勒索軟體是2016年最主要的資安攻擊手法之一,去年就有不少資安廠商這樣預測。
為何勒索軟體的危害,會比之前還要嚴重呢?我們這裡整理了7大原因,讓你快速了解勒索軟體的發展態勢,已經是企業現階段難以迴避的風險,企業應該要積極面對。
原因1 加密勒索軟體技術發展成熟,有利可圖
加密本是用來保護資訊安全的方法,現在卻被當成勒索的工具,把用戶的檔案當作人質,需交付贖金才能贖回解密金鑰。
隨著加密勒索軟體相關技術的成熟發展,像是透過AES演算法與RSA演算法的雙重加密的方式,使用戶難以自行解密,以及給付方式上,要求以匿蹤性高的比特幣等金流機制為贖金,使執法單位更難以追查。
在能隱匿蹤跡,又有利可圖的情形下,隨之而來的情勢就是勒索軟體變種的高速發展。當駭客受到利益驅動,積極鎖定不同目標下手,而無法建構足夠資安部署的中小企業,便容易成為駭客攻擊對象。
原因2 變種軟體發展快速、攻擊手法多元
近年來,惡意軟體變種的快速發展,其結果令我們感到相當驚人。
就整體惡意軟體變種的發展來看,根據賽門鐵克最近提供的網路安全威脅調查報告(ISTR)顯示,去年2015年,已有4億3千萬個新變種惡意軟體,而2009年則是236萬個,也就是在這5、6年的時間內,變種數量已經成長了182倍,相當驚人,等於是每天在網路上,都有117萬個新的變種惡意軟體被發現。
而加密勒索軟體的變種也不少,像是2013年最早造成轟動的勒索軟體Cryptolocker,到了2015年,則已經演變成多種。簡單舉幾個例子來看,像是鎖定NAS為勒索對象的SynoLocker,帶來嚴重災情的第3、4代CryptoWall、鎖定遊戲綁架的Teslacrypt,以及針對Linux的Linux.Encoder.1等。而2016年初的現在,又有Locky、Petya等新變種勒索軟體,以及針對Mac OS X的KeRanger等。
原因3 針對式的惡意郵件攻擊,容易降低使用者警覺性
就勒索軟體的傳播方式來看,往往也同時依附在其他的攻擊之上。趨勢科技經銷業務部協理黃家寶表示,以目前勒索軟體的攻擊途徑來看,主要分為惡意郵件與網頁掛馬這兩大類。
其中,透過惡意郵件來發動勒索軟體攻擊的作法,主要利用釣魚郵寄方式的社交工程手法,誘騙使用者開啟附件,或是點選附件中的有害連結,是現階段勒索軟體普遍散播的手段。
而對企業帶來麻煩的部分在於,對方透過各種偽裝手法發動了針對式攻擊,其中一旦詐騙郵件的內容與使用者工作內容有關聯,使用者在第一時間往往無法警覺,此時,就有機會不慎開啟信中的惡意連結或附檔而受害。
近期這種針對式的攻擊行動,已有不少,像是今年相當知名的勒索軟體Locky,就是偽裝為寄送發票的電子郵件,郵件附帶一個含惡意巨集的Word檔案;近期興起的加密勒贖軟體Petya,則是先偽裝為求職者信,欺騙受害者開啟履歷,一旦人資部門、業務相關部門同仁收到這些電子郵件,通常會開啟、予以檢視,同樣很容易受騙。
此外,也有人發出假冒成軟體更新的通知信,諸如種種偽裝方式的電子郵件,防不勝防,而且,這種針對特定目標形式的攻擊行動,對於企業的一般員工來說,若不是時時保持警覺,就很容易中招。
賽門鐵克首席提術顧問張士龍也表示,電子郵件病毒攻擊數目與收件者人數,近年其實都是呈現下滑的趨勢,但針對式攻擊數目明顯增加,從2014年到2015年這段期間內,他們發現比例增加了55%。由此看來,過往亂槍打鳥的作法,如今已轉變成更有效率的攻擊方式。
勒索軟體的背後,其實都有數個專業、分工嚴謹的團隊在支撐,不只是開發勒索軟體有團隊,也有專門針對散播惡意郵件與開發攻擊包的團隊,整個生態系還包含發送惡意廣告、入侵網站、匿蹤、發現漏洞的人員。而且有越來越多有心人士加入數位犯罪的行列,彼此之間也存在競爭關係。(圖片來源/趨勢科技)
原因4 搭配網頁掛馬與惡意廣告,使攻擊無所不在
當然,也有許多用戶只是開啟瀏覽器逛逛網站而已,明明什麼都沒點,怎麼還是發現電腦中的檔案已經被加密!
