上星期,香港生產力促進局屬下的「香港電腦保安事故協調中心」發表通告,今年五月本港加密勒索軟件(Ransomware)創新高。協調中心上月共接獲59宗Ransomware報告,Locky事故大幅回落,但新Ransomware「CryptXXX」單五月錄得32宗個案。受害者主要為一般家庭電腦用戶、教育機構及中小企業。
若「CryptXXX」成功安裝,受害者的部分電腦檔案加密上鎖,副檔名變成「.crypt」,罪犯然後要脅受害者以「比特幣」虛擬貨幣,支付贖金以換取解密密碼匙。
較早前CryptoWall勒索軟件取得成功,鼓勵了更多入入行,加上虛擬貨幣令執法更加困難,勒索軟件愈演愈烈。「CryptXXX」也不斷變種,令偵察軟件難於辨保安廠商FireEye也發表報告,三月份本港所錄得Ransomware的攻擊,比去年十二月竄升了一百四十倍。報告乃根據FireEye的Dynamic Threat Intelligence,從全球數以百萬感應器獲得情報。FireEye大中華區總經理徐海國表示,FireEye接獲多宗商界的求助個案,可惜檔案一旦受到加密,為時已晚,有關攻擊已經開始影響某些公司的正常業務。
「Ransomware已經成為一項持續性威脅,技術和生態系統也更為成熟。Ransomware的分工也更精細,罪犯可採購不同服務,甚至有Ransomware雲服務可供租用,釣魚攻擊軟件和發掘漏洞的exploit kit,分工精細令攻擊更有組織,解釋了何以Ransomware以百倍增長的原因。
不少受害人輕易屈服繳付贖金,也鼓勵多人加入。網上已經有現成製作Ransomware的軟件服務,降低加入行業的門檻。Ransomware泛濫屬於全球性現象,有關攻擊電郵大幅增加,全球五十多國都錄得Ransomware下載量上升。一般而言,Ransomware郵件偽裝成賬單或者圖片附件,部分則可以作為Word檔案的執行巨集(Macro)散佈Ransomware。
但最令人擔心是病毒進入網絡內之後,可能潛伏於網絡之內,伺機再發動攻擊。徐海國表示,最近一個個案,一位高層行政人員受Ransomware攻擊,迅速繳付贖金之後,勒索者食髓知味,收贖後再次加密該高層檔案,再要求原來以倍計的贖款。「因此,迅速付出贖金,並不一定是明智之舉。」
不法之徒可能利用APT(Advanced persistent threat),潛入網絡確保檔案加密後,不能透過備份恢復。「更壞情況是勒索者先停止備份。如此一來,檔案加密後就不可通過備份恢復。」
除了加強網絡保安,徐海國表示,企業亦可考慮分隔網絡和採取嚴密存取控制,亦應該考慮不時檢討備份政策,適當時候亦應測試備份複本是否可以恢復。FireEye已再加強偵察Ransomware的能力,以防止客戶受害。
沒有留言:
發佈留言