勒索軟體是一種網路攻擊,惡意軟體會侵入計算機系統並加密資料,或取得對計算機的控制權。然後,駭客會要求受害者支付贖金,以取回所有內容。個人電腦和商用計算機系統都很容易受到勒索軟體的攻擊。
然而,在過去的幾年裡,企業已成為主要目標,這要歸咎於企業的網路系統往往存在著看不見的安全漏洞,以及他們更願意支付贖金以避免過度停機——和可能帶來更大的支出。
勒索軟體如何運作?
要使用勒索軟體來攻擊系統,駭客必須首先取得對該系統的存取權限。使用 0 天安全空窗期或利用未修補/未知的漏洞,從而獲得存取權限的方法已經變得相當複雜精巧。
它們通常從網路釣魚攻擊、惡意電子郵件、受損的電子郵件附件、具攻擊性的計算機蠕蟲、利用漏洞攻擊、針對性攻擊或點擊劫持(在合法的可點擊內容中插入替代超連結的做法)開始。
即使系統已安裝防毒軟體,但如果防毒軟體的檔案中沒有惡意軟體簽章或未進行即時掃描,勒索軟體也可能在未被偵測到的情況下潛入系統,或可能造成檔案級的損壞。擁有網路連線的電腦還會使勒索軟體能存取其他已連接的電腦和儲存裝置。
勒索軟體有兩種主要類型:螢幕綁架軟體和加密軟體。加密軟體會加密系統的資料,並需要解密金鑰才能進行復原。螢幕綁架軟體會透過鎖定螢幕來阻止對電腦系統的存取。
在這兩種類型的勒索軟體中,通常都會使用鎖定螢幕來通知使用者,勒索軟件已掌控全部。它還包括了付款金額,和詳細說明如何復原對資料的存取或重新獲得對系統的控制權的資訊,通常是透過解密金鑰或其他代碼。這訊息通常還包含警告,指出如果未收到付款,資料將會被刪除或公開。
儘管傳統上,攻擊者會經由禮品卡、電匯或預付現金服務來索要贖金,但現今所選的支付方式主要是比特幣和其他加密貨幣。問題是,支付贖金並不能保證使用者或公司將重新取得對其資料的控制權。
如今,大多數勒索軟體在執行加密過程之前都會竊取資料,從而導致資料治理的喪失,並違反 HIPAA 或 PCI 等政策。無法保證資料會完全從威脅源起方的控制中返還回來,有時攻擊者可以在收到贖金,並將資料釋放回組織的控制範圍後,在系統上安裝更多的惡意軟體。
誰會是勒索軟體的目標?
不幸的是,所有東西都可以成為勒索軟體的目標,從家用個人電腦到全球企業的大規模網路電腦系統。基本上,任何連接網際網路的設備都面臨著風險。
儘管勒索軟體已經影響了所有產業和地區的各種規模的企業,但專家們也注意到了一些型態。有些產業比其他產業受到勒索軟體攻擊的風險更高,因為他們擁有大量的敏感資料,抑或是攻擊所造成的總體影響會更具破壞性。最可能成為目標的產業通常包括銀行和金融服務、健康照護、製造、能源和公用事業、政府機構和教育。
勒索軟體有多普遍?
