Skip to main content

資訊保安隨筆 - 勒索軟件攻擊增 HKCERT設全新網上專頁 助中小企防禦措施LEVEL UP

勒索軟件攻擊近年越見猖獗,據2022年SonicWall網絡威脅報告指出,2021年全球勒索軟件攻擊數量較2020年上升105%,達到6.233億次。當中,關鍵基礎設施(Critical Infrastructure)亦越趨成為勒索軟件的目標。美國最大的成品油管道系統Colonial Pipeline Co.、德國最大化學品經銷商Brenntag,以及新加坡亞洲新聞台CNA等,過去一年都被勒索軟件攻擊,損失高達400至440萬美元。

感染途徑

作為一種惡意軟件,勒索軟件會加密受害人的檔案,令其無法存取任何檔案或應用程式,並以此要脅,要求受害人支付贖金換取解密密鑰以恢復資料。常見的感染途徑有以下3種:

1. 網絡釣魚

大部分受害人都是開啟了由黑客操控的殭屍電腦所發出的垃圾電郵,或網絡釣魚中的惡意附件而被感染。惡意附件檔案類別包括壓縮檔(.zip),內藏執行檔(.exe)、PowerShell檔(.ps)或JavaScript檔(.js)及有巨集的微軟Office檔。

2. 遠端登入服務

傳統勒索軟件會在互聯網上自動傳播,如WannaCry。但近年攻擊方式已逐漸改變至人手操控,背後是由一群擁有豐富 IT 知識的黑客操作並進行攻擊,他們通常入侵暴露在互聯網上和安全性差的遠端登入服務,例如遠端桌面服務(RDS)、TeamViewer、虛擬私人網絡服務(VPN)等。黑客會發動暴力密碼攻擊,來入侵受害人的網絡及傳播勒索軟件,他們亦會竊取系統上的重要資料,以擴大對受害人的影響。

3. 系統漏洞

黑客亦會在受害人安裝保安修補程式之前,搶先一步利用保安漏洞入侵系統。

部分黑客更將攻擊擴展為類似軟件服務(SaaS)的商業模式運作,即「勒索軟件服務」(RaaS)。在RaaS中,黑客負責開發勒索軟件,並提供執行攻擊所需的設施及服務,例如談判和交收贖金等,然後招攬其他組織合作散布勒索軟件。

「齊抗勒索軟件」專頁
整合最新情報及預防方法

近兩個月,香港電腦保安事故協調中心(HKCERT)收到多宗勒索軟件事故報告,其中感染宗數最多的是Deadbolt,Deadbolt勒索軟件組織針對NAS設備中的零日漏洞進行攻擊。受攻擊設備的登錄畫面會被替換為勒索訊息,文件被加密為 「.deadbolt」副檔名。另外,Makop和Democry也是感染宗案較多的勒索軟件。Makop勒索軟件主要傳播途徑為惡意電郵附件及惡意網頁廣告,被加密文件的副檔名為「.makop」。而Democry勒索軟件會將文件加密為「.democry」副檔名。

為緊貼勒索軟件攻擊的變化,HKCERT整合勒索軟件攻擊情報及常見種類、預防和處理方法,設立了一個全新的「齊抗勒索軟件」專頁,內容包括:

  1. 認識勒索軟件
    1. 甚麼是勒索軟件?
    2. 感染途徑
    3. 勒索軟件的運作
    4. 預防方法:
      - 留意可疑電郵,不要隨意點擊連結或打開附件
      - 適時更新系統及軟件以修補保安漏洞
      - 對檔案進行及時和定時備份
    5. 處理方法:
      - 切斷受感染電腦的所有連接
      - 如果在感染前已為系統或資料備份,可進行系統復原
      - 使用入侵檢測查找漏洞以及攻擊是如何發生,從而加強防護
      - 不要支付贖金及不要使用網上未經認證的解密軟件
  2. HKCERT發布有關探討勒索軟件的保安博錄
  3. 反惡意軟件工具
  4. 有用的網上資源

而針對近期NAS設備的攻擊,HKCERT建議:

  • 停用預設admin帳號
  • 使用高強度密碼,啟用多重認證
  • 避免將裝置暴露於互聯網上
  • 定期進行系統程式更新

此外,HKCERT亦制作了一系列勒索軟件資訊圖,方便機構用作內部網絡保安意識教育或推廣活動。HKCERT期望這個「齊抗勒索軟件」專頁能引起公眾對勒索軟件攻擊的關注,以及提供在面對勒索軟件時的實際操作指南。

「齊抗勒索軟件」網上專頁:https://www.hkcert.org/tc/publications/fight-ransomware

勒索軟件資訊圖:https://www.hkcert.org/tc/publications/fight-ransomware#resources