加密勒索近年一直威脅全球電腦用戶,無論是企業還是個人都有機會成為受害者,更一直跟隨時代進化,支付贖金的話會比以往更無作用,而且令情況更壞。
低品質的解密工具
當公司的基礎設施因為攻擊而被加密,通常第一件事都是希望盡快復原資料,恢復正常營運,看加密訊息好像支付贖金就可以獲得解密工具,能迅速回復資料至原狀,可以無痛回復正常運作,可惜現實通常無法實現。首先,部份攻擊者直接不發送解密工具給受害者,當中以Black Basta最為知名,其次是犯罪份子對加密熟識,但解密並非強項,而且也花較少精力於解密工具,結果都是表現差勁和緩慢,隨時從備份中復原資料比使用攻擊者的工具更快,而且面對奇異的檔名經常發生錯誤,又或者發生存取權衝突的情況,加上沒有在上次中斷的地方繼續解密的機制,也有時因為邏輯錯誤而損毀檔案。
重複攻擊
通常勒索犯人會不斷勒索,加密勒索也不例外,犯罪份子之間也會互相聯絡,受害者在加密勒索服務供應商之間互相流傳,即使執法份子成功制止一個團隊,但不是每次都能一網打盡,成功逃脫的犯人會在其他團隊中重施故技,結果成功收取贖金的犯人,在新組織中再次攻擊相同組織都會成功。
加強立法
現代攻擊並不局限於加密,也包括資料盜竊,對公司做成長期的風險,在受到加密勒索攻擊之後,公司有三個選項:
- 公開通報事故,並不與犯罪份子聯絡的情況下復原運作和資料。
- 通報事故,但支付贖金去復原資料,避免資料公開。
- 靜靜支付贖金並隱瞞事件
最後的選擇時一個計時炸彈,現時很多國家正修訂法例視為違法行為,例如:
- 歐盟通過NIS2(Network and Information Security)和DORA法案(Digital Operational Resilience Act),要求各行業的公司及大型和關鍵機構,及時報告網絡事故,並對機構提出重要的網絡韌性要求。
- 英國正在商議一道法例,禁止政府機構和關鍵設施營運商支付贖金,並要求所有機構通報加密勒索事故。
- 新加坡更新資安法要求重要資訊基建營運商報告事故,由供應鏈攻擊至客服受阻都包括在內。
- 美國一系列的聯邦指引和州法例禁止支付大額贖金(10萬以上),要求報告事故仍在討論並已部份採納。
而且即使成功從事故中復原,公司暗地裡支付贖金,將來事件被揭發時也會引發潛在的風險。
缺乏保證
通常公司支付贖金並非為了解密,而是確保被盜資料不會被公開,而且攻擊事件也需要保密,但從來不會保證資料在將來不會在某處出現,從最近發生的事件顯示,在以下情況攻擊和資料被盜有機會被公開:
- 攻擊組織內部衝突或不同組織之間的衝突,結果是受害者的資料被公開作為報復或破壞競爭者的資產。
- 執法部門在成功搗破加密勒索組織時,雖然不會公開被盜資料,但可能會披露攻擊事故。
- 加密勒索組織可能會犯錯,他們的設施通常沒有良好的保護,被盜資料可能意外地被研究人員、競爭者或隨機被發現。
加密勒索軟件可能並非主要問題
隨著執法部門的努力和法例的進步,部份典型的加密勒索組織已經轉型,大型組織事故在2020至2023年間有所減少,但加密勒索服務則有所增長,攻擊方可能是非常細的團隊甚至個人。新趨勢是加密事故上升但支付贖金金額下降,原因有二,一個是越來越多受害者拒絕支付贖金,第二個原因是很多攻擊者被迫攻擊較小型公司並索取較低的贖金。
不過主要改變是攻擊者有複數的動機,例如相同組織在進行間諜活動時,也同時加索勒索基礎設施,有時後者只是用來掩護的煙幕,也有時候攻擊者受命盜竊資料,並以勒索作為額外收入。對受害公司和管理者而言,無發完全理解加密勒索攻擊者的動機或查明其信譽。
如何應付加密勒索事故
結論相當簡單,支付贖金並非方決的方法,而是延長和加深問題,快速回復正常運作的關鍵是事先準備好應對方案。機構的IT和資安部門需要一個可實行的詳細計劃去應對加密勒索事故,應該特別法意隔離主機和子網絡,停用VPN及遠端存取,停用帳號(包括主要管理帳號),並轉換到備份帳號。定期培訓復原備份也是一個好主意,也不要忘記把備份儲存在不受攻擊影響的隔離系統。
要在攻擊未影響整個網站前盡快實施以上措施,需要持續的深度監控流程,大機構受惠於XDR方案,小企業則可以透過訂閱高質素的監控和回應MDR服務。
資料來源:Kaspersky Blog