隨著攻擊方法的發展,勒索軟體變得越來越普遍,駭客們找到了對付防禦措施的變通方法。實際上,在 2021 年第二季度,勒索軟體攻擊總計達 3.047 億次(每天攻擊超過 3 百萬次),美國 FBI 發出警告,多達 100 個新的勒索軟體菌株正在全球橫行。可以將僅三個月內發生的 3.047 億次攻擊與 2020 年全年所記錄到的 3.046 億次勒索軟體攻擊進行比較一下。
聽聽其他專家怎麼說:
- IDC 2021 年的一項勒索軟體研究發現,大約有 37% 的全球組織表示,他們在 2021 年成為了某種形式的勒索軟體攻擊的受害者。
- FBI 的網路犯罪投訴中心(Internet Crime Complaint Center)表示,它在 2021 年上半年收到了超過 2,000 件勒索軟體投訴。這個數字與去年同期相比增長了 62%。
- 其中有些目標也是非常關鍵的系統。據網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency)稱,美國 16 個關鍵基礎架構部門中有 14 個最近發生了勒索軟體事件。
勒索軟體實例
- WannaCry – 當今最廣為人知的勒索軟體系統之一。這是一種於 2017 年 5 月釋放的加密計算機蠕蟲。它還有其他幾個類似的名稱(WannaCrypt 和 WCry 等),它把使用過時 Microsoft Windows 版本的系統作為攻擊目標。該蠕蟲在 150 個國家感染了大約 200,000 台計算機,造成的損失可能多達數十億美元。
- CryptoLocker – 這種加密特洛伊木馬程式在 2013 年至 2014 年期間很活躍。它透過惡意殭屍網路和受感染的電子郵件附件傳播,這些附件本該是包裹追蹤通知。這是最早要求使用比特幣支付的勒索軟體系統之一。
- Petya – 作為自 2016 年以來一直活躍的勒索軟體家族的一部分,Petya 會破壞受影響計算機的主啟動記錄,還會刪除 Windows 啟動載入器,並強制重新啟動。在重新啟動後,系統重新開始運作時,惡意軟體會加密有價值的資料,並要求支付比特幣作為贖金。
- NotPetya – 使用與 Petya 類似的策略,該勒索軟體被認為是最具破壞性的攻擊軟體之一。它還會感染和加密計算機的主啟動記錄,並透過類似於 WannaCry 的蠕蟲進行傳播。一些專家將其稱為抹除器,因為該勒索軟體無法復原對系統的變更,因此,一次攻擊基本上使系統無法恢復。
- Bad Rabbit – 於 2017 年底被發現,該勒索軟體透過虛假的 Adobe Flash 更新進行傳播,並會加密系統的檔案表。它攻擊了烏克蘭和俄羅斯的幾個重大目標,包括敖德薩國際機場和烏克蘭基礎設施部。
- Locky – 於 2016 年發布,該勒索軟體透過一封有關待付發票的電子郵件進行傳播。當使用者打開附件時,他們會看到一個充滿亂碼的頁面,標題則是「如果資料編碼不正確,則啟用巨集」的連結。如果點擊了該連結,加密木馬程式就會加密具有特定副檔名的所有檔案。
- REvil – 該勒索軟體在加密資料之前會竊取資料,因此,即使受害者不支付贖金,攻擊者仍然可以透過威脅要公布其敏感資料來勒索他們付款。
勒索軟體對企業的影響
勒索軟體可以透過幾種關鍵方式來影響企業。第一個也是最明顯的影響便是財務。根據美國財政部金融犯罪執法局(Financial Crimes Enforcement Network)的數據指出,2021 年上半年與勒索軟體相關的支出為 5.90 億美元。而上一年全年,該局報告的相同成本僅為 4.16 億美元。即使企業不支付贖金,但由於生產力和資料的損耗,他們仍然可能會看到重大的財務損失。
