IoT+勒索病毒:駭客癱瘓企業的祕方

 

勒索病毒在物聯網(IoT ,Internet of Thing) 環境中的探討,早已不是新鮮話題。當勒索病毒H (Ransomware_) 崛起及IoT 開始流行時,資安專家早已探討過勒索病毒攻擊對 IoT 環境的潛在風險。然而,最近出現了另一類專門攻擊企業機構的 勒索病毒家族,隨著 IoT 在工業領域更加的普及, IoT+勒索病毒的組合值得重新探討。

IoT 與勒索病毒攻擊


勒索病毒攻擊賴以生存的要素包括即時性、致命性與不可逆性。而駭客在勒索病毒攻擊行動當中加入IoT元素,可藉由骨牌效應來放大攻擊效果,尤其是對關鍵基礎架構的衝擊。不僅如此,IoT 裝置更擴大了企業的受攻擊面,讓勒索病毒有更多入侵機會,這些都會讓營運中斷的問題加劇。

勒索病毒攻擊對營運技術 (OT) 系統帶來威脅


DarkSide 這樣的勒索病毒集團,專門瞄準一些關鍵基礎建設或是知名的機構。這些機構通常仰賴營運技術 (OT) 與工業控制系統 (ICS) 來運作,使得勒索病毒攻擊的問題變得更緊急、也更嚴重。由於勒索病毒攻擊已成為 OT 資產設備的一項嚴重威脅,美國網路資安與基礎架構安全局 (Cybersecurity and Infrastructure Security Agency,簡稱 CISA) 為此特別發布了一份”Rising Ransomware Threat to Operational Technology Assets”公告來提醒企業關注。

針對 OT 系統的攻擊很可能帶來危險並引起連鎖效應而影響整個供應鏈,這樣就能逼迫企業機構乖乖支付贖金。IT 與 OT 的匯流,為駭客打開了一條途徑讓他們從 IT 網路移動至 OT 網路。

不過有一點值得注意的是,勒索病毒很少直接攻擊 OT 系統, EKANS 勒索病毒算是少數一個可中斷 ICS 軟體流程的一個例子,但今日絕大多數的勒索病毒家族 (如 Ryuk、 REvil 及 Conti) 都是攻擊 IT 系統。只是,入侵 IT 網路也有機會干擾及影響 OT 網路,這就是發生在美國東部輸油管營運商 Colonial Pipeline 情況 ,該公司被迫關閉系統來防止勒索病毒感染其工業網路。但這項不得已的措施,卻造成美國有多個州出現汽油供應短缺。其他勒索病毒對 OT 系統的間接影響還包括:無法掌握生產環境的資訊,以及營業資訊遭到竊取。

IoT 與勒索病毒在其他產業中的情況


勒索病毒攻擊在其他產業的主要目標,同樣也是為了讓營運停擺,這些產業很可能或多或少都仰賴 IoT 裝置和系統來運作。我們在趨勢科技 上半年資安總評報告中指出,製造、醫療、食品飲料是勒索病毒最活躍的前幾大產業。

醫療產業面臨的威脅主要是來自Ryuk 和 Conti 勒索病毒家族的攻擊,讓原本因疫情關係而疲於奔命的醫療體系面臨更大壓力。我們很難判斷近期這些攻擊是否會對醫療裝置造成直接影響,但勒索病毒過去也曾感染過醫療裝置 。連網醫療裝置在今日的醫學上發揮了莫大貢獻,但若缺乏妥善管理,卻也可能成為駭客入侵的破口。醫療裝置同樣也可能含有一些 漏洞和缺陷使得它們遭到惡意程式感染。

除了醫療產業之外,食品業也同樣導入了 IoT 工具和系統來改善生產。根據美國聯邦調查局 (FBI) 的公告指出,勒索病毒會攻擊食品與農產品業,以竊取資料並將資料加密。報告中提到這些產業越來越仰賴 IoT 流程,所以受攻擊面也因而擴大,有些攻擊不僅會影響受害企業,更會影響整體供應鏈,甚至造成消費性產品漲價。

路由器與其他 IoT 裝置成為惡意程式入侵的破口


IoT 將大幅重新定義企業必須防守的受攻擊面,包括一些我們每天都會用到的 IoT 裝置,例如智慧電器與路由器。有些 IoT 裝置在安裝完成之後,人們就幾乎忘了它的存在 (例如路由器),除非發生問題,否則不會沒事去檢查它。但這些裝置卻可能遭到漏洞攻擊,讓勒索病毒有機會入侵。IoT 裝置已知常見的威脅之一是殭屍網路 (Botnet) 惡意程式,而且它還會再散播其他惡意程式。我們在一項針對  IoT 殭屍網路的研究中發現,有些路由器還感染著兩年前就已消失的殭屍網路,這突顯出一項事實:一些看似單純的裝置,其實很可能成為重大攻擊的破口。

