这两个月不断在台湾攻击医院、上市柜公司的勒索软体骇客组织CrazyHunter,在4月初刑事警察局公布骇客身分后,最近有资安业者透露其作案手法,并认为该组织的主要攻击目标,就是台湾。
本周趋势科技公布相关调查结果,他们提及骇客利用的工具多半由GitHub就能取得,这代表骇客犯案的门槛并不高。
【攻击与威胁】
从今年2月开始攻击马偕、彰基,以及台湾多家上市柜公司而引起全台湾高度关注勒索软体骇客组织CrazyHunter,4月初刑事警察局公布骇客身分,并表示地检署已发布通缉,但对于骇客的攻击手法,近期终于有资安业者公布相关细节。
趋势科技本周透过部落格文章揭露这一系列锁定台湾的攻击调查结果,他们从1月初开始追踪、调查CrazyHunter,并确认该组织约有8成的作案工具透过GitHub平台取得,且借由自带驱动程式(BYOVD)手法回避侦测。而根据骇客架设的资料外泄网站,他们专门针对台湾的企业组织而来,尤其针对医疗保健及教育机构,但也有制造业及工业领域受害的情形。
针对骇客使用的工具,最引起研究人员注意的是勒索软体建置工具Prince,原因是此工具可直接从GitHub取得,且能让攻击者轻易产生变种勒索软体来降低攻击门槛。此勒索软体以Go语言打造而成,骇客采用ChaCha20与ECIES演算法加密受害电脑,并置换副档名为.Hunter。
【资安产业动态】
「许多人会问个资保护与资讯网路安全到底有什么关系?答案是两者之间有关系!」,个人资料保护委员会筹备处隐私科技组组长林逸尘在今年资安大会上这么说。林逸尘指出,对于资料及资安保护采取PDCA四大步骤,规画(Plan)、实施(Do)、检查(Check)、改善(Adjust),数发部产业署在2023年提出详细的PDCA各步骤要求,可供企业参考,只要公司内有资讯系统,除了要符合资讯服务业者的PDCA四大步骤,还需要遵守各自业别的法律规定及资料保护要求。
在PDCA里,「实施」要求企业需确保资料安全、人员安全、设备安全。林逸尘表示,只要企业有资讯系统及资讯设备,对个资进行存取、新增或修改,就需要符合资料安全、人员安全、设备安全的要求。其中在身分鉴别方面,除了传统使用的帐号及密码,近几年倡导使用多因子验证(MFA),因不同的因子安全性高低有别,因此,林逸尘也建议应该将因子安全性高低纳入考虑,例如采用电子凭证或生物特征,甚至是将更多的因子绑在一起,提高攻击的难度。
除了上述两项已经施行的凭证颁布安全机制外,Google也已提议淘汰某些基于WHOIS的弱验证,这些包括透过电子邮件、电话,以及传真与实体邮件等验证方法,以推动更安全的网域控制验证机制,该禁令预计于今年的7月15日生效。