勒索軟體攻擊的生命週期

隨著今日網路犯罪分子越來越精密，他們擁有更多形式的勒索軟體，以及更多媒介來對組織發動攻擊。即使公司制定更有效的應對措施，犯罪分子也會調整策略和工具，以規避他們的努力。

雖然勒索軟體攻擊似乎有點神秘，但通常採用相同的基本結構。一旦您了解這些攻擊的運作方式，就可以準備更全面的緩解策略，以增強您的網路韌性，並希望消除或減輕攻擊的影響。

下面詳細介紹勒索軟體攻擊的結構，包括攻擊者如何存取並感染系統。

感染與傳播媒介

勒索軟體是一種惡意軟體，用來加密重要的電腦檔案或敏感資料，以勒索贖金。勒索軟體惡意軟體下載並安裝在組織網路上的裝置時，就會發生感染。

勒索軟體可透過多種方式存取目標系統。2023 年，科技的進步大增。人工智慧與勒索軟體即服務平台，讓駭客能更流暢地執行勒索軟體攻擊。社交工程、國家資助和內幕攻擊正在增加，但系統衛生欠佳和網路釣魚電子郵件仍是最常見的攻擊媒介。

網路釣魚電子郵件通常包含連至遭入侵網站的連結，或內嵌惡意軟體的附件。當使用者點選連結或附件時，惡意軟體就會下載並在電腦系統上執行。

閱讀五個為勒索軟體帶來常見弱點的領域。

遠端桌面通訊協定（RDP）是另一個常見的勒索軟體攻擊媒介，因為它易於使用，而且如果能夠存取合法憑證，就能提供攻擊者高階的存取權限。威脅發動者可以使用各種技術，包括暴力攻擊、憑證填塞，或在黑暗網路上購買。

在黑暗網路上購買的受害 RDP 存取，只要建立掃描預設連接埠的指令碼，就能利用 RDP 連線。駭客通常能使用與安全專業人員相同的工具，而且只要一分鐘就能掃描整個網際網路，尋找開放的連接埠。 

前駭客 Hector “Sabu” Monsegur 在這場隨取隨用的網路研討會中，與 Pure 的 Andrew Miller 討論了目前的網路資安情勢與挑戰。

加密

一旦勒索軟體安裝到目標系統上，就需要等待，並盡可能默默地收集資料和感染系統。然後，它會利用公司最有價值的敏感資料竊取和/或加密系統檔案。勒索軟體通常也會破壞備份或竊取資料，作為攻擊的一部分，因此備份安全無虞也很重要。

現在，我們來深入了解勒索軟體的幾種類型和變種。

加密勒索軟體會將檔案加密，使內容變得難以讀取。解密金鑰是將檔案還原為可讀取格式的必要金鑰。網路罪犯隨後會發出贖金要求，並承諾在滿足要求時解密資料或釋放解密金鑰。

儲存櫃勒索軟體不會加密檔案，而是將受害者完全鎖定在系統或裝置之外。然後，網路犯罪集團必須支付贖金來解開裝置。一般來說，如果備份良好，就有可能從嘗試的加密攻擊中恢復或避免。然而，儲存櫃勒索軟體攻擊更難復原，也更昂貴。即使有備份的資料，仍必須完全更換裝置。

勒索軟體攻擊的基本目標是勒索金錢，但組織可以拒絕付款，尤其是當他們擁有良好的備份和復原系統時。因此，攻擊者會使用雙重勒索，在其中資料會加密並擷取。如果公司拒絕付款，駭客會威脅在線上洩漏資訊，或是將資訊賣給最高價位的廠商。

而且情況會變得更糟。如同勒索軟體的雙重勒索響起，資安專家對更大威脅的警告是：勒索軟體的三倍勒索。攻擊者除了要從最初的目標中擷取資料和要求贖金之外，也要向受影響的第三方索取金錢。

最後，勒索軟體即服務（RaaS）使用標準軟體即服務（SaaS）。這是一種訂閱式服務，讓訂閱者能夠使用預先開發的勒索軟體工具，以發動勒索軟體攻擊。訂閱者稱為附屬機構，因此每次支付贖金都能獲得一定比例的收益。 

勒索訊息與需求

一旦勒索軟體成功部署到目標網路，就會產生贖金要求。駭客會警告受害者攻擊已發生，並詳細說明逆轉攻擊所需的贖金。贖金需求會顯示在電腦螢幕上，或放在加密檔案的目錄中。

贖金要求通常包含贖金金額、所需付款方式和付款期限等細節，並承諾在支付贖金後，歸還加密檔案的存取權。若發生資料外洩，駭客可能也同意不揭露額外資料，並顯示資料已銷毀的證據。通常要求以加密貨幣（例如比特幣或 Monero）付款。

然而，即使支付了贖金，也無法保證攻擊者會還原資料或信守任何承諾。他們可能會保留一份被盜資料的副本，以供日後使用。解密金鑰可能無法完全運作，導致部分資料被加密，或可能包含其他未偵測到的惡意軟體，讓攻擊者在未來使用。

協商：支付或不支付？

支付或不支付贖金的決策可能很複雜，並取決於幾個因素：

• 資料外洩對業務營運的影響有多重要？
• 員工會停工嗎？ 多少，多久？
• 資料暴露的風險有多大？

如需深入了解付費與不付費的優缺點，請參閱部落格文章：「遭受勒索軟體攻擊？ 下一步該怎麼做。」

如果您的備份復原系統並未受到勒索軟體的影響，您或許可以避免支付贖金（取決於影響您的勒索軟體類型）。但如果支付贖金是您唯一的選擇，最好是雇用經驗豐富的事件回應團隊，協助協商並加速付款。 

後果：還原與復原

勒索軟體攻擊後的平均停機時間為 24 天。如果您支付了贖金，可能需要多幾天的時間才能收到解密金鑰，並反向加密。

請注意，某些勒索軟體變種會識別並破壞受害網路上的備份。如果備份被銷毀或加密，復原過程可能會變得更加複雜。但即便備份可用，復原過程仍可能很長時間，這取決於您現有的備份和復原系統類型。

不論您支付贖金，或是試圖自行復原資料，您都應該為整個復原過程規劃好好幾天的時間。同時規劃某種程度的財務損失，無論是以贖金形式、事件回應成本，還是因停機而損失收入。

閱讀文章 “遭受兩次勒索軟體攻擊的故事：您是哪家公司？”

準備好應對攻擊

勒索軟體攻擊是您無法承受的風險。您可能認為您採取了一切正確措施來保持安全，但依賴傳統的備份架構無法保護您免受現代攻擊。

應對攻擊的最佳方式？ 唯有 Pure Storage® SafeMode 的快照和 FlashBlade//S 的快速還原等現代化解決方案，才能大規模提供 PB 級復原效能，讓您的安全策略更上一層樓。