勒索軟件攻擊近年越見猖獗,據2022年SonicWall網絡威脅報告指出,2021年全球勒索軟件攻擊數量較2020年上升105%,達到6.233億次。當中,關鍵基礎設施(Critical Infrastructure)亦越趨成為勒索軟件的目標。美國最大的成品油管道系統Colonial Pipeline Co.、德國最大化學品經銷商Brenntag,以及新加坡亞洲新聞台CNA等,過去一年都被勒索軟件攻擊,損失高達400至440萬美元。
感染途徑
作為一種惡意軟件,勒索軟件會加密受害人的檔案,令其無法存取任何檔案或應用程式,並以此要脅,要求受害人支付贖金換取解密密鑰以恢復資料。常見的感染途徑有以下3種:
1. 網絡釣魚
大部分受害人都是開啟了由黑客操控的殭屍電腦所發出的垃圾電郵,或網絡釣魚中的惡意附件而被感染。惡意附件檔案類別包括壓縮檔(.zip),內藏執行檔(.exe)、PowerShell檔(.ps)或JavaScript檔(.js)及有巨集的微軟Office檔。
2. 遠端登入服務
傳統勒索軟件會在互聯網上自動傳播,如WannaCry。但近年攻擊方式已逐漸改變至人手操控,背後是由一群擁有豐富 IT 知識的黑客操作並進行攻擊,他們通常入侵暴露在互聯網上和安全性差的遠端登入服務,例如遠端桌面服務(RDS)、TeamViewer、虛擬私人網絡服務(VPN)等。黑客會發動暴力密碼攻擊,來入侵受害人的網絡及傳播勒索軟件,他們亦會竊取系統上的重要資料,以擴大對受害人的影響。
3. 系統漏洞
黑客亦會在受害人安裝保安修補程式之前,搶先一步利用保安漏洞入侵系統。
部分黑客更將攻擊擴展為類似軟件服務(SaaS)的商業模式運作,即「勒索軟件服務」(RaaS)。在RaaS中,黑客負責開發勒索軟件,並提供執行攻擊所需的設施及服務,例如談判和交收贖金等,然後招攬其他組織合作散布勒索軟件。
「齊抗勒索軟件」專頁
整合最新情報及預防方法
近兩個月,香港電腦保安事故協調中心(HKCERT)收到多宗勒索軟件事故報告,其中感染宗數最多的是Deadbolt,Deadbolt勒索軟件組織針對NAS設備中的零日漏洞進行攻擊。受攻擊設備的登錄畫面會被替換為勒索訊息,文件被加密為 「.deadbolt」副檔名。另外,Makop和Democry也是感染宗案較多的勒索軟件。Makop勒索軟件主要傳播途徑為惡意電郵附件及惡意網頁廣告,被加密文件的副檔名為「.makop」。而Democry勒索軟件會將文件加密為「.democry」副檔名。
為緊貼勒索軟件攻擊的變化,HKCERT整合勒索軟件攻擊情報及常見種類、預防和處理方法,設立了一個全新的「齊抗勒索軟件」專頁,內容包括:
而針對近期NAS設備的攻擊,HKCERT建議:
此外,HKCERT亦制作了一系列勒索軟件資訊圖,方便機構用作內部網絡保安意識教育或推廣活動。HKCERT期望這個「齊抗勒索軟件」專頁能引起公眾對勒索軟件攻擊的關注,以及提供在面對勒索軟件時的實際操作指南。
「齊抗勒索軟件」網上專頁:https://www.hkcert.org/tc/publications/fight-ransomware
勒索軟件資訊圖:https://www.hkcert.org/tc/publications/fight-ransomware#resources
Our Services
Community
Support & Resource
HKPC Spotlights
HKPC Academy
COPYRIGHT© Hong Kong Productivity Council
FOLLOW US
SUBSCRIBE TO OUR NEWSLETTERS
Share the latest information of HKPC to your inbox
SIGNUP NOW