Palo Alto Networks近期发布《2021年全球勒索软体报告》。Palo Alto Networks发现,网路犯罪者透过勒索软体要求高赎金;除此之外,勒索软体的网路攻击者更是利用了COVID-19大肆向组织勒索赎金;而双重勒索也於2020年崛起。
Palo Alto Networks分析了2020年勒索软体的威胁趋势,并提供应对的策略与建议,让组织能有效预防、因应勒索软体的威胁。
观察1:COVID-19 疫情加剧资安威胁
骇客利用时事来诱使受害者打开网路钓鱼电子邮件,进行访问假网站或下载恶意文件,勒索软体攻击者大量使用如「COVID-19对全球的影响」、「大流行」等主题进行攻击。除了医疗保健产业大大受到勒索软体威胁,许多其他产业也因COVID-19深受其害。另外,远距工作的趋势,以及由於获利挑战而导致的资安预算删减使得提高网路及资安威胁意识比以往更难实施,让网路安全较为脆弱。
观察2:攻击平台的转移
除了在Microsoft Windows,Apple macOS和行动操作系统上观察到勒索软体系统,Palo Alto Networks也发现Linux也成为勒索软体的新攻击平台。
观察3:勒索软体变得简单易用
基於勒索软体即服务(Ransomware as a Service;RaaS)订阅的模型,对於骇客而言容易执行也有效取得赎金,使用RaaS手段,骇客能够使用现有的勒索软体进行攻击,每次成功勒索获得一定比例的收益。
观察4:双重勒索软体的崛起
Palo Alto Networks观察到某些勒索软体系列在窃取文件或数据时会使用双重勒索的技术,如NetWalker,RagnarLocker,DoppelPaymer等。除了对受害主机上的文件进行加密之外,骇客也会窃取文件以进一步威胁受害人支付赎金;已泄漏的文件会在公共或暗网上发布,若受害者不支付赎金,骇客也会威胁公布网站站点。
骇客将文件发布於暗网上,往往是为了进一步证明他们所拥有的数据或文件,并公开目录以显示他们对受害者网路环境的了解。在《2021年全球勒索软体报告》的数据中,也发现有一个台湾企业的文件被泄漏在暗网上。
观察5:重新使用DDoS(阻断服务)进行攻击
Palo Alto Networks发现一些以DDoS作为攻击手法的勒索软体,例如Avaddon勒索软体营运商会对不愿意进行谈判的受害组织进行DDoS阻断服务攻击。然而,这一手法并不新,在2016年和2019年,营运商多次透过电子邮件将DDoS威胁发送给不愿意付款的受害者。
观察6:勒索软体攻击事件回应成本
各行各业及各种规模的组织都深受勒索软体的影响,2020年的勒索软体攻击次数大幅增加,所需的回应时间更长,同时更深入的事件回应次数也增多。值得注意的是,IT部门的勒索软体事件回应率从2019年到2020年提高了65%。而随着COVID-19使得组织实施远距工作,勒索软体的骇客也相应的调整了攻击策略,并多以比特币或Monero加密货币的形式勒索。
Palo Alto Networks预测,以勒索软体即服务(RaaS)的低成本与高报酬的攻击手法将会成为勒索软体的攻击趋势之一。而随着日新月异的攻击手法,加上Linux被攻击的次数频率增加,未来利用勒索软体攻击各系统将浅显易见。
同时,双重勒索的手法在2020年快速成长,也将增加执法部门以及组织资安部门追踪管理的难度,尤其勒索赎金逐年增加并以虚拟货币作?赎金形式的趋势,组织面对勒索软体的应对更加重要。
Palo Alto Networks建议组织遵循以下方法来应对勒索软体威胁:
拥有网路安全初始存取的观念
组织必须拥有网路安全初始存取的观念,包含提升员工对电子邮件的安全保护意识、定时管理检视可能造成网路安全疑虑的服务、训练员工收到恶意邮件时的保护以及补救措施并针对远端桌面服务时,尽可能使用最小权限原则设置以确保安全性。
档案备份和复原程序
由於骇客通常透过网路云端侵入并加密组织的文件,组织应定时备份档案,除了利用云端备份文件,也须进行离线备份,并演练面对勒索软体攻击事件时的复原程序才能将组织工作停摆的时间及成本降到最低。
网路安全的控制
网路安全的控制是防范勒索软体最有效的方式,包含将URL筛选/Web网页保护、ATP机制/沙箱安全机制及反网路钓鱼解决方案部署到所有组织的环境和设备。尽管这些安全控制形式不能完全保证防范勒索软体,它们将大大降低勒索软体的感染风险,并可在一项安全控制无效的情况下,以另一种安全控制提供强制的防护措施。