勒索軟件攻擊近年越見猖獗,據2022年SonicWall網絡威脅報告指出,2021年全球勒索軟件攻擊數量較2020年上升105%,達到6.233億次。當中,關鍵基礎設施(Critical Infrastructure)亦越趨成為勒索軟件的目標。美國最大的成品油管道系統Colonial Pipeline Co.、德國最大化學品經銷商Brenntag,以及新加坡亞洲新聞台CNA等,過去一年都被勒索軟件攻擊,損失高達400至440萬美元。
感染途徑
作為一種惡意軟件,勒索軟件會加密受害人的檔案,令其無法存取任何檔案或應用程式,並以此要脅,要求受害人支付贖金換取解密密鑰以恢復資料。常見的感染途徑有以下3種:
- 網絡釣魚
大部分受害人都是開啟了由黑客操控的殭屍電腦所發出的垃圾電郵,或網絡釣魚中的惡意附件而被感染。惡意附件檔案類別包括壓縮檔(.zip),內藏執行檔(.exe)、PowerShell檔(.ps)或JavaScript檔(.js)及有巨集的微軟Office檔。
- 遠端登入服務
傳統勒索軟件會在互聯網上自動傳播,如WannaCry。但近年攻擊方式已逐漸改變至人手操控,背後是由一群擁有豐富 IT 知識的黑客操作並進行攻擊,他們通常入侵暴露在互聯網上和安全性差的遠端登入服務,例如遠端桌面服務(RDS)、TeamViewer、虛擬私人網絡服務(VPN)等。黑客會發動暴力密碼攻擊,來入侵受害人的網絡及傳播勒索軟件,他們亦會竊取系統上的重要資料,以擴大對受害人的影響。
- 系統漏洞
黑客亦會在受害人安裝保安修補程式之前,搶先一步利用保安漏洞入侵系統。
部分黑客更將攻擊擴展為類似軟件服務(SaaS)的商業模式運作,即「勒索軟件服務」(RaaS)。在RaaS中,黑客負責開發勒索軟件,並提供執行攻擊所需的設施及服務,例如談判和交收贖金等,然後招攬其他組織合作散布勒索軟件。
「齊抗勒索軟件」專頁
整合最新情報及預防方法
近兩個月,香港電腦保安事故協調中心(HKCERT)收到多宗勒索軟件事故報告,其中感染宗數最多的是Deadbolt,Deadbolt勒索軟件組織針對NAS設備中的零日漏洞進行攻擊。受攻擊設備的登錄畫面會被替換為勒索訊息,文件被加密為 「.deadbolt」副檔名。另外,Makop和Democry也是感染宗案較多的勒索軟件。Makop勒索軟件主要傳播途徑為惡意電郵附件及惡意網頁廣告,被加密文件的副檔名為「.makop」。而Democry勒索軟件會將文件加密為「.democry」副檔名。
為緊貼勒索軟件攻擊的變化,HKCERT整合勒索軟件攻擊情報及常見種類、預防和處理方法,設立了一個全新的「齊抗勒索軟件」專頁,內容包括:
- 認識勒索軟件
- 甚麼是勒索軟件?
- 感染途徑
- 勒索軟件的運作
- 預防方法:
- 留意可疑電郵,不要隨意點擊連結或打開附件
- 適時更新系統及軟件以修補保安漏洞
- 對檔案進行及時和定時備份 - 處理方法:
- 切斷受感染電腦的所有連接
- 如果在感染前已為系統或資料備份,可進行系統復原
- 使用入侵檢測查找漏洞以及攻擊是如何發生,從而加強防護
- 不要支付贖金及不要使用網上未經認證的解密軟件
-
HKCERT發布有關探討勒索軟件的保安博錄
反惡意軟件工具
有用的網上資源
而針對近期NAS設備的攻擊,HKCERT建議:
- 停用預設admin帳號
- 使用高強度密碼,啟用多重認證
- 避免將裝置暴露於互聯網上
- 定期進行系統程式更新
此外,HKCERT亦制作了一系列勒索軟件資訊圖,方便機構用作內部網絡保安意識教育或推廣活動。HKCERT期望這個「齊抗勒索軟件」專頁能引起公眾對勒索軟件攻擊的關注,以及提供在面對勒索軟件時的實際操作指南。
「齊抗勒索軟件」網上專頁:https://www.hkcert.org/tc/publications/fight-ransomware
勒索軟件資訊圖:https://www.hkcert.org/tc/publications/fight-ransomware#resources
其他生產力局資訊保安隨筆相關文章:
撰文:陳仲文 香港生產力促進局數碼轉型部總經理兼HKCERT發言人