牛奶公司成REvil勒索軟件受害者

面對複雜、人手操作的新型攻擊 企業如何加強防範?

作為身在香港的IT人及企業老闆,近日牛奶公司集團(營運包括Ikea、惠康超市、7-11及萬寧等零售連鎖店)成為勒索軟件REvil受害者的新聞,可說是在網絡安全上的一大震撼新聞。事件發生的先兆是1月21日Ikea店舖突然停業,但事後只公佈為收銀系統故障,直至1月26日由資安專門網站Bleeping Computer報導事件,大家才知悉事件。

牛奶公司只向Bleeping Computer承認是受到勒索軟件攻擊、沒發現有資料洩露外,並沒有透露更多詳情。Bleeping Computer是收到進行是次攻擊的黑客組織REvil直接報料,表示在1月14日向Ikea索取美金3000萬贖金,更令人擔憂的是…

  • REvil組織提供了該公司AD列表截圖證明真實
  • REvil表示勒索攻擊發生後,依然能夠存取牛奶公司的系統
  • 黑客能夠取用牛奶公司的企業電郵,並表示會用於後續釣魚攻擊

雖然是次入侵事件暫無更多詳情公開,但根據此組織過往的「戰績」,估計其入侵手法也是透過網絡釣魚等手法先取得其中一個員工帳戶,再潛伏在受害公司內慢慢取得更高權限進行滲透攻擊。

作為IT人最想知道現有保安軟件是否能有效攔截同樣攻擊,雖然Kaspersky的防護方案已能攔截REvil所使用的惡意工具,但事實上新形高階攻擊早已非只靠單純部署防火牆、網絡安全方案等就得確保安全 ,而是必須時刻提高警覺、更新程式、檢視防護設定及嚴格設定防護規則,才能較有效降低風險。

定時落Patch、關閉RDP Port、加強同事安全意識

  • 及時落Patch (REvil曾利用CVE-2018-8453漏洞進行權限提升)
  • 盡可能關閉遠端桌面功能(RDP)減低可被攻擊層面
  • 做好檔案及系統多重、離線或隔離備份以便可靠及迅速復原
  • 為公司同事進行Security Awareness Training

Kaspersky產品用戶…

  • 確保已經啟動 Behaviour Detection (詳細步驟) 及 Anti-Cryptor (詳細步驟)
  • 確保已啟動共享資料夾(Shared Folder)的加密防護 (詳細步驟)
  • 檢查病毒資料庫,盡量保持在最新狀態,程式也盡量免費升級至最新版本
  • 務必開啟Kaspersky Security Network接收實時威脅資料更新
  • 設定Application Priviledge Control防止勒索軟件加密檔案 (教學影片)

為協助客戶盡快修補漏洞,落Patch進行安全更新,Kaspersky現在為企業提供3個月免費使用Kaspersky Vulnuerability & Patch Management

  • 3個月內完全免費用,立即落Patch修補所有安全漏洞
  • 即使正使用其他品牌Endpoint Protection也可安裝使用
  • 3個月後自動完結不需取消

如想取得3個月免費Kaspersky Patch Management,更方便地進行安全更新,請立即登記