過去幾年盛行的讹诈病毒,到今年變愈加成熟,不僅鎖定政府機構來獲利、更互相結盟讨取更高額贖金。加上BEC與供應鏈攻擊,未來的資安場域依舊危機四伏。
2019年的資安威脅變得更具有針對性!資安大廠趨勢科技的2019年資安總評報告指出,隨著讹诈病毒立功集團開始結盟、立功獲利形式變得更穩定,目標性讹诈病毒成為駭客愛用的手法,主要攻擊對象包含政府機關、醫院與教育機構等,藉以獲取鉅額贖金。
此外,企業郵件詐騙(BEC)依舊猖狂,雖然整體被偵測到的釣魚網址相關連結有降落,沐鸣登录推測是因為局部企業將內部聯繫方式從郵件轉換到Slack等企業溝通軟體上,不過資料也發現BEC的目標開始瞄準基層員工,學校內也看到越來越多教授的身份開始遭到駭客模拟。
讹诈病毒穩定成長,高獲利促使駭客集團互相結盟
趨勢科技發現,去年讹诈病毒的數量成長10%,最主要的攻擊對象屬醫療業,有超過700家醫療機構遭到攻擊。此外,公家機關與教育機構也成為攻擊標的,光去年一年就有超過110個美國州政府及市政府機關和單位遭到讹诈病毒襲擊。
值得留意的是,駭客集團開始鎖定目標攻擊並且獲利的趨勢,是因為越來越多機構願意支付贖金,儘快恢復系統運作。 一方面是因為機構不想要讓系統遭入侵的音讯曝光,加上讹诈病毒攻擊的相關保險機制越來越成熟 。舉例來說,去年七月美國印第安那州政府就曾支付23萬美圆(約新台幣700萬元)的贖金,其中有一半左右是由保險支付。
此外,也有越來越多新的讹诈病毒出現,沐鸣网站並展現強制加密檔案以外的攻擊特性。包括將一切目標電腦中受影響的檔案複製到駭客方的電腦中的Maze讹诈病毒,沐鸣登录以及強制Windows電腦重新開機並進入平安形式來規避平安軟體偵測的Snatch病毒。
趨勢科技全球威脅通訊總監Jon Clay認為,讹诈病毒的興起是數位轉型所帶來的反作用之一。他指出,許多企業加速數位轉型,但資安的建置卻常常淪為事後的亡羊補牢,為網路立功集團敞開一扇大門。資安意識與習慣的缺乏、作業系統過時的老舊設備系統以及未及時修補破绽的情況,都成為讹诈病毒滋長的溫床。
往常, 為了加速讹诈病毒的獲利形式,讹诈病毒立功集團之間更在 2019 年開始結盟。 例如,Sodinokibi 讹诈病毒背後的多個立功集團就對美國德州 22 個中央政府機關發動一波總贖金高達 250 萬美圆(約新台幣7,600萬元)的聯合攻擊行動。
趨勢科技並發現,網路立功集團開始經營所謂「存取服務」(access-as-a-service) 的商業形式。歹徒將受害機構的網路存取權限當成一種服務來出租或販售,價格從 3,000 至 20,000 美圆不等,最高等級的服務提供了目標企業伺服器和虛擬私人網路 (VPN) 的完好存取權限。
郵件詐騙不只騙老闆,基層員工也可能受害
企業郵件詐騙(BEC)依舊是駭客最愛的手法之一,BEC是一種透過假扮某特定目標在公司裡的上司來騙取他們進行匯款等行為。趨勢科技指出,2019年全球每月有超過2億活躍用戶运用Microsoft Office 365的郵件服務Outlook,這也促使駭客繼續從中騙取利益。
不過,隨著Slack與其他的新興企業內部溝通軟體興起,去年度趨勢科技攔截下的與BEC相關的釣魚連結也從2.69億個降落到1.94億個,降落約27%。不過, 駭客也開始擴大打擊面,開始鎖定更基層的公司員工。
2018年底,趨勢科技就曾預測由於BEC詐騙過度集中於管理階層,之後的駭客會漸漸開始鎖定更下層的員工。根據最新資訊,沐鸣平台登陆雖然依舊有28.9%的攻擊鎖定公司的財務長,去年也開始出現針對公司基層會計(4.4%)與學校教授(2.8%)的攻擊,顯示BEC攻擊也開始邁向學校單位。
供應鏈攻擊:電商網站、軟體開發程式受駭客鎖定
供應鏈攻擊也是一大隱憂,供應鏈攻擊是指滲透第三方業者提供的服務來侵入主要的目標企業的攻擊手法,2019年一個叫做Magecart的駭客集團就用這種方式侵入上百個電商網站,透過購物車的第三方金流系統來竊取消費者的信誉卡資料。
軟體開發程式的第三方服務也在駭客的攻擊範疇內。駭客透過企業运用的DevOps開發作業流程中的工具或平台來侵入目標企業。舉例來說,DevOps開發中常被运用到的Kubernetes容器作業系統就能被駭客应用,進而將有害檔案植入目標企業內部。另一個容器作業平台Docker,也在去年10月被發現有超過2,000個主機在該平台上遭挖礦蠕蟲病毒感染。
為有效防堵這些攻擊,趨勢科技建議採取一套能夠涵蓋閘道、網路、伺服器以及端點的威脅防禦办法,並給予幾個建議:
一、藉由網路分割、定期備份和網路持續監控來防範讹诈病毒。
二、更新並修補系統與軟體來防範已知破绽。
三、啟用虛擬修補技術,特别是針對廠商已不再提供援助的作業系統。
四、實施多重認證和最低授權存取原則,避免系統管理工具遭到濫用。