感染與傳播媒介
勒索軟體是一種惡意軟體,用來加密重要的電腦檔案或敏感資料,以勒索贖金。勒索軟體惡意軟體下載並安裝在組織網路上的裝置時,就會發生感染。
勒索軟體可透過多種方式存取目標系統。2023 年,科技的進步大增。人工智慧與勒索軟體即服務平台,讓駭客能更流暢地執行勒索軟體攻擊。社交工程、國家資助和內幕攻擊正在增加,但系統衛生欠佳和網路釣魚電子郵件仍是最常見的攻擊媒介。
網路釣魚電子郵件通常包含連至遭入侵網站的連結,或內嵌惡意軟體的附件。當使用者點選連結或附件時,惡意軟體就會下載並在電腦系統上執行。
閱讀五個為勒索軟體帶來常見弱點的領域。
遠端桌面通訊協定(RDP)是另一個常見的勒索軟體攻擊媒介,因為它易於使用,而且如果能夠存取合法憑證,就能提供攻擊者高階的存取權限。威脅發動者可以使用各種技術,包括暴力攻擊、憑證填塞,或在黑暗網路上購買。
在黑暗網路上購買的受害 RDP 存取,只要建立掃描預設連接埠的指令碼,就能利用 RDP 連線。駭客通常能使用與安全專業人員相同的工具,而且只要一分鐘就能掃描整個網際網路,尋找開放的連接埠。
前駭客 Hector “Sabu” Monsegur 在這場隨取隨用的網路研討會中,與 Pure 的 Andrew Miller 討論了目前的網路資安情勢與挑戰。
加密
一旦勒索軟體安裝到目標系統上,就需要等待,並盡可能默默地收集資料和感染系統。然後,它會利用公司最有價值的敏感資料竊取和/或加密系統檔案。勒索軟體通常也會破壞備份或竊取資料,作為攻擊的一部分,因此備份安全無虞也很重要。
現在,我們來深入了解勒索軟體的幾種類型和變種。
加密勒索軟體會將檔案加密,使內容變得難以讀取。解密金鑰是將檔案還原為可讀取格式的必要金鑰。網路罪犯隨後會發出贖金要求,並承諾在滿足要求時解密資料或釋放解密金鑰。
儲存櫃勒索軟體不會加密檔案,而是將受害者完全鎖定在系統或裝置之外。然後,網路犯罪集團必須支付贖金來解開裝置。一般來說,如果備份良好,就有可能從嘗試的加密攻擊中恢復或避免。然而,儲存櫃勒索軟體攻擊更難復原,也更昂貴。即使有備份的資料,仍必須完全更換裝置。
勒索軟體攻擊的基本目標是勒索金錢,但組織可以拒絕付款,尤其是當他們擁有良好的備份和復原系統時。因此,攻擊者會使用雙重勒索,在其中資料會加密並擷取。如果公司拒絕付款,駭客會威脅在線上洩漏資訊,或是將資訊賣給最高價位的廠商。
而且情況會變得更糟。如同勒索軟體的雙重勒索響起,資安專家對更大威脅的警告是:勒索軟體的三倍勒索。攻擊者除了要從最初的目標中擷取資料和要求贖金之外,也要向受影響的第三方索取金錢。
最後,勒索軟體即服務(RaaS)使用標準軟體即服務(SaaS)。這是一種訂閱式服務,讓訂閱者能夠使用預先開發的勒索軟體工具,以發動勒索軟體攻擊。訂閱者稱為附屬機構,因此每次支付贖金都能獲得一定比例的收益。
勒索訊息與需求
一旦勒索軟體成功部署到目標網路,就會產生贖金要求。駭客會警告受害者攻擊已發生,並詳細說明逆轉攻擊所需的贖金。贖金需求會顯示在電腦螢幕上,或放在加密檔案的目錄中。
贖金要求通常包含贖金金額、所需付款方式和付款期限等細節,並承諾在支付贖金後,歸還加密檔案的存取權。若發生資料外洩,駭客可能也同意不揭露額外資料,並顯示資料已銷毀的證據。通常要求以加密貨幣(例如比特幣或 Monero)付款。
然而,即使支付了贖金,也無法保證攻擊者會還原資料或信守任何承諾。他們可能會保留一份被盜資料的副本,以供日後使用。解密金鑰可能無法完全運作,導致部分資料被加密,或可能包含其他未偵測到的惡意軟體,讓攻擊者在未來使用。
協商:支付或不支付?
支付或不支付贖金的決策可能很複雜,並取決於幾個因素:
- 資料外洩對業務營運的影響有多重要?
- 員工會停工嗎? 多少,多久?
- 資料暴露的風險有多大?
如需深入了解付費與不付費的優缺點,請參閱部落格文章:「遭受勒索軟體攻擊? 下一步該怎麼做。」
如果您的備份復原系統並未受到勒索軟體的影響,您或許可以避免支付贖金(取決於影響您的勒索軟體類型)。但如果支付贖金是您唯一的選擇,最好是雇用經驗豐富的事件回應團隊,協助協商並加速付款。
後果:還原與復原
勒索軟體攻擊後的平均停機時間為 24 天。如果您支付了贖金,可能需要多幾天的時間才能收到解密金鑰,並反向加密。
請注意,某些勒索軟體變種會識別並破壞受害網路上的備份。如果備份被銷毀或加密,復原過程可能會變得更加複雜。但即便備份可用,復原過程仍可能很長時間,這取決於您現有的備份和復原系統類型。
不論您支付贖金,或是試圖自行復原資料,您都應該為整個復原過程規劃好好幾天的時間。同時規劃某種程度的財務損失,無論是以贖金形式、事件回應成本,還是因停機而損失收入。
閱讀文章 “遭受兩次勒索軟體攻擊的故事:您是哪家公司?”
準備好應對攻擊
勒索軟體攻擊是您無法承受的風險。您可能認為您採取了一切正確措施來保持安全,但依賴傳統的備份架構無法保護您免受現代攻擊。
應對攻擊的最佳方式? 唯有 Pure Storage® SafeMode 的快照和 FlashBlade//S 的快速還原等現代化解決方案,才能大規模提供 PB 級復原效能,讓您的安全策略更上一層樓。