语言资讯保安随笔 - 勒索软件攻击增 HKCERT设全新网上专页 助中小企防御措施LEVEL UP
勒索软件攻击近年越见猖獗,据2022年SonicWall网络威胁报告指出,2021年全球勒索软件攻击数量较2020年上升105%,达到6.233亿次。当中,关键基础设施(Critical Infrastructure)亦越趋成为勒索软件的目标。美国最大的成品油管道系统Colonial Pipeline Co.、德国最大化学品经销商Brenntag,以及新加坡亚洲新闻台CNA等,过去一年都被勒索软件攻击,损失高达400至440万美元。
感染途径
作为一种恶意软件,勒索软件会加密受害人的档案,令其无法存取任何档案或应用程式,并以此要胁,要求受害人支付赎金换取解密密钥以恢復资料。常见的感染途径有以下3种:
1. 网络钓鱼
大部分受害人都是开启了由黑客操控的殭尸电脑所发出的垃圾电邮,或网络钓鱼中的恶意附件而被感染。恶意附件档案类别包括压缩档(.zip),内藏执行档(.exe)、PowerShell档(.ps)或JavaScript档(.js)及有巨集的微软Office档。
2. 远端登入服务
传统勒索软件会在互联网上自动传播,如WannaCry。但近年攻击方式已逐渐改变至人手操控,背后是由一群拥有丰富 IT 知识的黑客操作并进行攻击,他们通常入侵暴露在互联网上和安全性差的远端登入服务,例如远端桌面服务(RDS)、TeamViewer、虚拟私人网络服务(VPN)等。黑客会发动暴力密码攻击,来入侵受害人的网络及传播勒索软件,他们亦会窃取系统上的重要资料,以扩大对受害人的影响。
3. 系统漏洞
黑客亦会在受害人安装保安修补程式之前,抢先一步利用保安漏洞入侵系统。
部分黑客更将攻击扩展为类似软件服务(SaaS)的商业模式运作,即「勒索软件服务」(RaaS)。在RaaS中,黑客负责开发勒索软件,并提供执行攻击所需的设施及服务,例如谈判和交收赎金等,然后招揽其他组织合作散布勒索软件。
「齐抗勒索软件」专页
整合最新情报及预防方法
近两个月,香港电脑保安事故协调中心(HKCERT)收到多宗勒索软件事故报告,其中感染宗数最多的是Deadbolt,Deadbolt勒索软件组织针对NAS设备中的零日漏洞进行攻击。受攻击设备的登录画面会被替换为勒索讯息,文件被加密为 「.deadbolt」副档名。另外,Makop和Democry也是感染宗案较多的勒索软件。Makop勒索软件主要传播途径为恶意电邮附件及恶意网页广告,被加密文件的副档名为「.makop」。而Democry勒索软件会将文件加密为「.democry」副档名。
为紧贴勒索软件攻击的变化,HKCERT整合勒索软件攻击情报及常见种类、预防和处理方法,设立了一个全新的「齐抗勒索软件」专页,内容包括:
- 认识勒索软件
- 甚么是勒索软件?
- 感染途径
- 勒索软件的运作
- 预防方法:
- 留意可疑电邮,不要随意点击连结或打开附件
- 适时更新系统及软件以修补保安漏洞
- 对档案进行及时和定时备份 - 处理方法:
- 切断受感染电脑的所有连接
- 如果在感染前已为系统或资料备份,可进行系统復原
- 使用入侵检测查找漏洞以及攻击是如何发生,从而加强防护
- 不要支付赎金及不要使用网上未经认证的解密软件
- HKCERT发布有关探讨勒索软件的保安博录
- 反恶意软件工具
- 有用的网上资源
而针对近期NAS设备的攻击,HKCERT建议:
- 停用预设admin帐号
- 使用高强度密码,启用多重认证
- 避免将装置暴露于互联网上
- 定期进行系统程式更新
此外,HKCERT亦制作了一系列勒索软件资讯图,方便机构用作内部网络保安意识教育或推广活动。HKCERT期望这个「齐抗勒索软件」专页能引起公众对勒索软件攻击的关注,以及提供在面对勒索软件时的实际操作指南。
「齐抗勒索软件」网上专页:https://www.hkcert.org/tc/publications/fight-ransomware
勒索软件资讯图:https://www.hkcert.org/tc/publications/fight-ransomware#resources
紧贴我们
订阅生产力局电子报
透过电邮取得本局的最新资讯
请即注册