勒索病毒WannaCry 敲響的警鐘:經由資料外洩來賺黑心錢的模式已不流行

傳統經由資料外洩來賺黑心錢的模式已不流行,勒索病毒 WannaCry以一個公開的漏洞 (MS17-010) 以及從美國國安局外流的「EternalBlue」漏洞攻擊程式,再加上全球目前仍有大量未更新和已終止支援的 Windows 作業系統,在短短 48 小時內就已喚醒了大家的意識,是時後面對日益壯大的網路犯罪地下市場及網路犯罪分子了….

 

勒索病毒WannaCry 與美國行政命令

 

作者:Ed Cabrera (趨勢科技網路安全長)

上週,美國白宮發表了一份行政命令,標題為「強化聯邦網路與重大基礎建設的網路資安」(Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure)。諷刺的是,同一週,全球遭到了有史以來最大規模的單一勒索病毒攻擊(WannaCry(想哭)勒索病毒/勒索蠕蟲),據估計,全球已有 150 多國 20 多萬名受害者。本文的用意在於提醒大家注意星期五的行政命令,因為其中有一些不錯的規定,也順便點出其中不足之處,尤其是面對日益壯大的網路犯罪地下市場及網路犯罪分子。相信關於這一點,此次攻擊在短短 48 小時內就已喚醒了大家的意識,而且效果遠超過上千篇的部落格文章。

正當 Pawn Storm 的網路間諜與網路宣傳活動引起眾議之際,一波新的勒索病毒攻擊讓大家真正見識到當前全球最大的網路安全威脅,也就是:跨國網路犯罪。傳統經由資料外洩來賺黑心錢的模式已不流行,現在,網路勒索更有賺頭。勒索病毒攻擊基本上就是「快又狠」。網路犯罪集團幾小時或幾天之內就能海撈一票。這波攻擊利用了一個公開的漏洞 (MS17-010) 以及從美國國安局外流的「EternalBlue」漏洞攻擊程式,再加上全球目前仍有大量未更新和已終止支援的 Windows 作業系統仍在使用當中。儘管資安產業大多專注在感染症狀、漏洞管理的重要性、良好的網路使用習慣,以及國家級的駭客攻擊等等,但真正迫切的毒瘤是全球虛擬與實體犯罪天堂數量龐大的跨國網路犯罪人口。

看看美國的這份行政命令,再對照此次的攻擊,其有些規定確實能幫助聯邦政府適當評估其部門和機構的網路攻擊風險。而更重要的是,管理這些風險的責任和預算將交由部長級與局長級的人員來負責。在聯邦政府資安長 (CISO) 們的努力下,聯邦政府的資安情況已經獲得改善,但這項轉變若要持續下去,他們就必須獲得所需的資源。所以問題是:聯邦政府的資安長們 (或權責單位) 是否將掌握充分的資源來面對不斷變化的威脅情勢。這又回到我對這份行政命令的最大質疑:該命令只是治標而不治本。它並未充分發揮團隊合作的力量。俄羅斯地下市場的網路犯罪分子在這波攻擊當中展現了相當程度彼此信賴。過去 17 年來,他們創造了一個讓各技術層次的網路犯罪分子都能共同策劃、發動攻擊並共享利潤的機制,其受害者遍及各國的公家機關和民間企業。反觀我們,目前就連達成自我防衛的最基本互信都還做不到。

不過好消息是,經過了這次的事件,事情開始有所轉變,全球各地的資訊分享分析中心 (Information Sharing Analysis Center,簡稱 ISAC) 與資訊分享分析機構 (Information Sharing Analysis Organization,簡稱 ISAO) 以及其會員和資安產業合作夥伴們,一直不眠不休地提供一些可採取行動的情報。我要特別恭喜 HITRUST 成功地將訊息傳達給美國的醫療機構來協助發掘並分享一些偵測指標與災情評估。此次的合作讓我們不僅能保護我們自己的客戶,更對整體產業的防禦能力帶來正面影響。

在我們建立一套全面的機制來解決跨國網路犯罪問題、讓歹徒無法來去自如、無利可圖之前,同樣的情況還會繼續發生。目前我們可以做的就是:繼續保持合作,透過一次一次像這樣的事件來建立彼此的信任,最終就能提升我們全體的防禦能力。

[編輯備註:如需最新的 WannaCry 資訊與相關的趨勢科技產品訊息,請參閱。] 

 

 

《 勒索病毒》RaaS 加入了 CaaS 的行列,企業該如何防範新一代網路犯罪?

