模式讓人聯想到威脅行為者採用內容行銷手法進行勒索。

根據 Secureworks 的說明，資料勒索選項包含在受密碼保護的 Tor 網站上發布詳細的「調查文章」來分析受害者的敏感資料。威脅行為者會授予受害者存取權限，並提供談判付款連結。若受害者拒絕支付贖金，威脅者便會在 Anubis 的資料外洩網站公開文章，同時透過 X 平台公布受害者名單，藉此施加壓力。

此外，這些攻擊者還揚言會通知受害者的客戶，以及美國、英國和歐洲的相關監管機構。

防範與應對策略

Anubis 和 DragonForce 展現出更精密的手法來吸引潛在加盟商。Anubis 的資料勒索模式採用內容行銷策略，而 DragonForce 則提供類似代管服務的「全套基礎設施方案」給駭侵者使用。這些手法雖然看似創新，但其實並非首次出現。

資安威脅組織（尤其是勒索軟體集團）長期以來就經常模仿正規企業的營運模式。以已停止運作的 Maze 勒索軟體集團為例，他們將自身包裝成服務提供者，把勒索軟體偽裝成「紅隊測試產品」，稱受害者為「合作夥伴」或客戶，甚至在暗網上發布「新聞稿」來公告資料外洩訊息。

近期勒索軟體攻擊事件的發生頻率雖已趨緩，但仍持續對社會造成重大影響。值得注意的是，針對遏止勒索軟體集團獲利所採取的各項措施，已逐漸產生效果。

而對於如何防範勒索軟體，Secureworks 資安威脅研究團隊在其研究報告中提出了一些最佳實務建議。

研究人員指出，預防性防護措施比事後補救更有效率。建議組織採取以下措施：定期更新對外服務系統的修補程式、實施多因子身分驗證（MFA）作為條件式存取政策、建立完善的資料備份機制，並持續監控網路和終端設備的可疑活動。同時，組織應建立資安事件應變計畫，並進行定期演練，以確保在遭受勒索軟體攻擊時能快速反應。

本文轉載自 DarkReading、TheRecord。