2015年第三季IBM X-Force威脅情報季度報告

【2015年12月23日,台北訊】近期勒索軟體的威脅在台灣猖獗,全球也不少媒體陸續報導勒索軟體帶來的災情。同時,「勒索軟體即服務」(ransomware-as-a-service) 的產品也隨之出現,成為駭客罪犯賺進大把鈔票的不良商機。舉例來說,邦調查局 (FBI) 預估,單憑一個CryptoWall勒索軟體便讓操作者賺進 1800 萬美金,就連執法單位也成為受害者。此外,外媒上個月也指出又一個新的勒索軟體服務「CryptoLocker Service」形成,使用者僅需支付50元美金下載勒索軟體即能執行勒索事業。雖然勒索軟體威脅在數年前就已出現,但隨著新興科技日新月異、全球使用裝置大增,以及駭客威脅手段與經營勒索事業的管道日漸多元,IBM X-Force 團隊認為資安的長期抗戰才正要開始而已。

自我保護的最好方法就是備份資料

IBM指出,每個人都有可能成為勒索軟體攻擊的受害者,並且,當受到加密型勒索軟體感染時,將可能有許多因素導致受害者就算願意支付贖金也無法取回資料,因此,IBM X-Force的職責在於提供最佳實務作法與相關建議,協助大眾與企業不但能了解最新的攻擊手法,知道如何防範或將傷害降到最低,更是提醒大眾該積極做好最根本、有效的預防措施,也就是備份資料。

《2015年第三季IBM X-Force威脅情報季度報告》的主要發現包括:

  • 勒索軟體
    近期出現像是CryptoLock、ZeroLocker及CryptoWall等勒索軟體,其創造者皆對硬碟內容加密來進行勒索,並且手法更加精進。並且,高階的犯罪網路能運用各種詐取現金的方式,例如比特幣或支付平台等,同時保持匿名或半匿名。其中,CryptoLocker與CryptoWall在對硬碟加密前,需與指揮控制伺服器進行背景連線通訊,因此相對較易防範。藉由防止背景連線通訊作業,即能避免後續攻擊階段,進而讓防範惡意軟體的解決方案有機會更新並移除感染。但後來出現的勒索軟體如 CTB-Locker 和ZeroLocker威脅手法就又不盡相同。因此更新防護功能至關重要,此外還需採取其他措施。其中,當使用者遇到勒索軟體威脅時,不要以為支付贖金後就能順利取回資料,舉例來說,若ZeroLocker的指揮控制伺服器設定不當,就無法收到您的加密金鑰,當然也無法再將資料賣回給您。或者,在電腦遭受感染到支付贖金的這段期間,有關當局或威脅競爭團體可能已將該台指揮控制伺服器殲滅。並且,讓您無法取回資料的其他狀況其實還不只這些。因此,防止資料遺失的最好方法仍是備份資料。
  • 黑暗網路:洋蔥路由器 (Tor)
    根據 IBM Managed Security Services (IBM MSS)近期顯示,駭客及其他重大威脅攻擊者會利用洋蔥路由器 (Tor) 軟體建置匿名通訊平台,以作為殭屍網路進行指揮控制的攻擊媒介與基礎架構。Tor網路的混淆路由設計,不但能提供不肖份子隱匿身分的額外保護,也可掩蓋攻擊起源的實際位置,讓攻擊者得以從特定地點發動攻擊。

    Tor網路的動態性質雖提高攻擊防護的難度,但不表示完全沒辦法解決。其中,公司網路必須防止出入流量涉及Tor之類的隱密網路。其規模雖大但仍有限度,有許多經常更新的資料目錄可識別Tor節點,並在防火牆進行整批封鎖。同時,應用閘道和侵入預防系統/侵入偵測系統 (IPS/IDS) 解決方案可即時標記攻擊,進而封鎖該來源的流量。

  • 黑暗網路組織主要攻擊目標為資通訊業
    根據 IBM MSS 監視的流量來看,源自Tor出口節點之攻擊所鎖定的目標產業主要為資通訊產業,接著為製造業與金融保險業。多數人可能認為金融保險業才是主要攻擊對象,這是由於著名的資料外洩事故總是涉及財務資訊失竊,加上媒體報導加深印象所致。然而,資通訊產業與製造業的攻擊事件總數卻是金融保險業的三倍之多。IBM說明這些攻擊要的不是金錢,而是企圖竊取智慧財產及窺視公司運作。
  • 管控公司網路上洋蔥路由器 (Tor)的使用
    在不知情的情況下,駭客可透過他人的網路傳播惡意軟體。此時必須立即採取步驟封鎖惡意行動,並且控管公司網路上Tor的使用,以避免財務損失與法律責任。而有關防止使用Tor的建議,IBM在《2015年第三季IBM X-Force威脅情報季度報告》有詳細的具體說明。