作者:趨勢科技網路安全長 (Chief Cybersecurity Officer,CCO ) Ed Cabrera

多年以來,「網路犯罪服務」(Cybercrime as a Service,簡稱 CaaS) 已在深層網路(Deep Web)地下論壇當中蔚為一股風潮。一些缺乏經驗的網路犯罪分子 (坦白說也是出於懶惰),只要向一些老手購買 CaaS 工具和服務,就能輕輕鬆鬆發動一些惡意程式、垃圾郵件(SPAM)網路釣魚(Phishing)或其他惡意攻擊行動,一切只需點點滑鼠即可。這些現成的工具套件使用起來幾乎不費力氣、也不需花大錢、更不需經驗,就連只會寫寫腳本的初階駭客也能上手,但卻可以帶來高報酬。

而最新的「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS) 毫不意外地,這項最新的服務,已造成新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族的數量大增,光是2016 上半年就比去年一整年暴增 172%,而 RaaS 的出現,也讓原本大多針對個人使用者的攻擊,現在也開始對企業造成嚴重威脅。

企業的資料和商譽陷入前所未有的危險當中,最終甚至可能危及企業的生存,因為有了 RaaS 之後,網路犯罪分子就能發動多起勒索病毒攻擊,有助於他們在地下論壇打響名號。他們的目標就是挾持企業最寶貴的資產,包括:重要的連絡人資訊、業務資訊或是企業關鍵檔案。企業一旦損失這些數位檔案,將帶來嚴重的後果,包括:營業損失、營運中斷、法律賠償以及商譽損失。

企業的資安長 (CISO) 與 CXX 級高階主管,有責任採取必要的安全措施來妥善保護企業的寶貴資訊,並充分教育員工認識這項威脅。勒索病毒並非只有一種行為模式,因此資安對策也不能只靠單一防護。趨勢科技的多層式防護能協助企業降低風險,不讓攻擊進入系統,不論經由何種入侵點。我們提供了四層的防護來協助您降低風險:

RaaS 服務背後的犯罪集團,必須靠著他們的「客戶」(也就是使用其服務的犯罪分子) 來入侵企業系統,才能獲得不法利益。因此,他們會盡可能確保攻擊能夠遍地開花。這波風潮短期內應該不會消失,所以,別讓您的企業成為下一個受害者,成為駭客在深層網路上提高聲望的墊腳石。教育您的員工,備份您的檔案,最重要的是:部署一套多層式防護來保護您的資料。最終您會發現,您所花費的時間和金錢,都將值得。

如需更多資訊,請參閱:http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransomware-as-a-service-what-this-means-for-enterprises

原文出處:Protecting Your Enterprise against a New Generation of Cybercriminals)

Sony 被駭屆滿周年,資料外洩事件仍繼續延燒

作者:Tom Kellermann(趨勢科技網路安全長)

Sony被駭所發生的嚴重資料外洩事件已經屆滿周年了,駭客所造成威脅的數量和破壞持續上升著,成為美國政府機構和企業所必須面對的威脅。我們應該了解到,Sony並不孤單。

趨勢科技最近的一份報告「在美洲的網路安全和關鍵基礎設施防護」調查了500多名從阿根廷到加拿大的資訊安全長,帶來令人不安的氣氛。有44%的受訪者承認在2015年經歷過「刪除和銷毀」攻擊。在西半球,很顯然懲罰性攻擊在轉移和擴散。美國的國家情報總監(DNI)James Clapper表示他認為「下一個要挑戰界線的會是操縱或刪除資料。」

Clapper總監深深的了解不對稱的網路能力正在擴散著。主要黑暗網站論壇 輸出著具有破壞性的惡意軟體,包括 Shamoon、Destover 和 Cryptowall 勒索軟體。讓網路犯罪分子能夠設計複雜且具有破壞性的攻擊。我們觀察到二次感染出現在許多針對性目標攻擊(Target attack )中。這些二次感染會去部署具有干擾性甚或是破壞性的惡意軟體來破壞資料的完整性。這種懲罰性策略被用來對付事件回應措施。 Continue reading “Sony 被駭屆滿周年,資料外洩事件仍繼續延燒”

對駭客發動制裁:是好還是壞?

訴訟 法院

新聞報導美國政府正考慮對攻擊美國企業機構的中國和俄羅斯個人駭客或駭客集團實施制裁。儘管針對政府機關 (如美國人事管理局) 的駭客攻擊較引人注意,但此次的制裁「並非」針對這類攻擊。

這樣的制裁看起來好像是一大進步,因為過去美國政府從未採取過類似措施來對付駭客。但就許多方面來說,其實也還好。過去美國政府就曾經對其他類型的犯罪組織採取類似行動。例如,2011 年即曾經頒布針對跨國性犯罪集團的行政命令。此外,其他政府機關 (如財政部) 也對一些其他犯罪團體實施過制裁。這些制裁通常都是金融性的,例如查封歹徒在美國境內的資產,或者透過美國金融機構來凍結資產。

美國政府經常利用針對民間個人的制裁來遏止犯罪活動侵害美國人民或企業機構。那麼,這次的制裁到底好還是不好?能不能遏止犯罪集團針對美國企業的網路犯罪?

從大方向來看,針對犯罪份子或犯罪團體的制裁仍是個不錯的想法。在無法透過美國法律硬性管束的情況下,這不失為一種實際的軟性手法。尤其是沒收財產 (包含比特幣(Bitcoin)等等數位貨幣),將是打擊網路犯罪集團一項很有力的手段。此外,也與美國原本打擊組織犯罪和毒品走私的立場一致。

過去,趨勢科技的研究人員已多次和執法單位密切合作,未來仍將盡可能提供協助。只不過,受過訓練的執法人員和資安研究人員在數量上永遠跟不上網路犯罪份子。因此,我們必須摧毀網路犯罪活動賴以生存及獲利的基礎架構和後援機制。 Continue reading “對駭客發動制裁:是好還是壞?”