01
在疫情期間,氾濫的勒索軟體攻擊反映出全球「勒索軟體即服務」 (Ransomware-as-a-Service, RaaS) 的趨勢。勒索軟體程式已不需要自行開發,透過網購交易便可完成。舉例來說,2019年起25個常見的RaaS,17個便是去年問世的新病毒,其中即包含惡名昭彰的REvil。根據REvil集團透露,一年RaaS服務分潤便超過上億美元。
RaaS也反映在全球資安保險理賠案件的趨勢。韋萊韜悅追蹤過去13年的資安理賠案件,2020年勒索軟體成為理賠數量竄升最快,以及造成損失金額最多的項目。
根據2020年IBM統計,無論是駭客攻擊總數,還是運營科技(OT)資安事件,勒索軟體皆位居榜首,佔二成三至三成三。在製造業部份,勒索軟體成為攻擊態樣的第一名。不管是國際汽車大廠,還是半導體企業,都曾遭受過勒索軟體攻擊,製造業已成為繼金融業之後第二容易遭受勒索集團攻擊的產業。
02
根據IBM 2020年統計,REvil在勒索軟體排行榜中名列前茅,市佔率高達三成。在受駭組織部分,全球共有超過40個被害組織,其中以位於美國居多、佔6成左右。台灣今年也不乏網路勒索案例,像是REvil攻擊科技製造業並要求高額贖金,包括全球知名電腦大廠與全球性電子製造服務(EMS)公司皆受到攻擊。
除了從網路弱點著手,勒索病毒集團也針對Windows遠端桌面協定(Remote Desktop Protocol, RDP)採取暴力破解方式。根據微軟分析4.5萬台遭暴力破解的電腦數據,駭客平均攻破時間為2-3天,90%的事件所需時間在1周以下,超過2周的更不到5%。
駭客入侵手法千奇百怪。一旦感染受害者的電腦,REvil在潛入時不會在磁碟上自動產生檔案,即無檔案式勒索軟體(fileless ransomware)。REvil潛入方式為誘使用戶打開受感染的巨集文件檔案,下載可疑的指令碼 (scripts),如此可以輕易避開傳統防毒軟體的病毒碼比對、白名單功能。一旦入侵成功,REvil 即可進入微軟本地安全機構 (LSA) 竊取權限的憑證。接著以合法的滲透工具,橫向移動到其他的目標。最後,透過合法的帳號註冊,持續潛伏在受害者電腦伺機而動。
駭客突破重重防線,就是要入侵被害者的核心系統。除了在電腦進行加密,REvil同時竊取敏感或機密資訊。如果受害者不願意支付贖金,他們再威脅公開這些資訊以達到雙重勒索的目的,此即新型態的目標式勒索戰略。
03
根據微軟的觀察,REvil在不同攻擊事件仍採取相同的社交工程手法,在內容與技巧上則加以客製化。
REvil專找具有VPN功能設備下手,像是RDP漏洞。REvil宣稱可透過舊版Oracle WebLogic、Citrix、Pulse Secure等遠端存取軟體,花費3-5分鐘便可滲透受害者的網路。
駭客以偷來的弱密碼或懶人密碼嘗試登入系統,時間從數秒到幾分鐘都有。在微軟的樣本中,1天具10次以上登入失敗次數的達九成,中位數則高達60次。如果外部連線多次登入失敗,即可高度懷疑系統正遭受暴力破解攻擊。
04
REvil透過電子郵件附件的開啟,達到無檔案式感染的目的。資訊人員可過濾用戶電子郵件的附件檔案,或關閉用戶Office巨集功能。而且,關閉設備不必要的VPN或連接埠功能,以最小權限原則降低被攻擊機會。
攻擊者專挑系統的弱點、即尚未更新修補程式的軟體下手。同時,也輔以社交工程手法進攻使用者的弱點,造成人員在不知情的情況下點選惡意程式網站。
攻擊者鎖定使用弱密碼或未用多因素驗證、VPN或其他安全防護的RDP伺服器。尤其是需要VPN連線的設備,多因素驗證提供第二道防線,有助於強化既有的密碼管理系統。
攻擊者以無檔案式勒索軟體繞過防毒軟體,甚至某些端點偵測及回應(EDR/XDR)工具的偵測。透過主動式自動分析,發掘攻擊者潛在的異常行為。
以上的措施無法保證百分之百防止勒索軟體的全面性攻擊。萬一組織不幸感染勒索病毒,在面對巨額勒索贖金時,重灌系統為另一個可行的選項。在營運持續計畫(business continuity planning)演練項目,企業也要重視備份系統與資料回復的測試。
資安保險可在不幸發生無法防堵的資安事件時,提供企業可量化的財務移轉方案,核心保障範圍如下:
隱私責任:當公司因資安事件無法保護個人識別資訊或企業的機密資訊外洩,公司對第三人所應負擔的法律責任。這類資訊可以任何形式儲存,亦包含任何人有意或無意的洩漏;亦包括公司委外給第三方服務提供者的資訊、第三方服務提供者包括但不限於資訊服務廠商。
網路安全責任:當公司因資安事件無法防止電腦網路的攻擊,該對第三人所應負擔的法律責任,例如資訊服務公司攜帶感染病毒的設備至電子業客戶廠房提供服務,對接客戶固有系統導致大規模感染,公司對該客戶所應負擔的法律責任。
媒體責任:基於公司或以公司名義,利用網路、社群媒體所產出、散佈的媒體內容,第三人主張其人格權(名譽、肖像權等)受損,公司所應負擔的法律責任。
行政罰鍰:主管機關針對公司無法防止資料外洩等行為依法裁量的罰鍰。
網路攻擊應變成本:為降低資安事故影響所支付的費用。包括公關、法律服務、資料外洩通知、身分竊取重建、信用監控服務、鑑識服務等費用。
資料重建:基於公司無法防止電腦網路的攻擊,所支出的重建、重新蒐集已損失、遭竊或毀損資料成本。
收入損失╱額外費用:基於公司無法防止電腦的攻擊、程式或軟體設計錯誤所造成的系統中斷,衍生的收入損失及額外費用。 保障的系統包含:
勒索成本:公司因應網路勒索所需的成本,包含專家處理費用、贖金等
社交工程詐欺:針對冒名者據稱可信的電子郵件或電話指示,被保險人因而遭受的金錢詐欺。
05
韋萊韜悅已發展出最優組合的套裝服務,包含從風險辨識的評估工具、量化分析、風險移轉到事後的危機管理。我們的全方位視野將提供貴司風險減損的點對點解決方案。在風險辨識部分,我們提供資安風險診斷服務(Cyber risk profile diagnostic, CRPD),該服務的特色包含:
若您希望進一步了解應對網路勒索的解決方案,歡迎聯繫韋萊韜悅風險管理團隊。