新資安白皮書：勒索病毒與企業安全

 

 

回顧2018年，不法份子繼續運用勒索病毒，針對大型機構發起攻擊。ESET於近期發佈了一份新的資安白皮書，闡述為何勒索病毒仍對公司企業構成嚴重威脅，含大中小型組織機構在內，以及相關組織機構可採取哪些措施，降低勒索病毒攻擊所造成的風險和損失。

 

本白皮書重點討論，受勒索病毒攻擊所威脅的三大重災區：遠端存取、電子郵件和供應鏈，主要目的在於讓企業執行長、資訊長、資安長及資安經理人瞭解，勒索病毒威脅現狀及其值得關注的幾個大演變。

 

倘若貴司之前或近期未曾遭受勒索病毒攻擊，可能會想當然爾的以為，這一威脅應該已經塵封在網路犯罪的歷史紀錄中了吧，而產業期刊專題文章，也將勒索病毒稱為“2017年產物，與虛擬貨幣採礦相比，呈現減少之趨勢”。儘管虛擬貨幣採礦案例的檢測數量一直處於上升的狀態，勒索病毒明顯活躍跡象也逐漸減少，但其實勒索病毒依然是企業及各類組織機構不得不正視的一大嚴重威脅。

 

以美國亞特蘭大市發生的情況為例，五大市政部門遭受勒索病毒攻擊，分別為：流域管理、人力資源、公園、娛樂以及城市規劃，一系列城市功能受到嚴重影響，含民眾無法網上繳納水費和購買交通票在內；該市的哈茲菲爾德傑克遜國際機場(Hartsfield-Jackson Atlanta International Airport)，也被迫關停公共Wi-Fi服務長達一周時間，雖然亞特蘭大市政府正義凜然地拒絕繳納五萬美元贖金，但事件本身所造成的經濟損失卻高達數百萬美元（最終可能接近1700萬美元）。

 

截至本白皮書撰寫之時，勒索病毒已攻陷各州及地方政府和教育行業內的大量機構，造成重大損失。ESET之所以瞭解這些情況，是因為此類機構通常承擔社會通報義務。醫療保健行業的情況也大致相同，由於患者生命安全受到威脅，政府機關不得不下令強制關停部分醫療機構。

 

但對於那些無需承擔資料安全洩密事件披露義務的機構，情況又如何呢？不妨合理斷言，遭受勒索病毒目標性攻擊的商業企業很可能將竭力掩蓋事實，以免成為新聞輿論的焦點。也就是說，對於勒索病毒所造成的威脅規模，無法單憑公開新聞報導來判斷。通過媒體及資安品牌的客服人員，ESET瞭解到，勒索病毒仍是給各行各業造成巨額損失的一大罪魁禍首，受害者層出不窮。

 

 

ESET發現2018年期間發生針對醫療保健機構和政府機關的一系列勒索病毒攻擊事件，均有著勒索病毒家族SamSam（ESET產品將其檢測為MSIL/Filecoder.Samas）的身影，SamSam通過“暴力破解已啟用遠端桌面的設備”（美國衛生部）發起攻擊，滲透組織機構區域網路。

 

啟用遠端桌面協定的設備，是諸如資料庫伺服器等一類設備，運行有遠端桌面協定（Remote Desktop Protocol，簡稱RDP）軟體，可以通過互聯網或其他網路實現遠端存取。如伺服器只採用用戶名和密碼組合的訪問保護機制，攻擊者將在選定伺服器作為攻擊目標後，以快速自動化機制反復猜測密碼，即以此命名的所謂暴力破解。由於缺乏輸入失敗次數的上限機制，此類攻擊非常有效，最終可廣泛攻陷各類機構的內部網路。勒索病毒已在2018年7月成功入侵了大型醫藥檢測機構Lab Corp，在不到一小時的時間內，攻陷7000台電腦及350台運營伺服器。

（資料來源 ：https://www.csoonline.com/article/3291617/security/samsam-infected-thousands-of-labcorp-systems-via-brute-force-rdp.html）

 

據Shodan搜尋引擎檢測資料顯示，截至2018年10月28日，互聯網上共有二百五十多萬台電腦明確啟用了遠端桌面協議（需註冊後，方可查看Shodan搜索結果過濾後的條目），其中有一百多萬台位於美國境內。對於攻擊者而言，所有這些機器都是可以探索的潛在目標。一旦被成功入侵，這些電腦可被用作跳板，或正如白皮書所稱，它們的憑證可以在像xDedic這樣的黑暗市場上出售。

 

 

網路安全威脅具累積性。而這種“威脅累加”現象意味著，廣泛利用外部電腦資源採集加密貨幣，持續讓不法份子開發和利用遠端桌面協議攻擊技巧，也為勒索病毒攻擊營造利潤豐厚的回報空間。就算組織機構儘量規避遠端桌面協議的應用，也不代表企業可以忽略給予員工防止網路釣魚教育訓練的必要性。

 

 

針對網路犯罪行為所做的攻防將會繼續下去，且規模也必將隨新技術應用所擴大，ESET希望透過本白皮書說明勒索病毒依然對組織機構構成嚴重威脅及其應採取的防範措施建議，來降低企業可能造成的損失的。

 

下載白皮書：

 

 

原文出處：https://www.welivesecurity.com/2018/10/29/ransomware-enterprise-new-white-paper/