這種手法之所以奏效,其實就是因為駭客先入侵網站,並將惡意程式碼植入,而等到造訪該網站的使用者就會執行程式碼,結果就導致受害——使用者瀏覽網站的同時,會自動被導入駭客的漏洞攻擊套件伺服器,造成使用者電腦在不知不覺的情況下受害。
像是趨勢科技在分析勒索軟體的入侵管道時,就發現臺灣受害用戶多是遭遇網頁掛馬與惡意廣告而受害,不像國外勒索軟體是以惡意郵件方式傳播居多,畢竟大多數惡意郵件仍是英文內容,中文內容的惡意郵件雖然有,但仍少見。
同時,趨勢也不斷發現有不少臺灣網站遭到入侵,而導向國外漏洞攻擊套件伺服器。例如,一些像是利用WordPress、Joomla、Drupal等內容管理系統(CMS)所架設的網站,都受到波及,而且這些網站本身可能是特定領域的人會去瀏覽的站臺,意味著相關的攻擊也有針對性。
更讓人防不勝防的攻擊手法則是,駭客假冒廣告業主並提供惡意廣告上傳,這使得相關的廣告內容可以更容易散播到各大不同網站,使得擴散程度更為廣泛。而且,網路廣告的內容,可依照不同的地區、時間、喜好來執行動態推播,更不易被察覺和追蹤,再加上,一般經營網路廣告平臺的業者本身也沒有能力去驗證審核,而使得對於這種手法的防禦,難上加難。
在這樣的情況下,如果使用者瀏覽了遭植入惡意連結的網站,加密勒索軟體再透過網站系統端的軟體漏洞,於背景自動執行,使用者就會在不知情的狀況下受害。
iThome上個月的資安週報也就曾經報導,像是鉅亨網、住房網,以及股票行情網站StockQ等知名網站,在今年第一季也曾被植入惡意程式或被導到惡意網址,雖然目前這些網站都已經默默修復,但這樣的危害是一般使用者不易察覺到的。而當時也有大型企業在發現後,為了減少勒索軟體的危害,最後選擇封鎖使用者瀏覽上述網站。
而今年六月初的臺灣雅虎奇摩網站,也因其網路廣告播放平臺,所播放的內容被植入惡意連結,導致瀏覽雅虎奇摩首頁的使用者,若是剛好輪播到惡意網路廣告,且使用者電腦的Adobe Flash沒有更新到最新版本,就可能受害。
網頁掛馬成為勒索軟體常用的手法之一,在攻擊發動過程中,對方先要侵入所要針對的網站,將勒索軟體植入,之後,瀏覽該網頁內容的使用者,就會不知不覺執行相關的程式碼,而且會先導引到攻擊中繼伺服器,再連往更幕後的漏洞攻擊套件伺服器。(圖片來源/趨勢科技)
原因5 新的軟體或系統漏洞層出不窮,更是感染用戶的關鍵
軟體的漏洞所引發的零時差攻擊(Zero-day attack),已經是近年來相當普遍的資安威脅。系統或應用程式的弱點一旦被揭露或是被別人早一步發現,軟體開發商可能來不及提供修補程式,或是已發布、但用戶無法在最短時間安裝、套用,這些情況都可能導致用戶受害而不自覺。
近來,出現許多系統軟體新漏洞遭勒索軟體濫用來發動攻擊的新聞,這一兩年最常看到的軟體平臺都是目標,像是微軟IE、Windows、Silverlight、Java、Adobe Flash、Adobe Reader等,這些日常可能使用到的軟體,若是用戶沒有持續更新,用戶感染機率越高。
最令人擔憂的是,Adobe Flash堪稱是2015年的漏洞之王,不僅數量多,去年最容易被駭客利用零時差漏洞的前幾名,幾乎都是Flash。即便Adobe去年底一次修補78個漏洞,但Flash如今已陷入眾多網路服務、瀏覽器平臺均不願意支援的慘況。
比較前兩年前五大被駭客利用的零時差漏洞,Adobe Flash顯然是近期最嚴重的漏洞缺口。若網站有使用Adobe Flash設計動態網頁的元素,當駭客發現該網頁在Adobe Flash的漏洞時,就能利用軟體漏洞,將預先攻擊網站後所植入的一段惡意連結,在使用者瀏覽網頁時,自動感染用戶電腦主機,也無怪乎近年已有不少反Flash的聲浪。(圖片來源/賽門鐵克)
原因6 工具取得容易,降低勒索事業進入門檻
漏洞攻擊套件越來越多,同樣也助長了勒索軟體的擴散。在2015年,就有5種以上主流的漏洞攻擊套件,像是Angler、Magnitude、Nuclear、Neutrino與Rig,其中Angler是2015年駭客使用最廣的漏洞攻擊套件。由於有了這些攻擊套件的幫助,使得勒索軟體在利用零時差漏洞、散播勒索病毒,更方便。
甚至,後來,還出現勒索軟體的SaaS雲端服務,使得有心人士想要經營勒索軟體作為事業的門檻變得更低。整體而言,不論是漏洞攻擊套件的普及,或是SaaS服務的出現,都將使得這類攻擊行為與事件變得更加普遍。
原因7 網路加密勒索已有專業化經營模式
隨著勒索地下經濟生態逐漸成形,犯罪集團挾其人力優勢,建立專業團隊,並提供攻擊企業的效率,進而擴大了企業所面對的威脅。
作法上,這類犯罪集團相當專業,甚至成立了技術支援團隊,也就是客服中心,提供全天候7天24小時的支援服務,像是透過電話或網路聊天的方式,即時協助受害者可以順利完成付款流程,行徑相當囂張。
除了專業詐騙技術客服中心快速增加,一些提供勒索軟體服務的網站,還會公布各勒索軟體獲得的贖金,讓買方知道可以賺更多錢。
無人能倖免於勒索軟體的威脅,企業不可掉以輕心
隨著攻擊手法不斷變種,大型企業即便做了多層防禦,也都有受害的可能性,更不論是中小企業與一般用戶。
面對勒索軟體這種類型的資安問題,企業IT人員勢必無法迴避,需要不斷去面對以降低風險,即便是資源不夠的中小企業,也應能做到一些基本該做的本分,像是基本的備份工作要做好,使資料有復原的機會,而作業系統或應用程式時常保持更新也很重要,另外就是要不斷提升企業員工的資安意識。
下一篇:面對加密勒索軟體,2016你該知道的最新防護策略大揭露
【相關報導請參考「2016勒索軟體教戰守則」專題】