逸盈科技回首頁聯絡我們產品諮詢

{{indPage.title}} /{{BreadCrumbs}}

Untitled Document

全方位防禦勒索軟體侵害與緩解資料崩潰災難

中芯數據MDR結合SentinelOne協助您達成:事前預防、事中偵測與阻絕、事後的資料還原

隨著惡意威脅行為者的複雜性和有效性不斷提高,勒索軟體的利潤也越來越高的情況下,勒索軟體對所有組織的威脅越來越大,其影響範圍超出了資安管理的範疇,甚至已經包括資安治理、運營、財務、客戶和公共關係等。

如今,勒索軟體的日益流行及其潛在的破壞性(從學校停課到關鍵基礎設施受損,再到醫療保健服務中斷)引發了更廣泛的、可以說是姍姍來遲的關於如何應對這一全球普遍存在的威脅的討論。

話雖如此,防範並最終打敗勒索軟體首先要了解它是什麼、它如何以及為何發展,以及您的組織可以採取哪些措施來阻止它的發展。

什麼是勒索軟體?

勒索軟體是一種惡意軟體(malware),它利用資料加密向組織勒索大量贖金,一旦支付贖金,理論上將使用解密金鑰恢復對受影響數據的訪問和/或解密。當用戶使用諸如網路釣魚電子郵件或水坑攻擊之類的社交工程攻擊時,勒索軟體通常會在組織環境中獲得最初的跳板,(例如經由內部橫向移動取得的高權限帳號後,再繼續進行取得更多的跳板與立足點。)

在大多數勒索軟體攻擊的情況下,加密會限制對重要文件、系統和應用程式的存取,拒絕或未能支付所需金額可能會導致這些資訊資產無法存取使用,或有價值的資料洩露給網路犯罪組織。普遍接受的勒索軟體支付通常為虛擬貨幣。

什麼是勒索軟體即服務 (RaaS)?

勒索軟體即服務是一種商業模式,在這種商業模式中,勒索軟體開發人員以統一費率或分潤的向非技術買家出售完全成熟的勒索軟體變種,使他們能夠在沒有任何重要技能的情況下發動勒索軟體攻擊。這些交易通常在暗網上進行。

勒索軟體開發人員從 RaaS 模型中受益,因為他們不需要直接關注風險或尋找和感染目標的交易技巧。這種分工和技巧意味著具有不同技能和專業知識的犯罪分子可以聯合起來,使攻擊和 RaaS 套件更加高效和有利可圖。

儘管 RaaS 不是一種新的交付模式,但鑑於近期勒索軟體攻擊的普遍流行和“成功”、相對於可能的回報而言前期成本較低,以及 RaaS 中勒索軟體開發人員的可用性和質量不斷提高,它的受歡迎程度穩步上升市場。

新聞中的勒索軟體:最近的例子

最近關於勒索軟體及其對全球組織、行業和經濟影響的案例研究不乏其人。幸運的是,隨著威脅行為者團體的動機和技術不斷發展,我們對如何克服它們的知識和理解也在不斷發展。最近勒索軟體攻擊的特別相關和教育示例包括:

  • Conti 勒索軟體的興起引發 FBI 快速報告:2021 年 5 月,FBI 發布了一份值得注意的快速報告,警告組織 Conti 勒索軟體的威脅日益嚴重;到 2021 年 7 月,自 2021 年初以來,Conti 洩露的組織資料(以 GB 為單位)比任何其他勒索軟體組織都多。
  • REvil 勒索軟體激增和 Kaseya 供應鏈攻擊:迄今為止最大的大規模勒索軟體事件發生在 2021 年 7 月,在此期間,利用零日漏洞將 REvil 傳送到數千個企業端點。
  • DarkSide 勒索軟體和殖民管道攻擊:2021 年 5 月發生了迄今為止最具破壞性和最發人深省的勒索軟體攻擊之一,DarkSide 關閉了美國的一個關鍵基礎設施系統數天,並對下游燃料價格造成了嚴重的影響。
  • Ryuk 勒索軟體的廣泛影響:從 2018 年 8 月到 2020 年底,Ryuk 勒索軟體家族對從報紙到大型醫院系統的知名行業造成了嚴重破壞,需要花費大量比特幣進行解密。

