Camden聯合公司首席分析師Alan Zeichick毫無疑問勒索軟體已成為造成企業和個人實際傷害的巨大問題,技術服務供應商正在加緊預備以對抗這些網路攻擊-而這種對抗卻還沒有立竿見影的效果。
今年 3 月,從報導上面看見衛理公會醫院被攻擊的情況,當一個勒索軟體攻擊了他們伺服器上的加密文件後,他們內部營運即瀕臨緊急狀態。駭客要求除非獲得大約 1600 元的比特幣,這家位於肯塔基州醫院的醫生和管理人員就無法存取這些伺服器上的資料。
一個月前,洛杉磯一家醫院支付了約 17,000 美元的「贖金」,才能在類似的駭客攻擊下恢復其資料使用。根據好萊塢長老會醫療中心執行長 Allen Stefanek 的說法:「恢復我們的系統和管理功能最快、最有效的辦法就是支付贖金,並獲得解密密鑰。」
雖然似乎沒有人因勒索軟體而喪生,但攻擊事件滾滾而來-消費者和企業往往別無選擇,只能支付贖金,並且通常是用難以追蹤的比特幣來支付。
據悉,大部份攻擊的罪魁禍首是一個叫 Locky 的複雜木馬。 Locky 在 2013 年首次出現,它被 Avast 描述為使用了一流的特性,「例如,域名產生演算法、自訂加密通信、 TOR 或比特幣支付、強 RSA-2048+AES-128 文件加密,以及可以加密超過 160 種不同的檔案類型,包括虛擬磁碟、原始碼和資料庫。」今天在網際網路上有許多版本的 Locky,這使得與它戰鬥特別令人沮喪。另一個劇毒的勒索木馬稱為 CryptoLocker ,它以類似的方式工作。
勒索軟體的網路攻擊行為模式如下:駭客獲得接入系統的存取權限,例如接入消費者的 PC 或企業伺服器。它可能通過下載一個附加到電子郵件的惡意軟體、存取一個已安裝惡意腳本的惡意網站,或打開一個包含下載惡意軟體的惡意巨集 (macro) 的檔案來當作攻擊用的載體。大多數的勒索軟體攻擊的情況是:惡意軟體加密了用戶的資料,然後,要求一個難以追蹤的贖金,以便解密資料或提供密鑰給用戶來解密。因為資料被加密,就算從電腦刪除惡意軟體也將無法恢復系統的功能;通常情況下,受害者必須從備份來恢復整個系統,或是支付贖金並期望得到最好的結果。
隨著網路攻擊的流行,勒索軟體已被證明是攻擊者最令用戶沮喪,並且可獲得贖金的有效工具。
當然,除了贖金損失外,還造成了受害者其他的顧慮。一旦惡意軟體存取了用戶或伺服器資料,意味著未來還要面對的還可能包括了被掃描密碼、銀行帳戶等資訊,或其他類型的敏感知識產權,甚或文件被刪除無法再被取回。而且,即使支付了贖金,也不保證能取回文件,看來對付勒索軟體的唯一解決之道就是做好「預防」。
本文目錄
勒索軟體的範圍和影響
2015 年美國聯邦調查局 (FBI) 收到了 2,453 宗有關勒索軟體網路攻擊的投訴。 FBI 說,這讓受害者付出了超過 2,400 萬美元的贖金。誰知道還有多少人是默默地付出贖金,或因羞愧,或不知要跟誰說,而沒有告知任何人?
一家頂尖的網路安全廠商穩捷網路 (Wedge Networks) 已經在其監視服務的營運商網路上發現勒索軟體網路攻擊正在劇烈增加。執行長 James Hamilton 說:「在這些網路上,我們看到 2015 年觀察到的勒索軟體攻擊數量比 2014 年增加了 100%,而 2016 年第一季度行動勒索軟體比 2015 年第四季度增加了 50% 。」
穩捷網路是一家總部位於加拿大阿爾伯塔省的公司,其廣泛的客戶部署於整個加拿大、美國,和亞太地區。 Hamilton 先生解釋說:「去年,我們在加拿大的客戶回報了比我們在美國觀察到的勒索軟體攻擊(百分比)更多。在亞太地區,日本和台灣的勒索軟體網路攻擊成長速度比東南亞各國緩慢,得歸功於這些市場的安全實踐較為成熟和先進。」
Hamilton 指出:「最近正在與服務供應商討論勒索軟體的防範辦法,他們計劃在主要的東南亞市場推出安全即服務 (Security-as-a-Service),因為他們發現過去 12 個月勒索軟體在他們的國家變得更加猖獗,這在以前是非常罕見的,但現在正迅速蔓延中。」
總部位於美國加州 Menlo 公園市的 Menlo 安全公司歐洲中東和非洲解決方案架構師 Jason Steer 解釋說,雖然對消費者而言他們有時會遺失重要文件,尤其是不可替代的財務文件和個人照片,但勒索軟體對企業而言卻執行毀滅性的任務。「對於企業來說,勒索軟體是他們主要的痛,還會妨礙他們在關鍵 IT 相關業務功能的發展。」Steer 補充說明 Menlo 安全公司即專注於惡意軟體的預防。「我們已經見過很多客戶,他們的每個本機文件和中央伺服器儲存的文件已經被勒索軟體加密。這會影響每個用戶存取網路上的所有中央文件,而且對於任一受影響的用戶,勒索軟體也加密了他們個人電腦上的所有本機文件。」
影響是什麽呢?「你得依賴最近一次備份的時間點是多久之前,因而你有可能無法恢復每一個文件。丟失資料的損失是小還是大要取決於該文件的重要性。」
