分類: 企業資安

近年來，勒索病毒已成為一項嚴重的資安威脅，有可能讓供應鏈陷入重大危機。

勒索病毒已成為一項嚴重的資安威脅，同時也是董事會的討論焦點。勒索病毒是一種可將電腦鎖住讓使用者無法使用的惡意程式，駭客會將系統畫面鎖住，或者將檔案加密，然後向使用者勒索一筆贖金來解開電腦或檔案。

勒索病毒最早在 2005 至 2006 年間出現於俄羅斯，隨後便橫掃全球，成了一種駭客獲利模式。到了 2012 年，趨勢科技發現歐洲和北美已經持續不斷有感染案例出現。

在新冠肺炎(COVID-19)疫情期間，勒索病毒更是達到了新的巔峰，根據一份研究指出，勒索病毒在去年暴增 105%，勒索病毒攻擊偵測數量破億。這突如其來的暴增，主要是因為企業紛紛投入數位轉型與遠距上班。

除此之外，所謂的「勒索病毒服務」(RaaS,Ransomware-as-a-service) 商業模式也引來一批新的犯罪集團，使得勒索病毒威脅在數量與種類上都不斷增加。還有所謂的「首次入侵仲介」(Initial Access Broker，簡稱 IAB) 集團專門為其他駭客提供進入企業的入口，這類集團會先透過網路釣魚攻擊或遠端桌面 (RDP) 駭入企業，接著再讓加盟的犯罪集團透過各種工具在企業內竊取資料和散播勒索病毒。 一些「瞄準大型獵物」的精密攻擊專挑大型企業下手，但中小企業遭受攻擊的數量反而更多。駭客使用雙重、三重、甚至四重勒索手法來逼迫受害者支付贖金的情況，已經是家常便飯。一些最積極的駭客集團 (如 Conti 和 REvil) 甚至獲利數十億美元。

一些「瞄準大型獵物」的精密攻擊專挑大型企業下手，但中小企業遭受攻擊的數量反而更多。駭客使用雙重、三重、甚至四重勒索手法來逼迫受害者支付贖金的情況，已經是家常便飯。一些最積極的駭客集團 (如 Conti 和 REvil) 甚至獲利數十億美元。

勒索病毒事件

光是最近兩年，勒索病毒就感染了不少大型企業，造成數百萬美元的損失。

🟥 Kaseya
2021 年 7 月，Kaseya 表示他們的系統遭到駭客滲透，造成大約 1,500 家使用該公司服務的企業機構受到影響。REvil 出面承認這起攻擊，並要求數千至 5 百萬美元的贖金。該公司拒絕支付，並與美國聯邦調查局 (FBI) 及美國網路資安與基礎架構安全局 (CISA) 合作取得了一個通用的解密金鑰。

🟥 Benttag
Benttag 的北美分公司在 2021 年 5 月失竊了大約 150GB 的資料。DarkSide 出面承認這起攻擊並要求 750 萬美元的贖金，經過幾天的交涉，最後降至 440 萬美元的比特幣 (Bitcoin)。

🟥 Colonial Pipeline
同樣在 2021 年 5 月，Colonial Pipeline 事件登上全球新聞版面，這起攻擊導致這家美國最大的輸油管營運公司停擺。DarkSide 經由某個可存取該公司網路的 VPN 帳號入侵了該公司的系統。 DarkSide 除了將 Colonial Pipeline 的電腦系統鎖死之外， 還 竊取了超過 100 GB 的企業資料。

Nvidia
2022 年 2 月，全球最大半導體晶片公司遭到勒索病毒攻擊。駭客集團 LAPSUS$ 宣稱偷走了 1TB 的資料，包括有關 Nvidia 硬體與軟體的檔案。駭客要求該公司以虛擬加密貨幣支付贖金，否則要將這些資料外流。Nvidia 迅速採取更嚴格的安全措施來回應，並與網路資安事件應變專家合作將局勢控制下來。

供應鏈勒索病毒攻擊

目前約有 25% 的資料外洩事件都有勒索病毒的蹤影，較去年成長 13%。FBI 接獲的報案數量從 2017 至 2021 年成長了 109%，而且這還只是冰山一角。