針對 IoT 裝置的勒索病毒攻擊


所謂「IoT 勒索病毒」就是專門攻擊 IoT 裝置的勒索病毒。在這類攻擊中,駭客會操控一或多個裝置或將裝置鎖定來勒索贖金。FLocker 就是一個像這樣將觸角延伸到 IoT 裝置的勒索病毒變種,它原本是 Android 手機上一個會將螢幕鎖定的病毒,後來也會感染智慧電視。有兩份不同的研究也測試了專門攻擊智慧中央空調 裝置與咖啡機的勒索病毒攻擊,不過這類攻擊近年來並無太大進展。

大多數的 IoT 勒索病毒都是攻擊 NAS 裝置和路由器,消費者要特別注意。大致上,它們還尚未對企業造成重大威脅,因為發動這類攻擊目前對駭客來說並無太大效益。

IoT 資安挑戰


遭到勒索病毒攻擊的企業 (例如本文提到的案例) 有可能蒙受巨大的財務損失,因為這不僅包括贖金,還包括營業損失和復原的費用。今日的勒索病毒攻擊還可能加入資料竊取的元素,形成所謂的「雙重勒索」,受害者得面臨營運關鍵資料損失以及商譽損失的雙重風險。

要防範勒索病毒,企業機構應消除可能引狼入室的一些資安漏洞。在 IoT 領域,這些資安漏洞包括以下幾點:

  • IoT 裝置漏洞:IoT 裝置和系統隨時都有新的漏洞被發現,勒索病毒會利用這些漏洞來感染裝置,並擴散至其他裝置。
  • IoT 快速成長與裝置管理不當:新冠肺炎(COVID-19)疫情爆發初期,企業於IoT 領域的投資似乎有減緩的跡象,但根據報導指出目前投資似乎已經回流。然而,IoT 裝置的快速普及,很可能使得企業機構無法妥善處理裝置管理的問題以及 IoT 環境日益升高的複雜性
  • IoT 裝置安全性不足:就算企業辦公室的 IoT 裝置都已受到良好保護,但企業卻很難管理員工的個人裝置,例如:智慧手錶、電子書閱讀器、家用遊戲主機等。在家上班的模式,也讓保護家用網路及裝置變得更加重要性。
  • 連上 IoT 的老舊系統:許多產業事實上都還在使用一些老舊系統,而這些系統將成為資安上的風險,因為這類系統和裝置早已無法再獲得安全更新,只不過它們仍在服役當中,而且還用於關鍵營運作業。
  • 勒索病毒家族的針對性:今日的勒索病毒攻擊行動越來越具針對性。事實證明,這對企業機構可說更加危險,因為攻擊將針對其弱點而量身訂製。此外,駭客也慢慢形成一股瞄準關鍵基礎建設的攻擊潮流。

如何保護 IoT 環境以防止勒索病毒侵襲


面對勒索病毒的威脅,尤其是 IoT 勒索病毒,最好的作法就是防範於未然。勒索病毒集團跟其他駭客一樣,會儘量選擇阻力最小的途徑入侵。企業必須防範勒索病毒可能的入侵點,並確實做好 IoT 環境的安全防護。

企業可採取以下步驟來防範勒索病毒攻擊:

  • 更新與修補:讓系統及裝置隨時保持更新,可消除駭客可能利用的漏洞。
  • 實施安全的認證策略:許多勒索病毒攻擊都使用偷來的登入憑證,因此,啟用多重認證之類的機制,可防止使用者帳號被駭客登入。
  • 採取最低授權原則,能不開放的權限就不要開放。這麼做可防止使用者執行某些程式,例如勒索病毒所使用的駭客工具,以及可能有害的應用程式。
  • 定期備份檔案:儘管今日的勒索病毒不斷演進,但資料備份依舊是應對資料遭到加密或其他網路威脅的一種有效措施。
  • 採用強大的網路防護:一套強大的網路防護,可提供一層額外的防禦來防止那些利用裝置漏洞的威脅。
  • 監控網路流量:利用工具來監控網路流量,可讓企業掌握一般正常流量的狀況,並發掘異常流量以偵測潛在的駭客入侵。
  • 資安的重要性高於連網:務必了解新增連網裝置的風險,在網路上增加新的裝置,可能大幅提高網路的複雜性,並擴大自己的受攻擊面。
  • 鼓勵員工共同承擔 IoT 資安責任。企業必須培養一種資安文化 (尤其是針對 IoT),培養員工有關連網裝置威脅的資安意識,如此可促進員工有意識地採取行動來保護自己的裝置。

IoT 與勒索病毒的未來

IoT 未來的潛力無限,儘管全球疫情讓 IoT 的普及率稍微趨緩,但許多產業都已見證到 IoT 的效益,尤其當遠距上班和保持社交距離已逐漸成為一種常態。5G 的來臨,也將重新點燃一些 IoT 計畫。只不過,這些同樣也將為勒索病毒重新注入活力,駭客集團將找到更多機會來發動目標式攻擊與雙重勒索伎倆。一些風險較高的產業 (通常都是含有 IT/OT 系統的產業) 將成為主要攻擊目標。企業必須重新檢視自己當前的防禦,尤其是針對勒索病毒的防禦,然後規劃出一套有效的 IoT 建置方案,好讓他們能在不擔心 IoT 遭到勒索病毒利用的情況下,徹底發揮這項技術的效益。

原文出處:IoT and Ransomware:A Recipe for Disruption