勒索軟體是一種惡意軟體,它主要的目標是加密設備上的各式檔案,使這些檔案的內容無法使用,仰賴這些檔案運作的系統與服務即無法正常運行,而攻擊者便能以檔案解密作為籌碼,向受害者索求高額的贖金。
近年來,攻擊者更是開始採用新的勒索手法――雙重勒索。他們會在加密檔案前先盜取資料,並威脅稱要公開受害者名稱及洩漏其機密資訊。除了檔案加密造成的生產損失,此舉更將導致嚴重的商譽與機密損失,迫使受害者支付贖金。更有甚者,若是一家供應商遭勒索軟體入侵,攻擊者還可能同時盜取其客戶資訊,藉此將勒索對象擴展至其眾多客戶。
有鑑於日漸猖狂的勒索軟體活動,美國網路安全暨基礎安全局(Cybersecurity and Infrastructure Security Agency, CISA)聯合跨州資訊共享分析中心(Multi-State Information Sharing and Analysis Center, MS-ISAC)推出一份勒索軟體應對指南,期望能幫助各地企業應對勒索軟體的威脅,以下為該指南中敘述的預防措施與應變方法:
面對勒索軟體的威脅,關鍵的一步在於:維護離線版本的資料備份並時常測試,確保其維持在最新版本且可以正常運作。只要有了資料備份,即使企業組織不幸遭受勒索軟體攻擊,也能在不必支付贖金的情況下順利還原重要檔案,使系統及服務恢復正常運作。而將備份保持離線的原因在於,現今的勒索軟體除了加密檔案之外,還可能試圖從企業網路當中找出備份一併加密或是刪除,只有將備份自網路中分離方能遏止。 除此之外,我們也應該瞭解勒索軟體的感染途徑並預想對策,常見的感染途徑與可選對策如下:
允許企業外部用戶連線的設備容易遭受攻擊者入侵,因此必須定期對此類設備進行弱點掃描並保證所用軟體與作業系統處於最新版本。此外不必要的通訊埠(port)與協定(protocol)皆應關閉。
攻擊者可能將附帶勒索軟體的電子郵件偽裝成一般電子郵件寄給受害者,一旦受害者不慎用公司電腦下載並執行該勒索軟體,這台電腦便會成為安全上的破口。要預防這種情況發生,企業可在郵件伺服器及防火牆上建立過濾機制阻擋可疑郵件、訓練人員之資安意識、禁用Microsoft Office的巨集使潛藏於其中的惡意程式碼無效化等。
已感染惡意軟體的設備可能會暴露出更多的漏洞,提供其餘惡意軟體(包括勒索軟體)更多入侵的機會。因此企業對於一般惡意軟體的防禦亦不能鬆懈,應啟用防毒軟體的病毒碼自動更新且確保病毒碼處於最新版本、制定企業內可用軟體清單並禁止其餘軟體執行、同時除了入侵偵測系統(Intrusion Detection System, IDS)外亦應該引入偵測與回應類的防禦,例如:網路偵測與回應(Network Detection and Response, NDR)、端點偵測與回應(Endpoint Detection and Response, EDR)、延伸式偵測及回應(Extended Detection and Response, XDR)等,以協助偵測惡意活動、防止感染各種惡意軟體。
攻擊者除了加密檔案外,也可能外洩企業機密。為預防產能與機密的雙重損失,企業平時就應注意在儲存各式機敏資訊前先將資訊加密。如此一來,即使攻擊者盜走了內部資料,也僅會是無法解讀的密文,無須擔心機密遭外洩。
倘若企業已不幸遭到惡意軟體入侵,CISA也提供以下三大步驟協助企業進行應對:
首先必須明確掌握有哪些系統受到勒索軟體的影響,為避免災情擴散到其餘正常的系統上,應盡速將其從網路環境隔離。若已有整個網段淪陷,可以考慮從交換機甚至路由器上阻隔網路流量。 接著一方面讓企業內部相關部門開始著手初期調查,另一方面聯絡第三方安全服務供應商及網路保險業者,了解對方能夠針對此次事件提供哪些協助。 CISA也呼籲各方企業:支付贖金無法保證真的能順利取回資料,更無法確保不會再次受到感染,因此並不推薦支付贖金給惡意攻擊者。
接下來可以保存受感染系統的映像檔和記憶體內容,並以此向從事資安研究的政府單位或業者尋求幫助,幸運的話有機會透過過去的研究,找出相應的解密方法。 此外也可參考其他值得信賴機構所出版的勒索軟體應對指南,內容可能會提到針對特定勒索軟體的處理方法,例如停止惡意行程執行、刪除相關登錄值及檔案等。
最後便可著手使用事前準備的離線備份,來逐步恢復系統與服務的運行。在恢復的過程中,嚴禁把剛復原的系統與可能被感染但尚未處理的系統置於同一個網段下,以避免二次感染。 在事件過後,應統整本次事件的相關資料與最佳應變法則、修正相關漏洞與感染途徑,除可避免再次受到攻擊之外,若往後再次發生類似事件才能以最佳效率進行處理。同時亦可以考慮,將去識別化之經驗分享給資安情資分享機構,為全世界的企業資安防護出一份力。