勒索病毒 Ransomware (勒索軟體)和網路釣魚(Phishing)攻擊至今仍持續肆虐,而且很可能越來越受駭客集團青睞。本文分享一份研究調查結果,以及一些能幫助您防範這類威脅的建議。
趨勢科技有幸贊助了 Osterman Research 的一份最新研究報告: 如何降低網路釣魚及勒索病毒的風險 (How to Reduce the Risk of Phishing and Ransomware),內容提供了一份針對中大型企業機構網路資安人員的研究調查。這份研究結果,印證了趨勢科技過去一年所觀察到的諸多現象,在這裡跟大家分享一下其中的一些發現以及我個人的看法。
勒索病毒Ransomware (勒索軟體)和網路釣魚(Phishing)是我們客戶每天都會遇到、並深受其害的兩大威脅。根據這份研究報告指出,它們也是受訪者最擔心的兩大問題:
趨勢科技最新研究點出防範網路釣魚和勒索病毒的祕訣
【2021年8月9日,台北訊】全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704)發布一份新的研究顯示,半數的美國企業機構皆無法有效對抗網路釣魚和勒索病毒威脅。
完整報告「如何降低網路釣魚和勒索病毒的風險」(How to Reduce the Risk of Phishing and Ransomware)
趨勢科技威脅情報副總裁 Jon Clay 表示:「正如這份研究所示,網路釣魚和勒索病毒在疫情來襲之前就已經是企業的一項嚴重資安風險,而大規模的遠距工作模式,更加深了這項威脅的力道。企業機構需要多層式防禦才能防範這類風險,例如網路釣魚演練以及像 Trend Micro Vision One 這樣的進階威脅偵測及回應平台,讓資安團隊在駭客造成損害之前預先獲得警示。」
繼續閱讀為何將贖金列為扣除額反而會傳遞錯誤訊息給駭客和受害者?
美國白宮正面臨日益龐大的壓力,必須拿出具體對策來因應橫掃美國及全球的勒索病毒 Ransomware (勒索軟體)疫情。就在我們等待的同時,媒體卻報導了一則新聞指出,政府有可能不小心變相鼓勵遭到勒索病毒攻擊的企業支付贖金。
根據美聯社 (Associated Press) 一篇文章指出,美國國稅局 (IRS) 打算讓企業在年度報稅時將他們所支付的勒索病毒贖金扣除,而事情似乎不應該這樣發展。
繼續閱讀大型勒索病毒(勒索軟體/綁架病毒)攻擊持續攻擊全球的企業。無論是在財務、商譽或生產力方面,這些攻擊都會造成重大損害。趨勢科技最近將這情況稱為網路犯罪盛夏(Summer of Cybercrime)。
對大多數案例來說,只要努力做好網路安全習慣就有辦法防範這些攻擊。這是阻止現代勒索病毒攻擊繼續成長下去的關鍵。
現代勒索病毒會運用各種工具和策略來掃描企業基礎設施並找到企業的珍貴資料。通常來說,最初的進入點是尚未被修補的已知漏洞。
◼延伸閱讀: 應對洗劫數百萬美元的勒索病毒,企業的七個預防對策
最近一起針對Kaseya的事件裡利用了未知或零時差漏洞。雖然這類案例越來越少見,但還是有辦法阻止針對新漏洞的攻擊。
◼延伸閱讀: IT 管理平台 Kaseya 遭受 REvil/Sodinokibi 勒索病毒攻擊
不管攻擊者如何進入企業環境,在到達加密資料和勒索贖金的最後一步前,還是能夠在幾個點上進行偵測並阻止。
以下是今日的勒索病毒攻擊所可能發生的四種攻擊等級
單純只有勒索病毒。將檔案加密,留下一封勒索訊息,然後等著收錢 (比特幣 Bitcoin)。
勒索病毒 + 資料外洩,如果沒有收到付款就威脅要公開出去。Maze 是第一個採用此手法的已知案例,隨後其他犯罪集團也立即跟進。最近能從對Colonial Pipeline的攻擊中看到。
雙重勒索 + 威脅發動DDoS攻擊。Avaddon是第一個採用此手法的已知案例,
◼ 延伸閱讀: 「這是你嗎?」新勒索病毒Avaddon裝熟,內文只有一個笑臉符號
勒索病毒 +(資料外洩或DDoS攻擊)+ 直接向受害者的客戶發送電子郵件。根據研究人員 Brian Krebs 指出,Cl0p 是第一個採取這種手法的攻擊。
🔻 延伸閱讀:
剖析最強網路犯罪集團 Nefilim :只攻擊營收超過 10 億美元企業的勒索病毒
美國最大燃油工業業者Colonial Pipeline 勒索病毒攻擊事件只是開端,如何避免新一波攻擊?
專門設計來封鎖勒索病毒等惡意威脅的安全功能通常有能力阻止多重勒索及破壞性攻擊。對許多企業來說,這是件頭疼的例行工作,但也可以選擇讓資安合作夥伴管理你的安全堆棧(Security Stack)。
以下是四個可以減輕這些攻擊所帶來風險的建議:
◼延伸閱讀: 利用機器學習(Machine learning)透過有限樣本偵測病毒爆發
安裝廠商發布的最新修補程式來防止已知漏洞攻擊。虛擬修補技術也有助於在官方修補程式可用前填補安全空窗期。
這讓攻擊者難以利用被竊帳密來取得系統的存取權限。
萬一真的遭受到勒索病毒攻擊,關鍵是要保持至少三份以兩種不同格式儲存的資料副本,其中一份副本儲存在異地。這能夠讓你無需支付贖金來解密檔案就可以恢復運作。
這些並非是唯一能幫助確保公司安全的作法,但它們能夠防止今日最常見的勒索病毒攻擊進入點。啟用安全解決方案的全部功能並針對你的環境進行最佳化,可以補好安全間隙並在攻擊者開始前就將其阻止。
趨勢科技的機器學習和行為監控功能可以識別 Kaseya 事件裡的勒索病毒組件。這意味有著我們的高效能技術,客戶在攻擊被廣為人知前就已經得到了保護。對於沒有資源自行維護安全堆棧(Security Stack)的客戶,我們可以幫他們管理以確保提供最高等級的保護。
這裡提供更多趨勢科技如何防範Kaseya事件的具體資訊。
@原文出處:Summer of Cybercrime Continues: What To Do 作者:Jon Clay
本文探討針對 Linux 平台的 DarkSide 勒索病毒變種,說明它如何攻擊 VMware ESXI 伺服器的虛擬機器 (VM) 相關檔案、讀取自己的組態設定,然後終止虛擬機器、將受感染電腦的檔案加密,並且將蒐集到的系統資訊傳送至遠端伺服器。
正如我們上一篇部落格指出,DarkSide 勒索病毒正瞄準美國、法國、比利時、加拿大等地的製造、金融、關鍵基礎建設等產業。DarkSide 勒索病毒可攻擊 Windows 和 Linux 平台。此外,我們也注意到其 Linux 變種專門攻擊 ESXI 伺服器。
🔻延伸閱讀:
Darkside再挑釁!癱瘓美東輸油動脈後 又駭進3家企業勒贖
