肆虐升溫，勒索軟體災情擴大的7項原因

勒索軟體是2016年最主要的資安攻擊手法之一，去年就有不少資安廠商這樣預測。

為何勒索軟體的危害，會比之前還要嚴重呢？我們這裡整理了7大原因，讓你快速了解勒索軟體的發展態勢，已經是企業現階段難以迴避的風險，企業應該要積極面對。

 原因1  加密勒索軟體技術發展成熟，有利可圖

加密本是用來保護資訊安全的方法，現在卻被當成勒索的工具，把用戶的檔案當作人質，需交付贖金才能贖回解密金鑰。

隨著加密勒索軟體相關技術的成熟發展，像是透過AES演算法與RSA演算法的雙重加密的方式，使用戶難以自行解密，以及給付方式上，要求以匿蹤性高的比特幣等金流機制為贖金，使執法單位更難以追查。

在能隱匿蹤跡，又有利可圖的情形下，隨之而來的情勢就是勒索軟體變種的高速發展。當駭客受到利益驅動，積極鎖定不同目標下手，而無法建構足夠資安部署的中小企業，便容易成為駭客攻擊對象。

 原因2  變種軟體發展快速、攻擊手法多元

近年來，惡意軟體變種的快速發展，其結果令我們感到相當驚人。

就整體惡意軟體變種的發展來看，根據賽門鐵克最近提供的網路安全威脅調查報告（ISTR）顯示，去年2015年，已有4億3千萬個新變種惡意軟體，而2009年則是236萬個，也就是在這5、6年的時間內，變種數量已經成長了182倍，相當驚人，等於是每天在網路上，都有117萬個新的變種惡意軟體被發現。

而加密勒索軟體的變種也不少，像是2013年最早造成轟動的勒索軟體Cryptolocker，到了2015年，則已經演變成多種。簡單舉幾個例子來看，像是鎖定NAS為勒索對象的SynoLocker，帶來嚴重災情的第3、4代CryptoWall、鎖定遊戲綁架的Teslacrypt，以及針對Linux的Linux.Encoder.1等。而2016年初的現在，又有Locky、Petya等新變種勒索軟體，以及針對Mac OS X的KeRanger等。

 原因3  針對式的惡意郵件攻擊，容易降低使用者警覺性

就勒索軟體的傳播方式來看，往往也同時依附在其他的攻擊之上。趨勢科技經銷業務部協理黃家寶表示，以目前勒索軟體的攻擊途徑來看，主要分為惡意郵件與網頁掛馬這兩大類。

其中，透過惡意郵件來發動勒索軟體攻擊的作法，主要利用釣魚郵寄方式的社交工程手法，誘騙使用者開啟附件，或是點選附件中的有害連結，是現階段勒索軟體普遍散播的手段。

而對企業帶來麻煩的部分在於，對方透過各種偽裝手法發動了針對式攻擊，其中一旦詐騙郵件的內容與使用者工作內容有關聯，使用者在第一時間往往無法警覺，此時，就有機會不慎開啟信中的惡意連結或附檔而受害。

近期這種針對式的攻擊行動，已有不少，像是今年相當知名的勒索軟體Locky，就是偽裝為寄送發票的電子郵件，郵件附帶一個含惡意巨集的Word檔案；近期興起的加密勒贖軟體Petya，則是先偽裝為求職者信，欺騙受害者開啟履歷，一旦人資部門、業務相關部門同仁收到這些電子郵件，通常會開啟、予以檢視，同樣很容易受騙。

此外，也有人發出假冒成軟體更新的通知信，諸如種種偽裝方式的電子郵件，防不勝防，而且，這種針對特定目標形式的攻擊行動，對於企業的一般員工來說，若不是時時保持警覺，就很容易中招。

賽門鐵克首席提術顧問張士龍也表示，電子郵件病毒攻擊數目與收件者人數，近年其實都是呈現下滑的趨勢，但針對式攻擊數目明顯增加，從2014年到2015年這段期間內，他們發現比例增加了55％。由此看來，過往亂槍打鳥的作法，如今已轉變成更有效率的攻擊方式。

勒索軟體的背後，其實都有數個專業、分工嚴謹的團隊在支撐，不只是開發勒索軟體有團隊，也有專門針對散播惡意郵件與開發攻擊包的團隊，整個生態系還包含發送惡意廣告、入侵網站、匿蹤、發現漏洞的人員。而且有越來越多有心人士加入數位犯罪的行列，彼此之間也存在競爭關係。（圖片來源／趨勢科技）

 原因4  搭配網頁掛馬與惡意廣告，使攻擊無所不在

當然，也有許多用戶只是開啟瀏覽器逛逛網站而已，明明什麼都沒點，怎麼還是發現電腦中的檔案已經被加密！

這種手法之所以奏效，其實就是因為駭客先入侵網站，並將惡意程式碼植入，而等到造訪該網站的使用者就會執行程式碼，結果就導致受害——使用者瀏覽網站的同時，會自動被導入駭客的漏洞攻擊套件伺服器，造成使用者電腦在不知不覺的情況下受害。

像是趨勢科技在分析勒索軟體的入侵管道時，就發現臺灣受害用戶多是遭遇網頁掛馬與惡意廣告而受害，不像國外勒索軟體是以惡意郵件方式傳播居多，畢竟大多數惡意郵件仍是英文內容，中文內容的惡意郵件雖然有，但仍少見。

同時，趨勢也不斷發現有不少臺灣網站遭到入侵，而導向國外漏洞攻擊套件伺服器。例如，一些像是利用WordPress、Joomla、Drupal等內容管理系統（CMS）所架設的網站，都受到波及，而且這些網站本身可能是特定領域的人會去瀏覽的站臺，意味著相關的攻擊也有針對性。