除了財務損失外,如果有關攻擊的消息傳開,或者如果攻擊者公布受害者所擁有的敏感或機密資料,勒索軟體可以透過損害企業聲譽來傷害受害者。針對勒索軟體攻擊的訴訟可能會非常昂貴且耗時,並讓企業員工無心專注於日常工作。英國的國民保健署(NHS)就是一個鮮明的例子,該例子詳細介紹了由於預約取消和停機而導致超過 1 億美元的損失。
特定產業的罰款也可能是災難性的,罰款以指數倍增到贖金和復原的綜合成本。
如何防止勒索軟體
雖然沒有辦法 100% 地預防或防禦每種類型的勒索軟體,但企業仍然可以採取許多措施來抵禦勒索軟體,並消除攻擊者尋找的漏洞。以下是一些可行建議:
- 部署縱深防禦的安全性。多層端對端地保護你的系統,是降低勒索軟體和其他網路攻擊風險的明智之舉。
- 向員工傳授有關勒索軟體的知識,及其傳播方式。讓員工瞭解攻擊者侵入系統的各種方式,包括社群工程,以及提供虛假文件和附件,從而誘使使用者點擊它們。
- 監控你的系統並經常備份資料。使用監控工具來提醒 IT 注意異常的資料存取行為和流量。此外,保留一份資料備份副本(最好儲存於異地),有助於將資料遺失的風險降至最低。
- 妥善執行最新的修補作業計畫。由於勒索軟體通常透過現有漏洞進入系統,因此保持最新的更新狀態有助於關閉這些入口點。
- 制定並實踐回應策略。在需要之前進行規畫,可助你快速、有效率地回應勒索軟體攻擊。使用桌面演習來進行準備,還有助於確保組織中的每個人都知道如果發生攻擊時該執行的事項。
- 確保電子郵件和網路安全。電子郵件是勒索軟體侵入系統的常見方式。你可以設法獲得電子郵件閘道器,以識別和阻止潛在的危險電子郵件,並防範可疑的附件和 URL。同樣地,網路閘道器也可以監控線上流量,以偵測可疑的廣告或連結。
- 保護行動裝置。某些行動裝置管理解決方案可提醒使用者注意透過行動裝置收到的潛在惡意應用程式或訊息。
- 限制管理權限。確保你知道誰擁有管理存取權限,並確保在員工離開公司時收回存取權限和使用權。
- 管理應用程式白名單。這種做法可以透過只允許預定的應用程式在裝置或電腦上執行,同時封鎖未經特別授權的其他應用程式,藉此降低風險。它可以幫助 IT 消除由未經授權使用者進行的安裝,並阻止執行惡意軟體程式碼的嘗試。
- 採用和實施零信任策略和架構。零信任提供了一個圍繞「永不信任,始終驗證」概念的控管框架。這種無邊界的概念意味著,在預設情況下不應信任任何裝置,即使它們連接到許可網路(例如公司 LAN),抑或是它們先前已經過驗證也是如此。
- 使用微切分來利用託管應用程式網路區隔功能。微切分利用了一個應用程式、VM 或資料層級的安全政策模型,來控制進出工作負載的網路流量。使用所謂的受管理軟體防火牆,微切分解決方案實施的政策可確保只有你想要的流量可以穿越特定應用程式,而不會增加不必要的網路風險。
我需要勒索軟體保護嗎?
資料安全性應該是每個企業(不論大小)最關心的問題。勒索軟體安全性和保護是一種分層式的方法,其專注於對你的業務至關重要的攻擊向量。你的電腦作業系統可能內建安全功能,可協助降低勒索軟體攻擊的風險,例如進階反惡意軟體端點保護。
儘管如此,在基礎架構、網路和資料級上新增更多強大、全面性的保護層也相當重要。這種類型的策略被稱為縱深防禦,它可以確保即使是一次成功的勒索軟體攻擊,其所造成的衝擊或總體影響也比沒有採用該策略時小得多。
零信任是防範勒索軟體的領先策略。與零信任網路存取(ZTNA)結合使用,零信任可在技術堆疊的每一層建立關鍵檢查點,而不僅僅是在進入傳統上由密碼和 VPN 引領的受信任網路的外圍。
雖然對於安全態勢來說仍然至關重要,但單一身分驗證點通常只能一次提供對資源的廣泛存取,而零信任則會建立多個身分驗證點,並根據使用者的需求,而不是他們可以存取的內容進行調整。
遭遇勒索軟體攻擊後該怎麼辦?
