在當前的威脅環境中,網路安全顧問和 IT 管理人員必須謹記,勒索病毒 Ransomware (勒索病毒/綁架病毒)對於個別使用者、大多數企業和組織,皆會構成普遍和危險的威脅。
這些感染首次出現時,以技術專家前所未見的型態,結合強大的加密和敲詐手法,迫使受害者支付贖金。然而過往案例顯示:即使向歹徒支付比特幣(Bitcoin)之後,也未必能恢復重要資料和平台的存取權限。
根據趨勢科技的報告《看不見的威脅,迫在眉睫的損失》(Unseen Threats, Imminent Losses),自 2018 年初迄今,成功偵測到的勒索病毒僅些微增加,無助於減緩勒索病毒對企業資安造成的威脅。
勒索病毒家族數量減少
不久之前,幾乎每天都會出現新的勒索病毒家族,許多新樣本以有趣甚至聳動的名稱出現,勒索病毒更以不同的方式發動攻擊,使得部署主動防禦機制格外困難。
令人欣慰的是,趨勢科技研究人員發現,在 2018 年上半年,新型勒索病毒家族減少了 26%。此外,成功偵測到的勒索病毒活動,總共只增加了 3%。
乍聽之下似乎是個好消息,但勒索病毒活動依然盛行,部分惡意攻擊者因散布勒索病毒牟取可觀利潤,在食髓知味,依然熱中此道。
趨勢科技在《看不見的威脅,迫在眉睫的損失》(Unseen Threats, Imminent Losses)中表示:「在網路安全的領域中,雖然勒索病毒體的盛行率已達高原期,但企業仍須保持警惕,不過這場步調的改變,可能是因為勒索病毒漸受關注,使得預防和緩解方法得以改進。」
在增強安全防護方面,組織的首要之務是瞭解勒索病毒的樣本和散布方式,以及這些策略如何命中弱點,使系統受到感染。組織若能提高警覺,防範主要的勒索病毒散布手法,就可以降低這類威脅的風險。
正如趨勢科技的 TrendLabs 在另一份報告《勒索病毒:過去、現在和未來》中指出,樣本可採用多種方式散布,包括垃圾電子郵件和網路釣魚(Phishing)式攻擊、遭感染的網站和網頁,以及漏洞攻擊套件。我們將深入檢視各種手法的近期範例。
研究人員在發現:2018 上半年,新型勒索病毒家族減少了 26%。雖然 2018 上半年勒索病毒家族數量減少,但無論規模大小或產業類別,這種攻擊依然盛行。
GandCrab勒索病毒,釣魚式攻擊每天產生數以千計的垃圾郵件
常見的散布方法包括釣魚式攻擊和串連垃圾電子郵件訊息,通常藉由社交工程(social engineering)陷阱和其他策略,誘騙使用者開啟被感染的電子郵件、連結或可下載的附件。
據 ZDNet 的 Danny Palmer 報導,最近的釣魚攻擊就曾使用這種方法,試圖以 GandCrab 勒索病毒樣本感染使用者。自 GandCrab 在 2018 年 1 月首次曝光後,安全研究人員發現勒索病毒的製造者已進行數度更新,試圖藉此提高贖金獲利。
最近與 GandCrab 有關的攻擊包括釣魚式電子郵件訊息,信中會提到重要的付款、發票、票券和訂單訊息,並隨附 JavaScript 附件,用來執行來自遭感染 URL 的勒索病毒。電子郵件訊息會引誘收件人「盡速開啟附件並回覆」,而 Fortinet 提供的截圖顯示,其署名為「HTF 客戶中心」。
遭 GandCrab 感染的受害者會連往一個 Tor 瀏覽器網站,要求支付 400 美元的贖金,才能取得解密鑰匙。
Palmer 寫道:「每天都有數千封 GandCrab 垃圾電子郵件散布出去,主機設於美國的郵件伺服器是迄今最常見的目標,占 3/4 的散布量。」「在感染得逞次數方面,目前美國受害者的百分比排名第 4,前三名依序是秘魯、智利和印度。」
在企業面臨的威脅當中,勒索病毒是一個持續存在的問題。
Fallout 漏洞攻擊套件散布 GandCrab 勒索病毒
GandCrab 不僅是近期釣魚式垃圾電子郵件攻擊行動的核心,趨勢科技研究人員還發現 GandCrab 勒索病毒樣本涉及一種稱為「Fallout」的新型漏洞攻擊套件。
它看起來與另一個原本活躍的套件「Nuclear」極為相似,利用 Windows VBScript 引擎的漏洞 (2018 年 5 月修補完成),及/或某個 Adobe Flash 漏洞 (2017 年 2 月修補完成) 入侵系統。Fallout 可以藉此執行 SmokeLoader 木馬程式,這是惡名昭彰的勒索病毒支援程式和資料竊取惡意軟體。在其它不使用 SmokeLoader 的案例中,Fallout 會散布 GandCrab,感染並鎖死 Windows 系統,直到用戶支付贖金為止。
專家建議,組織應確保安裝正確的修補程式,以防止漏洞攻擊套件刺探已知漏洞,進而感染系統。
一封 PDF誤觸「下載即啟動」攻擊使整座城市遭受勒索病毒感染
除了垃圾電子郵件、網路釣魚攻擊和漏洞攻擊套件,駭客還持續利用「下載即啟動」方式,來使勒索病毒感染得逞。根據駭客新聞編輯 Mohit Kumar 的報導,華盛頓州 Issaquah 市政府的一名員工開啟了一個惡意 PDF 檔案 (來自一個非營利獎金籌劃網站),就導致了上述情況。在這件案例中,犯案樣本是自 2013 年起帶來普遍威脅的 CryptoLocker。
老舊的備份系統,加上 IT 和安全性資源有限等弱點,就讓這起感染事件重創了 Issaquah 市及其政府的 IT 基礎設施。
感染事件發生後,該市斥資建立了新的備份和災難恢復解決方案,官方表示目前已令人較為安心。
3 招防止勒索病毒
讓我們來看看,企業在主動防範惡意軟體感染時,應該採取哪些最佳實務︰
- 提高警覺和使用者教育︰GandCrab 釣魚式攻擊和垃圾電子郵件活動,以及 Issaquah 市的「下載即啟動」案例都突顯出,組織有必要對勒索病毒的策略提高警覺。首要之務就是對使用者進行宣導,因為一旦他們學會辨別可疑跡象,並懂得採取適當措施 (例如不開啟未知寄件人的電子郵件或附件),就能成為避免感染的第一道防線。
- 即時修補與更新︰GandCrab 會利用常見和曾經修補的系統漏洞,來支援其惡意感染的活動。在這些案例中,適當的修補有助於防止攻擊。因此,企業必須盡快套用廠商發佈的修補程式和更新。
- 安全的瀏覽器︰尤其重要的是,必須妥善保護常用的瀏覽器,以防範漏洞攻擊套件所散布的勒索病毒。過去的案例證實,勒索病毒駭客可以利用遭感染網站、登錄頁面或惡意廣告等元素,入侵系統得逞。URL 分類等技術有助於篩除惡意的網站和內容,是一項有效的主動防護措施。
◎原文來源: Ransomware Threat Continues: How Infections Take Place
PC-cillin 雲端版整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 >>即刻免費下載試用
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。