駭客隨時都在尋找獲取暴利的機會，因此供應鏈已經成為他們覬覦的目標。對駭客來說，供應鏈不僅是一種防禦更弱的目標，而且還有機會讓獲利翻倍，因為只要滲透一家供應商，就有機會連帶感染多家企業。

此外，企業的受攻擊面也因為供應鏈的關係而變得更加分散，從雲端、軟體供應商，到專業服務公司與其他連帶機構。這其中的每一個環節都可能含有高等網路存取權限，或儲存了客戶資料。

因此，每個環節都代表著一項潛在的資安風險必須妥善處理。但供應鏈通常不太透明且界線不清，其資安控管也趨於被動，就算有也是零零星星。這樣的情況必須改變。

我們的研究發現：超過七成的台灣企業供應鏈曾遭勒索病毒襲擊

為了深入探究這項議題，趨勢科技委託 Sapio Research 調查了 全球 26 個國家 2,958 名 IT 決策者，涵蓋：英國、比利時、捷克、荷蘭、西班牙、瑞典、挪威、芬蘭、丹麥、法國、德國、瑞士、奧地利、美國、義大利、加拿大、台灣、日本、澳洲、印度、波蘭、香港、墨西哥、哥倫比亞、智利，以及巴西。

根據該研究結果，台灣有高達87% 的 IT 負責人認為他們的企業正因合作夥伴與客戶的關係而更容易成為勒索病毒覬覦的目標，而有六成以上 (61%) 企業的供應鏈大部分是由資安防護通常較弱的中小企業所組成，使得這項挑戰變得更加嚴峻。▷更多相關報導

想要提升供應鏈安全，很重要的一點就是要讓勒索病毒的風險透明化。然而在我們調查的企業當中，只有 47% 會與供應商分享有關勒索病毒攻擊的知識，另有 25% 表示他們不會與合作夥伴分享可能有用的威脅資訊。此外，勒索病毒活動的偵測率也出奇的低：

防範勒索病毒風險應從企業內部做起，這樣也有助於防止駭客與供應商聯繫，因為駭客會拿合作夥伴來逼迫受害者付款。

更安全的供應鏈

儘管沒有一種萬用的解決方案可以降低供應鏈的勒索病毒攻擊風險，但還是有一些最佳實務原則可以建立一個更好、更安全的供應鏈。其關鍵就在於全面掌握供應鏈的情況以及相關的資料流向，同時也要找出高風險的供應商。

不僅如此，可以的話也應根據產業基準定期執行稽核。同時，在招募新的供應商時也應落實這些檢查。

除了最佳實務原則之外，供應商及客戶還應採取以下防範措施：

• 所有裝置和服務都實施最低授權政策。
• 使用多重驗證來保護機敏資訊。
• 在採用開放原始碼元件並將它們納入 CI/CD 流程之前，應先執行漏洞/惡意程式掃描。
• 採用 XDR來預先發掘並解決威脅，不讓威脅造成損害。
• 套用全方位的多層式防護，包括電子郵件、伺服器、雲端、網路、端點。
• 執行持續的風險導向修補管理與漏洞管理。
• 經常舉辦使用者教育訓練。
• 根據    3-2-1 原則定期備份。
• 導入受攻擊面管理 (ASM) 工具。
• 定期執行滲透測試與漏洞測試。
• 定期測試事件應變計畫。
• 將儲存中與傳輸中的資料加密。

針對上述這些關鍵的資安控管，趨勢科技可提供不少協助，最關鍵的是，我們採用 Trend Micro One 單一平台來提供 ASM 及全方位的防護、偵測及回應。

◉原文出處： The Risk of Ransomware Supply Chain Attacks

 🔴一般用戶

假使您也不幸成了受害者，請保持冷靜，最好向外尋求協助，但不要支付贖金。而平時，最好可以安裝一套防毒軟體的即時防護。如 趨勢科技 PC-cillin 的「勒索剋星」可為您的寶貴檔案提供多一層防護。》立即免費下載試用

🔴 企業用戶
建議企業採用一套跨世代的多層式防護技術來防止最新勒索病毒攻擊，在適當時機套用適當的技術來保護您的使用者和資料。》立即前往了解