勒索軟體傳播的 7 種常見方式

了解勒索軟體如何感染設備,並確保您的組織不會成為攻擊的下一個受害者至關重要。以下是勒索軟體的七種常見傳播方式。

  • 1. 網路釣魚和社交工程的漏洞

    駭客最初用勒索軟體感染端點的最常見方法仍然是通過網路釣魚電子郵件。越來越有針對性、個性化和特定的信息被用來製作電子郵件以獲取信任並誘騙潛在受害者打開附件或單擊鏈接以下載惡意 PDF和其他文檔文件。這些看起來與普通文件沒有區別,攻擊者可能會利用隱藏文件真實擴展名的默認 Windows 配置。例如,附件可能看起來名為“filename.pdf”,但顯示完整擴展名表明它是一個可執行文件“filename.pdf.exe”。

    文件可以採用標準格式,如MS Office 附件PDF 文件或 JavaScript。單擊這些文件或允許文件啟用巨集,開始在受害者機器上加密數據的過程。

  • 2. 通過已遭駭客入侵的網站

    並非所有勒索軟體攻擊都必須打包在惡意製作的電子郵件中。被入侵的網站很容易插入惡意代碼。只需要一個毫無戒心的受害者存取該網站,也許是他們經常光顧的網站。受感染的網站隨後會重新導向到一個頁面,該頁面會提示用戶下載某些軟體的較新版本,例如 Web 瀏覽器、Plug-in或媒體播放器。

    像這樣的 Web 重新導向對於用戶來說特別難以發現,而無需深入研究他們訪問的每個網站下的代碼。

    如果該網站已準備好提供勒索軟體,則可以直接激活惡意軟體,或者更常見的是啟動下載並刪除勒索軟體的安裝程式。

  • 3. 惡意廣告和未修補的瀏覽器

    如果用戶的瀏覽器中存在未修補的漏洞,則可能會發生惡意廣告攻擊。使用網站上的常見廣告,網路犯罪者可以插入惡意代碼,一旦顯示廣告,就會下載勒索軟體。雖然這是一種不太常見的勒索軟體管道,但它仍然存在危險,因為它不需要受害者採取任何公開的行動,例如下載文件和啟用巨集。

  • 4. 提供自定義惡意軟體的漏洞攻擊工具包

    Angler、Neutrino 和Nuclear 是已廣泛用於勒索軟體攻擊的漏洞攻擊工具包。這些框架是一種惡意工具包,具有預先編寫的漏洞利用程序,針對 Java 和 Adobe Flash 等瀏覽器插件中的漏洞。Microsoft Internet Explorer 和 Microsoft Silverlight 也是常見的目標。

    LockyCryptoWall勒索軟體是通過誘殺網站上的漏洞利用工具包和惡意廣告活動傳播的。
  • 5. 受感染的文件和應用程式下載

    任何可以下載的文件或應用程序也可用於勒索軟體。非法文件共享站點上的破解軟體已經很容易受到攻擊,而且此類軟體通常不包含惡意軟體。例如,最近的 MBRLocker 案例就採用了這條路線。駭客也有可能利用合法網站來提供受感染的可執行文件。受害者只需下載文件或應用程序,然後注入勒索軟體即可。

  • 6. 作為感染媒介的通訊軟體

    通過 WhatsApp 和 Facebook Messenger 等通訊軟體,勒索軟體可以偽裝成可縮放圖形檔案 (SVG) 以加載繞過傳統Content filtering機制的文件。由於 SVG 基於 XML,網路犯罪者可以隨意嵌入任何類型的內容。一旦存取,受感染的圖像文件會將受害者導向到一個看似合法的網站。加載後,系統會提示受害者接受安裝,安裝完成後會直接讓惡意軟體回報駭客並開始加密。

