微软发布第二期《Cyber Signals》网路威胁情报研究报告,警示勒索软体即服务(RaaS)新商业模式已经形成。犯罪份子只要透过付费,即可随时布署勒索软体并发动攻击,大幅降低勒索软体攻击的技术门槛并扩大攻击范围。微软分析发现,超过 80% 勒索软体攻击肇因於软体及装置设定错误,加上大多数政府及企业仍仅以帐号密码做为单一的身份验证,此举将因勒索软体经济崛起提高遭攻击风险,政府及企业应尽快布署零信任资安架构并导入多因素身分验证,才能有效抵御勒索软体的攻击。
《Cyber Signals》是微软定期的网路威胁情报研究报告,内容包含资安趋势以及微软全球资安讯号和专家的见解与洞察。本期《Cyber Signals》提供勒索软体演变成网路犯罪经济的洞察。网路犯罪经济的专业化和整合推动了 RaaS 的发展,成为一种占主导地位的商业模式,将赋予更多的犯罪份子布署勒索软体攻击的能力,无论其技术专长如何。
RaaS 经济让网路犯罪份子得以购买勒索软体负载与数据泄漏,以及支付勒索软体基础架构的存取权。勒索软体犯罪团体实际上是像许多不同攻击者使用的 Conti 或 Revil 这样的 RaaS 程式,攻击者经常在 RaaS 程式和负载之间切换。网路犯罪产业化创造出靠贩卖网路存取许可权获利的存取经纪人这样的专业角色。
本期《Cyber Signals》的主要发现及指引包括:
1.超过 80% 勒索软体攻击可以归因於软体和装置的配置与设定错误。
2.微软的数位犯罪部门在 2021 年 7 月至 2022 年 6 月,共移除超过 531,000 个钓鱼网站连结和 5,400 个钓鱼网站工具包,辨识并关闭超过 1,400 个用於搜集被盗客户凭证的恶意电子邮件帐户。
3.一旦成为网路钓鱼电子邮件的受害者,攻击者存取他们私人资料所需时间的中位数为 1 小时 12 分钟。
4.当装置遭受攻击威胁,攻击者开始在企业网路内横向移动所需的时间中位数为 1 小时 42 分钟。
5.提供企业如何藉由建构凭证卫生、稽核凭证曝露、减少攻击表面、保护其云端资源和身份识别、更好防止初始存取、以及消除安全盲点来有效预防及破坏勒索软体威胁的指引。
微软安全、合规、身份识别和管理全球??总裁 Vasu Jakkal 表示:「为因应勒索软体即服务新经济对於政府及企业组织带来的全新挑战,政府和企业需要提升合作的层次,并将防御勒索软体攻击列为第一优先,唯有透过更多的资讯共享及公私部门的紧密合作,才能确保全球网路用户的安全。」
微软威胁情报提供对威胁攻击者行为的可视性,藉由每天分析 43 兆个资安讯号,以及超过 8,500 名微软专家(包含威胁猎捕人员、取证调查人员、恶意软体工程师和研究人员)的智慧,使得微软能够在第一时间看到企业组织面临的问题,并致力协助企业利用这些资讯预先防御并破坏勒索软体攻击威胁。
近年来各产业遭到勒索软体攻击的事件层出不穷,对台湾重要的制造业与高科技产业造成危害。从本期 Cyber Signals 研究发现,密码被盗、系统管理权限遭窜改、资安产品未启用或正确配置、系统或装置设定错误、以及系统未定期更新是勒索软体攻击成功的主要原因。微软建议政府组织及企业,除了系统应定期进行安全更新外,应该尽快布署多因素验证的身份识别机制,通盘检视资安产品的配置,并将重复或是长久没有使用的系统程式及帐号关闭,降低勒索软体攻击的可能性。