Cylance 最近看到勒索軟體一些相當具破壞性的損傷。 Cylance 是總部設在美國加州歐文市的網路安全公司,該公司花費大量的時間幫助客戶防止勒索軟體攻擊,並幫助新的受害者從木馬中恢復過來。 Cylance 亞太地區區域總監 Andy Solterbeck 為我們說明了「垂釣者 (Angler)」是什麽,它是網路攻擊利用的工具包,駭客可以利用它來定制自己的攻擊-有點類似自己動手做的入門工具包。「垂釣者造成的傷害導致每天 9 萬例的感染,並帶來每年至少 6,000 萬美元的損失。」
有這麽多的攻擊載體,消費者或 IT 專業人員幾乎不可能跟蹤了解他們所有的情況。位於美國德州奧斯汀的頂級科技安全分析公司 NSS 實驗室首席架構師 Jayendra Pathak 表示:「Adobe Flash 正在成為傳輸勒索軟體極其麻煩的載體。微軟 Word 攻擊也呈上升趨勢,它利用人性的弱點打開電子郵件的附件。」Pathak 補充道:「隨著網路攻擊鎖定企業為目標,付幾百元作為贖金的日子可能已經過去。最重要的是,勒索軟體的作者正轉向從事更多瞄準企業的針對性活動。要求數十萬美元的贖金很快就會到來。儘管勒索軟體是全球各地的問題,但在線上支付系統非常常見的地區更為普遍。美國和歐洲成為主要目標,日本、韓國、中國和新加坡的勒索軟體感染率與歐洲和美國相比相對較少。然而,亞太地區國家必須注意美國和歐洲勒索軟體攻擊的流行,現在正是著手預防性網路安全措施的時候。」
產業的回應
對於消費者而言,防止勒索軟體攻擊最好的辦法就是要主動積極的經常備份,並保持更多備份,以便能將資料恢復至感染之前;不要輕易點開電子郵件附件;使用最新的防病毒和反惡意軟體的工具和服務;不要使用缺乏最新保護的舊版本網頁瀏覽器;在微軟 Word 和微軟 Excel 中禁用巨集;並考慮取消安裝 Adobe Flash 。但即便如此,也不保證系統一定能防止勒索軟體的攻擊。
Steer 解釋道:「在企業及營運商網路中,有較大規模的工具可以更有效地防止勒索軟體的攻擊。」例如,Menlo 安全公司提供了一個隔離的平台,它確保惡意軟體不能接觸最終用戶的筆記型電腦、 PC,或行動電腦,或感染企業伺服器。它可以透過企業的 IT 和安全專業人員來實施。
隔離是市場上的一個新概念,它幫助組織應對攻擊時變得更有彈性。讓端點更加安全和健壯,可以確保他們更少被駭,並降低資料外洩和知識產權的損失。 Gartner 公司認為隔離是預防惡意軟體功能的關鍵,是管理員可以防止他們的用戶非因自己的過錯而遭遇的不幸。
Steer 表示「Menlo 技術消除了惡意軟體通過遭破壞的或惡意的網站或文件達達用戶設備的可能性。用戶的 Web 連線階段和所有活動內容如影片、 JavaScript 或 Flash,不管是好的還是壞的,都在隔離平台內完全被執行和遏制。只有安全、無惡意軟體產生的資訊被傳遞到用戶的端點。沒有任何活動內容,包括任何潛在的惡意軟體可以離開平台。因此惡意軟體沒有到達端點的路徑,而合法的內容也不必因安全利益而遭封鎖,完全不會改變終端用戶的瀏覽體驗。」
穩捷網路的客戶是營運商和雲服務供應商,他們想要在惡意軟體-包括勒索軟體-接近終端客戶的網路或設備之前就發現並阻止它們。
他解釋「其中最大的突破就是實現了安全需要從端點和周邊範式演變為雲端服務的連接形式,以彌補與今天 IT 模式的差距。網路、用戶,和他們的設備不再是靜態的。它們是動態的,並不斷移動和改變。其結果是,保護網路的唯一方法是保護所有連接到該網路的連接。這只能通過將安全移至網路雲端主機來實現,在該處有連接到網路的一切能見度。」
穩捷網路公司的技術如何防範勒索軟體? Hamilton 說明:「我們的穩捷雲端網路防禦透過雲端技術以支持幾乎無限大的規模,並支持那些希望提供安全即服務給他們客戶的服務供應商的多租戶營運要求。雲端網路防禦動態地向上或向下調整雲端運算資源的規模,以效率和持續的性能來支持其客戶廣泛變化的安全工作負荷。「換句話說,它可以阻止勒索木馬和相關的威脅而不影響網路性能或應用程式的回應時間。」
Cylance 的 Solterbeck 解釋們如何解決勒索軟體問題:「人工智慧-我們應用機器學習和人工智慧的力量在惡意軟體檢測的問題上。」這樣即使以前從未見過的攻擊,Cylance 的技術也可以成功地阻止它。「Cylance PROTECT 預測網路攻擊,並在他們執行前即時地在端點阻止他們-包括像勒索軟體、記憶體攻擊、未授權的腳本,和特權升級等惡意軟體,這些惡意軟體能夠讓駭客完全存取你的系統。」
這個問題將變得更糟
壞消息是:惡意軟體,包括勒索軟體,處於成長態勢。
好消息是:網路安全產業以工具和服務來回應這個態勢,這些工具和服務可以幫助保護企業和消費者。然而,市場上總是有惡意軟體,勒索軟體也不會自動消失。 NSS 實驗室的 Pathak 說:「沒有魔法棒能在近期解決這個問題。打擊這種威脅的有效解決方案還是要讓應用程式保持更新、不盲目信任通過電子郵件收到的任何東西、完全禁用微軟的『巨集』功能,並保持定期備份。」
你最近備份了嗎? 如果沒有……現在正是時候!