  • 7. 暴力破解RDP並利用於內部橫向移動

    攻擊者使用SamSam 勒索軟體,通過面對 Internet 的遠程桌面協議 (RDP) 服務器使用蠻力攻擊直接破壞端點。RDP 使 IT 管理員能夠遠端存取和控制用戶的設備,但這也為攻擊者提供了將其用於惡意目的的機會

    駭客可以使用Shodan等工具和 Nmap 和 Zenmap 等掃描工具來搜索易受攻擊的機器。一旦識別出目標機器,攻擊者就可以通過暴力破解密碼以管理員身份登入來獲得存取權限。預設或弱密碼憑據與開源密碼破解工具(例如 Aircrack-ng、John The Ripper 和 DaveGrohl)的組合有助於實現這一目標。一旦以受信任的管理員身份登入,攻擊者就可以完全控制機器,並能夠派送勒索軟體並開始加密資料。他們還可以禁用端點原有的資安防禦機制、刪除備份以增加支付的可能性或轉向實現其他目標。

如何防範勒索軟體?

它需要採取全面的方法來保持受到保護,包括端點保護、檢測和即時回應。中芯數據MDR利用在MITRE ATT&CK®評比上表現首屈一指的 SentinelOne Singularity平台,結合中芯數據最優秀的監控服務團隊,提供事前預防、事中偵測回應以及事後災難回復的最完整方案。如何做到最即時的災難復原?中芯數據結合SentinelOne的MDR服務,提供獨家技術的萬無一失方案,當遭受滅頂式的未知勒索軟體侵害時,最重要的資料保護與復原變成是當下最重要的作業,中芯數據MDR可以在端點遭受加密時,即時偵測到正在加密的動作並停止造成惡意加密的程序,同時馬上啟動即時資料復原,面對勒索軟體,可以從偵測、回應、到最後的資料搶救,中芯數據MDR才是您最需要的方案。

常見勒索軟體攻擊媒介的保護

了解勒索軟體如何感染和傳播可以幫助您規避其下游影響和損失。在最初感染之後,勒索軟體可以傳播到其他機器或加密組織網路中的網路附加存儲 (NAS) 文件管理器。在某些情況下,它可以跨越組織邊界傳播以感染供應鏈、客戶和其他組織。

在勒索軟體有機會在您的環境中擴散之前,我們建議審核和加強在勒索軟體攻擊中通常利用的以下管道:
  • 釣魚郵件
  • 被入侵的網站
  • 惡意廣告
  • 漏洞利用工具包
  • 下載
  • 消息應用程序
  • 通過 RDP 的蠻力

在其中許多情況下,對員工進行內部安全培訓並遵守安全最佳實踐可以大大加強您的第一道防線並減少攻擊面。這擴展到對您的資產和系統進行認真的升級、修補和維護,以及採用增強的電子郵件安全措施。


關於中芯數據

中芯數據股份有限公司為正式通過國際標準資安認證機構 IOS27001 認證,可提供企業符合國際標準的資訊安全管理規範,讓客戶能夠專注在自身業務與推廣上。中芯數據作為企業內部資安團隊的延伸,協助企業共同防禦進階威脅。如需瞭解更多資訊,請造訪 www.corecloud.com.tw

 

關於SentinelOne

SentinelOne是領先的網路安全解決方案,涵蓋在單一的自主平臺上對端點、容器、雲端工作負載和物聯網(IoT)設備進行AI驅動型預防、檢測、回應和獵捕。使用SentinelOne,組織能夠以機器速度清晰瞭解網路中發生的所有事件,從而在生命週期的每個階段中抵禦攻擊。如需瞭解更多資訊,請造訪 www.sentinelone.com