儘管預防是防止勒索軟體攻擊造成損害的最佳方法,但如果真的發生攻擊,提前計畫好你的組織將如何因應仍舊不失為一個好主意。以下是在勒索軟體攻擊後應採取的一些最佳做法。
保持冷靜並使用你的營運持續性計畫進行回應
被封鎖在關鍵業務檔案之外或處理資料刪除的威脅並不容易,但在開始採取行動之前,保持冷靜並充分評估形勢至關重要。預先規畫與關鍵業務維運相一致的回應,有助於在這一領域中確定好優先事項,並使每個人都瞭解需要做什麼來因應攻擊。
聯絡你的事件回應小組
通常,你應該在內部擁有一個事件回應小組,或是與網路保險等東西相繫在一起,這可以幫助組織並確定你的回應優先事項。
向政府通報該事件
在美國,stopransomware.gov 是通報勒索軟體並獲得聯邦當局支援的資源。瞭解更多有關你的政府應對勒索軟體的方法。
記錄勒索軟體說明檔案
拍下勒索軟體說明檔案的相片,如果你有報警,這會很有幫助。
識別哪些系統遭到入侵,並將其隔離
勒索軟體可以感染其他聯網的電腦和裝置,因此盡可能快速且徹底地隔離受影響的系統。這可能意味著切斷受影響機器與網路的連接。
立即關閉自動化維護任務
停止受影響系統上的任務,例如日誌輪替或移除暫存檔案,並關閉任何受影響裝置的電源。這將防止這些任務修改或變更你稍後進行調查和分析所需的任何資料檔。
切斷所有的資料備份
由於最新的勒索病毒試圖透過攻擊備份來阻止復原,因此請將它們與網路中斷連線。在清除勒索軟體之前,防止任何人存取這些備份也是明智之舉。
檢查資料備份的一致性
當可以確定備份已斷開連線時,使用已知的清除端點來檢查備份狀態和一致性。在較新的勒索軟體攻擊中,它們以備份作為目標,以確保能獲得贖金支付的情況也越來越常見。
嘗試確定哪種勒索軟體感染了你的系統
如果你能確定正受到哪種勒索軟體菌株的影響,就能更容易地加以反擊。實用的免費線上服務包括 ID Ransomware 和 Emsisoft 的線上勒索軟體鑑別工具。在這些網站上,你可以上傳贖金記錄的圖像和加密資料的樣本。然後,這些網站會嘗試為你識別勒索軟體菌株。
使用解密工具看看能否阻止進一步的行動
網上有許多工具可幫助你解密勒索資料 – 例如 No More Ransom。知道勒索軟體菌株的名稱將有所幫助。可在列表底部查詢最新的解密。
重新設定線上和帳戶密碼
將受影響的系統與網路切斷連線後,立即為你的線上帳戶和應用程式建立新密碼。在完全清除勒索軟體後,再次更改全部密碼。
決定是否支付贖金
這不是一個容易的決定,支付贖金的與否皆各有其利弊。但是,需要記住的一點是,只有在你已經嘗試了所有其他方法,並且你堅信資料遺失比支付贖金更嚴重的情況下,才應該支付贖金。
引進專家來徹底根除威脅
重申建立網路事件回應小組的需要,確保使用廣受認可且值得信賴的專家進行根本原因分析,以確定系統的漏洞,以及哪些系統受到影響。清理和最終調查也應該由專家來完成。攻擊者可以使用各種後門和未知入口來侵入你的系統。
為系統復原排定優先順序
應該在你的營運持續性計畫中明確地定義這一部分。如果沒有,請確定對你的業務維運最關鍵的系統和資料,以將其列為復原的首要事項。這些都是會影響營收和生產力的系統。
執行攻擊事後分析
瞭解勒索軟體事件如何發生的完整技術細節對於防止未來事件至關重要。這也將促使產生新的安全方案和側重點。
諮詢專家來升級安全性
就勒索軟體而言,攻擊可能會再次發生。事實上,一家公司遭受第二次攻擊也屬常見。如果最初讓攻擊者得以進入系統的漏洞未被識別出,它可能會再次被利用。利用值得信賴的合作夥伴或事件回應小組的建議,來全面改進安全措施。
總結
從統計意義來看,勒索軟體攻擊會發生在你身上。要完全消除這種風險是不太可能的,因為勒索軟體攻擊不斷地演變,並且在突破防禦方面也變得越來越好。這就是為什麼在你真正需要之前制定營運持續性計畫至關重要——如果你受到勒索軟體攻擊,你會有一個考慮周詳的策略來幫助你加以指導。
知道如何回應和在攻擊後應立即採取哪些措施可以帶來幫助,此外,總體良好的安全衛生環境;日常工作中妥善保護好資料和更新系統,以減少潛在的漏洞,這些都有所助益。
透過消除系統中易受攻擊的入口點,並制定可靠的應變計畫,你可以大幅降低組織遭受勒索軟體持久影響的可能性。