從進階威脅防護廠商Malwarebytes發布的2017年第二季報告來看,一半以上的攻擊採用勒索軟體形式,6月更是接近8成,遠遠超過疆屍網路、後門程式、下載器等手法(圖片來源/Malwarebytes)。

近年來,說起資安威脅,許多人可能第一個想到的,就是像Cryptolocker這種鼎鼎大名的加密勒索軟體。這種攻擊手法,與其他的方式最大不同之處,莫過於加密電腦裡的檔案,造成資料無法使用,使用者必須支付比特幣,才能贖回電腦裡的資料。對於受到攻擊的企業而言,很可能因為電腦裡存放的資料極為重要,不少公司選擇私下付錢了事。

從攻擊手法來看,過往可能以釣魚信件的方式,引誘使用者觸發勒索軟體,不過,今年出現了一些變化,像是5月中爆發的WannaCry(WanaCrpyt0r),就是利用作業系統的漏洞,在短短的2天之內,就造成全球150個國家、數十萬臺電腦受到攻擊。5月12日,歐洲陸續傳出多起勒索軟體攻擊事件,包括英國國民保健服務NHS(National Health Service),旗下多家醫療院所,諸多醫療服務停擺,病患必須被迫臨時轉院;法國雷諾汽車的工廠,因為生產系統遭到綁架,導致整個工廠停工,然而,這都還只是攻擊事件的開端。

變本加厲,臺灣成為全球加密勒索軟體災情最嚴重的災區之一

在12日的晚間,臺灣開始出現網友通報受害事件。隨後,教育部證實10所學校總計59臺電腦遭到攻擊,臺電也有116臺電腦遇害,以及恩主公醫院的行動護理車被WannaCry入侵等。

攻擊事件爆發之後,專門蒐羅惡意程式的新創團隊MalwareHunter,率先在Twitter發表了貼文,指出臺灣是僅次於俄羅斯的第2大重災區,在各家媒體引用大肆報導後,頓時間人人自危。甚至,星期一回到工作崗位時,使用者必須先拔除電腦的網路線,才能開機,避免一連上網路就感染WannaCry。

繼透過永恆之藍(EternalBlue)工具開採漏洞,大規模爆發的WannaCry之後,接著還有Petya、Bad Rabbit等新型變種病毒。此外,遭受CryptoLocker、CryptoWall、Locky,以及Cerber等病毒攻擊的事件,仍是時有所聞。而根據防毒大廠Kaspersky年度統計數據看,加密勒索軟體近期出現大量的變種,自2015年11月到2016年10月,共有5萬4千多個新的變種出現,而從2016年11月到2017年10月間,他們發現了多達9萬6千個變種,足足比前一年多了快要一倍。

此外,若是依據國家而言,Kaspersky指出,臺灣也是重災區之一,在全球加密勒索軟體感染率排名第5。而從受害者類型來看,企業遭受勒索軟體威脅的比例,也有升高的趨勢──在2016年時,約有22.6%攻擊事件出現在企業環境,而2017年增加到26.2%,也就是每四臺受害電腦,至少就有一臺是位於企業裡,顯示企業須正視這樣的威脅。

集結大規模感染、滲透式攻擊、恐嚇手段於一身的新型態威脅

論及勒索軟體的特性,簡而言之,它集合多種攻擊手法於一身。以WannaCry為例,它會針對應用程式的漏洞進行滲透,像極了進階持續性威脅(APT),而網路釣魚郵件,也是APT攻擊常見方式。但不同的是,WannaCry這些後起的勒索軟體,也開始擁有類似網路蠕蟲的特質,能在全球大規模蔓延,而非只針對特定目標。

勒索軟體也像一般的綁架,利用人性弱點恐嚇,鎖定使用者電腦或應用系統的資料下手,導致受害者擔心重要資料再也無法使用的情況下,依照歹徒指示乖乖付錢。集結上述的特點於一身,使得許多企業和使用者相當恐慌。日前趨勢科技所做的調查中,也突顯這樣的情況──高達4成的民眾,最害怕的就是勒索軟體,遠超過信用卡遭盜刷、手機被定位追蹤、網路攝影機偷窺等,金錢損失與隱私受到侵害的比例。而我們在這次收集相關防護產品的過程中,超過8成的受訪廠商明確指出,不論是客戶的詢問或是購買,皆有不少是衝著勒索軟體威脅而來,顯示許多企業將這樣的攻擊,視為必須首要處理的資安問題。

我們認為,從企業重視整體防護的角度來看,產品不光只單純防治勒索軟體,而是能夠因應APT攻擊,加強整體資安防線。事實上,由於勒索軟體混合了各種型態的威脅,因此,縱使在許多類型的資安產品中,都聲稱能協助企業加以防範這種攻擊,然而,勒索軟體攻擊的來源和散播的路徑甚廣,不能只倚靠單一的保護措施。

傳統的端點防毒與網路防火牆難以因應,須結合更多保護機制

在企業中,防毒軟體與防火牆是最為基本的保護措施,然而,以往我們仰賴惡意檔案的特徵碼識別,以此決定直接攔截或是放行。但在目前許多攻擊都開始迴避這樣的判斷方式,以間接的手法侵入,由於異常行為並不顯著,在攻擊初期也不容易被發現。

另外,從基本的防護措施來看,端點的防毒防駭、網路的流量過濾、電子郵件與上網內容的檢查,由於能過濾已知的勒索軟體,依然相當重要。但與以往不同的是,為了完全清除勒索軟體的攻擊,追查實際受害的範圍,減少重覆感染的情事,這幾年能彙整事件調查的產品,也逐漸得到了重視。

因此,企業想要對付勒索軟體,不能只是採取兵來將擋的被動思維,而是必須結合多項措施,形成較為完整的保護網──在防毒軟體與防火牆之外,也需要搭配APT防護系統,以及運用具備進階事件調查機制的產品,例如,端點偵防系統(EDR),以及使用者行為內部威脅分析系統(UEBA)等。

更進一步,企業也要掌控應用程式和作業系統的漏洞修補狀態,並針對資料進行保護和備份,或經由架構上隔離,強化企業防護──像是員工的應用環境與外部隔離,避免混合式攻擊直接單槍直入,進到內部,間接保護企業不受勒索軟體的威脅。因此,這次我們談到有關能夠因應勒索軟體攻擊的解決方案時,所涵蓋產品類型竟是如此的多元。

 相關報導  防治勒索軟體解決方案大特輯


Advertisement

更多 iThome相關內容