更讓人防不勝防的攻擊手法則是，駭客假冒廣告業主並提供惡意廣告上傳，這使得相關的廣告內容可以更容易散播到各大不同網站，使得擴散程度更為廣泛。而且，網路廣告的內容，可依照不同的地區、時間、喜好來執行動態推播，更不易被察覺和追蹤，再加上，一般經營網路廣告平臺的業者本身也沒有能力去驗證審核，而使得對於這種手法的防禦，難上加難。

在這樣的情況下，如果使用者瀏覽了遭植入惡意連結的網站，加密勒索軟體再透過網站系統端的軟體漏洞，於背景自動執行，使用者就會在不知情的狀況下受害。

iThome上個月的資安週報也就曾經報導，像是鉅亨網、住房網，以及股票行情網站StockQ等知名網站，在今年第一季也曾被植入惡意程式或被導到惡意網址，雖然目前這些網站都已經默默修復，但這樣的危害是一般使用者不易察覺到的。而當時也有大型企業在發現後，為了減少勒索軟體的危害，最後選擇封鎖使用者瀏覽上述網站。

而今年六月初的臺灣雅虎奇摩網站，也因其網路廣告播放平臺，所播放的內容被植入惡意連結，導致瀏覽雅虎奇摩首頁的使用者，若是剛好輪播到惡意網路廣告，且使用者電腦的Adobe Flash沒有更新到最新版本，就可能受害。

網頁掛馬成為勒索軟體常用的手法之一，在攻擊發動過程中，對方先要侵入所要針對的網站，將勒索軟體植入，之後，瀏覽該網頁內容的使用者，就會不知不覺執行相關的程式碼，而且會先導引到攻擊中繼伺服器，再連往更幕後的漏洞攻擊套件伺服器。（圖片來源／趨勢科技）

 原因5  新的軟體或系統漏洞層出不窮，更是感染用戶的關鍵

軟體的漏洞所引發的零時差攻擊（Zero-day attack），已經是近年來相當普遍的資安威脅。系統或應用程式的弱點一旦被揭露或是被別人早一步發現，軟體開發商可能來不及提供修補程式，或是已發布、但用戶無法在最短時間安裝、套用，這些情況都可能導致用戶受害而不自覺。

近來，出現許多系統軟體新漏洞遭勒索軟體濫用來發動攻擊的新聞，這一兩年最常看到的軟體平臺都是目標，像是微軟IE、Windows、Silverlight、Java、Adobe Flash、Adobe Reader等，這些日常可能使用到的軟體，若是用戶沒有持續更新，用戶感染機率越高。

最令人擔憂的是，Adobe Flash堪稱是2015年的漏洞之王，不僅數量多，去年最容易被駭客利用零時差漏洞的前幾名，幾乎都是Flash。即便Adobe去年底一次修補78個漏洞，但Flash如今已陷入眾多網路服務、瀏覽器平臺均不願意支援的慘況。

比較前兩年前五大被駭客利用的零時差漏洞，Adobe Flash顯然是近期最嚴重的漏洞缺口。若網站有使用Adobe Flash設計動態網頁的元素，當駭客發現該網頁在Adobe Flash的漏洞時，就能利用軟體漏洞，將預先攻擊網站後所植入的一段惡意連結，在使用者瀏覽網頁時，自動感染用戶電腦主機，也無怪乎近年已有不少反Flash的聲浪。（圖片來源／賽門鐵克）

 原因6  工具取得容易，降低勒索事業進入門檻

漏洞攻擊套件越來越多，同樣也助長了勒索軟體的擴散。在2015年，就有5種以上主流的漏洞攻擊套件，像是Angler、Magnitude、Nuclear、Neutrino與Rig，其中Angler是2015年駭客使用最廣的漏洞攻擊套件。由於有了這些攻擊套件的幫助，使得勒索軟體在利用零時差漏洞、散播勒索病毒，更方便。

甚至，後來，還出現勒索軟體的SaaS雲端服務，使得有心人士想要經營勒索軟體作為事業的門檻變得更低。整體而言，不論是漏洞攻擊套件的普及，或是SaaS服務的出現，都將使得這類攻擊行為與事件變得更加普遍。

 原因7  網路加密勒索已有專業化經營模式

隨著勒索地下經濟生態逐漸成形，犯罪集團挾其人力優勢，建立專業團隊，並提供攻擊企業的效率，進而擴大了企業所面對的威脅。

作法上，這類犯罪集團相當專業，甚至成立了技術支援團隊，也就是客服中心，提供全天候7天24小時的支援服務，像是透過電話或網路聊天的方式，即時協助受害者可以順利完成付款流程，行徑相當囂張。

除了專業詐騙技術客服中心快速增加，一些提供勒索軟體服務的網站，還會公布各勒索軟體獲得的贖金，讓買方知道可以賺更多錢。

無人能倖免於勒索軟體的威脅，企業不可掉以輕心

隨著攻擊手法不斷變種，大型企業即便做了多層防禦，也都有受害的可能性，更不論是中小企業與一般用戶。

面對勒索軟體這種類型的資安問題，企業IT人員勢必無法迴避，需要不斷去面對以降低風險，即便是資源不夠的中小企業，也應能做到一些基本該做的本分，像是基本的備份工作要做好，使資料有復原的機會，而作業系統或應用程式時常保持更新也很重要，另外就是要不斷提升企業員工的資安意識。
下一篇：面對加密勒索軟體，２０１６你該知道的最新防護策略大揭露

【相關報導請參考「2016勒索軟體教戰守則」專題】