勒索病毒家族數量減少,但感染為何持續發生?

在當前的威脅環境中，網路安全顧問和 IT 管理人員必須謹記，勒索病毒 Ransomware (勒索病毒/綁架病毒)對於個別使用者、大多數企業和組織，皆會構成普遍和危險的威脅。

這些感染首次出現時，以技術專家前所未見的型態，結合強大的加密和敲詐手法，迫使受害者支付贖金。然而過往案例顯示：即使向歹徒支付比特幣(Bitcoin）之後，也未必能恢復重要資料和平台的存取權限。

根據趨勢科技的報告《看不見的威脅，迫在眉睫的損失》(Unseen Threats, Imminent Losses)，自 2018 年初迄今，成功偵測到的勒索病毒僅些微增加，無助於減緩勒索病毒對企業資安造成的威脅。

勒索病毒家族數量減少

不久之前，幾乎每天都會出現新的勒索病毒家族，許多新樣本以有趣甚至聳動的名稱出現，勒索病毒更以不同的方式發動攻擊，使得部署主動防禦機制格外困難。

令人欣慰的是，趨勢科技研究人員發現，在 2018 年上半年，新型勒索病毒家族減少了 26%。此外，成功偵測到的勒索病毒活動，總共只增加了 3%。

乍聽之下似乎是個好消息，但勒索病毒活動依然盛行，部分惡意攻擊者因散布勒索病毒牟取可觀利潤，在食髓知味，依然熱中此道。

趨勢科技在《看不見的威脅，迫在眉睫的損失》(Unseen Threats, Imminent Losses)中表示：「在網路安全的領域中，雖然勒索病毒體的盛行率已達高原期，但企業仍須保持警惕，不過這場步調的改變，可能是因為勒索病毒漸受關注，使得預防和緩解方法得以改進。」

在增強安全防護方面，組織的首要之務是瞭解勒索病毒的樣本和散布方式，以及這些策略如何命中弱點，使系統受到感染。組織若能提高警覺，防範主要的勒索病毒散布手法，就可以降低這類威脅的風險。

正如趨勢科技的 TrendLabs 在另一份報告《勒索病毒：過去、現在和未來》中指出，樣本可採用多種方式散布，包括垃圾電子郵件和網路釣魚(Phishing)式攻擊、遭感染的網站和網頁，以及漏洞攻擊套件。我們將深入檢視各種手法的近期範例。

研究人員在發現：2018 上半年，新型勒索病毒家族減少了 26%。雖然 2018 上半年勒索病毒家族數量減少，但無論規模大小或產業類別，這種攻擊依然盛行。

GandCrab勒索病毒,釣魚式攻擊每天產生數以千計的垃圾郵件

常見的散布方法包括釣魚式攻擊和串連垃圾電子郵件訊息，通常藉由社交工程（social engineering）陷阱和其他策略，誘騙使用者開啟被感染的電子郵件、連結或可下載的附件。

據 ZDNet 的 Danny Palmer 報導，最近的釣魚攻擊就曾使用這種方法，試圖以 GandCrab 勒索病毒樣本感染使用者。自 GandCrab 在 2018 年 1 月首次曝光後，安全研究人員發現勒索病毒的製造者已進行數度更新，試圖藉此提高贖金獲利。

最近與 GandCrab 有關的攻擊包括釣魚式電子郵件訊息，信中會提到重要的付款、發票、票券和訂單訊息，並隨附 JavaScript 附件，用來執行來自遭感染 URL 的勒索病毒。電子郵件訊息會引誘收件人「盡速開啟附件並回覆」，而 Fortinet 提供的截圖顯示，其署名為「HTF 客戶中心」。

遭 GandCrab 感染的受害者會連往一個 Tor 瀏覽器網站，要求支付 400 美元的贖金，才能取得解密鑰匙。

Palmer 寫道：「每天都有數千封 GandCrab 垃圾電子郵件散布出去，主機設於美國的郵件伺服器是迄今最常見的目標，占 3/4 的散布量。」「在感染得逞次數方面，目前美國受害者的百分比排名第 4，前三名依序是秘魯、智利和印度。」

在企業面臨的威脅當中，勒索病毒是一個持續存在的問題。

Fallout 漏洞攻擊套件散布 GandCrab 勒索病毒

GandCrab 不僅是近期釣魚式垃圾電子郵件攻擊行動的核心，趨勢科技研究人員還發現 GandCrab 勒索病毒樣本涉及一種稱為「Fallout」的新型漏洞攻擊套件。

它看起來與另一個原本活躍的套件「Nuclear」極為相似，利用 Windows VBScript 引擎的漏洞 (2018 年 5 月修補完成)，及/或某個 Adobe Flash 漏洞 (2017 年 2 月修補完成) 入侵系統。Fallout 可以藉此執行 SmokeLoader 木馬程式，這是惡名昭彰的勒索病毒支援程式和資料竊取惡意軟體。在其它不使用 SmokeLoader 的案例中，Fallout 會散布 GandCrab，感染並鎖死 Windows 系統，直到用戶支付贖金為止。

專家建議，組織應確保安裝正確的修補程式，以防止漏洞攻擊套件刺探已知漏洞，進而感染系統。

一封 PDF誤觸「下載即啟動」攻擊使整座城市遭受勒索病毒感染

除了垃圾電子郵件、網路釣魚攻擊和漏洞攻擊套件，駭客還持續利用「下載即啟動」方式，來使勒索病毒感染得逞。根據駭客新聞編輯 Mohit Kumar 的報導，華盛頓州 Issaquah 市政府的一名員工開啟了一個惡意 PDF 檔案 (來自一個非營利獎金籌劃網站)，就導致了上述情況。在這件案例中，犯案樣本是自 2013 年起帶來普遍威脅的 CryptoLocker。

老舊的備份系統，加上 IT 和安全性資源有限等弱點，就讓這起感染事件重創了 Issaquah 市及其政府的 IT 基礎設施。

感染事件發生後，該市斥資建立了新的備份和災難恢復解決方案，官方表示目前已令人較為安心。

3 招防止勒索病毒

讓我們來看看，企業在主動防範惡意軟體感染時，應該採取哪些最佳實務︰

提高警覺和使用者教育︰GandCrab 釣魚式攻擊和垃圾電子郵件活動，以及 Issaquah 市的「下載即啟動」案例都突顯出，組織有必要對勒索病毒的策略提高警覺。首要之務就是對使用者進行宣導，因為一旦他們學會辨別可疑跡象，並懂得採取適當措施 (例如不開啟未知寄件人的電子郵件或附件)，就能成為避免感染的第一道防線。
即時修補與更新︰GandCrab 會利用常見和曾經修補的系統漏洞，來支援其惡意感染的活動。在這些案例中，適當的修補有助於防止攻擊。因此，企業必須盡快套用廠商發佈的修補程式和更新。
安全的瀏覽器︰尤其重要的是，必須妥善保護常用的瀏覽器，以防範漏洞攻擊套件所散布的勒索病毒。過去的案例證實，勒索病毒駭客可以利用遭感染網站、登錄頁面或惡意廣告等元素，入侵系統得逞。URL 分類等技術有助於篩除惡意的網站和內容，是一項有效的主動防護措施。

◎原文來源: Ransomware Threat Continues: How Infections Take Place

PC-cillin 雲端版整合 AI 人工智慧的多層式防護，精準預測即時抵禦未知威脅 >>即刻免費下載試用