很多人仍然以為,加密勒索攻擊者首先編寫危險的惡意程式,然後尋找漫長又困難的方法入侵公司網絡,最終加密機密資料,事實上現代攻擊者可以選擇租用惡意程式,然後到地下市場購買初始訪問的資料,花錢就能取得進入公司基礎設施的資料。
存取公司網絡要幾錢?
到底攻擊者要花多少錢,才能進入你公司的基礎建設呢?這取決於很多因素,最主要是你公司的財政收入,在分析了大約200個地下市場的廣告後,Kaspersky的專家得出了以下的結論:
- 大部份廣告提供存取小型公司
- 接近一半廣告的存取資料售價低於1000美元
- 售價高於5000美元很罕見
- 大公司的存取資料平均售價約在2000至4000美元之間
很明顯這不是一筆很多的錢,但加密勒索攻擊者卻能預期透過勒索獲得高得多的「收入」,所以他們都很樂意花錢購買初始訪問的資料,其定價也是經過供求關係以及購買力所得出來的市場價格。
出售甚麼?
為攻擊者提供的訪問有不同種類,有時候是安全漏洞可引致未經授權訪問的資料,也有時是登入Citrix或網站託管面板的憑證,但大部份(超過75%的廣告)都是提供不同經過RDP的訪問,由此可見遙距訪問公司基礎設施的威脅應該多加注意。
資料從哪裡來?
收集初始訪問的資料有幾種方向,有時是最簡單的收集密碼,但較常見是向員工發送網絡釣魚電郵或含有惡意附件的電郵(例如間諜程式,自動收集登入資料、授權token、cookies),有時候攻擊者也會在管理由補丁之前利用已知的軟件安全漏洞。詳細資料可以瀏覽Securelist的文章。
四個安全小建議
由於出售的初始存取資料以RDP遙距訪問公司網絡為主,所以應該作為首要防範目標,以下是四個相關的建議:
- 只容許經由VPN進行RDP存取
- 使用強力的密碼組合
- 使用網絡等級身份認證(如果可能)
- 在所有重要的服務使用雙重認證
為避免密碼因為網絡釣魚而外洩,使用具備反網絡釣魚引擎的可靠安全方案,從員工的裝置和電郵gateway層面同時進行保護,也不要忘記定期提升員工的網絡安全意識。
資料來源:Kaspersky Blog