無論是台灣或全球,勒索軟體威脅猖獗已是全球不爭的事實。Palo Alto Networks 近期發布的最新勒索軟體威脅報告指出,越來越多網路罪犯者利用暗網「解密網站」以發布機密資料為由,威脅受害者支付贖金,支付勒索軟體贖金於2021年達到新高。全球平均勒索贖金於2021年成長144%達220萬美元,平均支付贖金也增加78%至541,010美元。
2021年台灣遭受勒索軟體攻擊數量已是亞太區(含日本) 第五名,也是全球排名第19名。Palo Alto Networks台灣技術總監蕭松瀛表示,「台灣遭受的勒索體攻擊數量比2020年成長16倍以上。主要集中在科技和硬體、資本貨物、以及商業和專業服務領域。前三大在台灣活躍的勒索軟體集團是Lockbit2.0、RansomEXX和Sodinokibi/REvil。」
其中REvil是台灣高科技業聞之色變的勒索軟體組織,2021年4月攻擊蘋果供應商廣達電腦、日月光集團,3月襲擊電子設備製造商宏碁,以及6月美國食品大廠JBS Foods。
Palo Alto Networks台灣區總經理尤惠生說,「 講白了,這些國際的勒索軟體集團鎖定台灣的『蘋果供應鏈』。這些都是大廠,比較有機會拿到贖金。」除製造業外,台灣的政府單位、軍公教也遭受滿多攻擊。
Palo Alto Networks台灣區總經理尤惠生
糟糕的是,勒索軟體集團有增無減。Palo Alto Networks Unit 42觀察到2021 年至少有35 個新的勒索軟體組織,例如Hive、BLACK MATTER 和 BlackCat (ALPHV),這些組織揚言將暴露更多資料或利用解密網站。
所謂解密網站,就是勒索軟體集團用來曝光受害者資料的地方。2021年,Unit 42觀察到35個新組織解密網站。這些網站通常託管於暗網,受害者組織的訊息和/或數據樣本在此被公開,以證明他們已經破壞了受害組織並增加支付贖金的壓力。2021 年,在勒索軟體解密網站公開發布了2,566個受害組織的名稱和入侵證據。蕭松瀛說,這個數字較2020 年增加了85%。且部分組織開始執行三重勒索威脅,針對受害組織發動分段式阻斷服務攻擊(DDoS)。
勒索軟體威脅得以如此猖獗的主因是門檻降低,利用初始存取掮客(Initial Access Brokers)的存取權來獲得受感染環境的存取權外,需要的攻擊工具已經有所謂的「啟動工具包」和「支援服務」,也就是RaaS 勒索軟體即服務容易取得。
此外,零時差漏洞經常是勒索軟體攻擊入侵的初始媒介。Palo Alto Networks Unit 42觀察到21年勒索組織至少利用了42個漏洞。蕭松瀛說,重大的零日漏洞像先前受注目的Microsoft Exchange Server、ProxyShell、Kaseya、Log4j等都是勒索駭客會積極追蹤並快速利用它們作為受害組織可能的入侵點。
據Palo Alto Networks統計,勒索贖金是有談判空間的。多數高額勒索贖金的案件中最後實際支付金額都至少比被要求的贖金低50%。然而要從勒索攻擊中恢復,並不容易。58%的受害企業組織至少1個月以上,甚至有近三成者需要3個月以上。
隨著勒索軟體威脅的增長與演變,加強防禦和提高勒索軟體的抵抗力顯得更為重要。所幸的是台灣企業的資安意識已經有明顯提升。尤惠生觀察,「其實從三年前,台灣科技業就遭受滿多資安攻擊。近年來,因應供應鏈移轉,台商回流,在建廠或擴廠時會把資安變成重要的採購項目。以前談比較多網路架構,現在會把資安放在比較優先的項目。」
面對勒索攻擊,Palo Alto Networks提供10點建議:
- 保持對不斷變化環境的了解
- 評估並且了解失去重要數據對於企業帶來的影響
- 評估內部/外部的應變力
- 檢視與測試應變突發狀況的計畫
- 部署零信任架構確保組織的安全
- 識別並關閉對暴露資產的連線
- 預防已知與未知的威脅
- 盡可能達到自動化
- 保護雲端上的工作負載 (workloads)
- 利用預留事件回應服務縮短事件反應時間
尤惠生最後提醒,雲端安全是台灣未來會遇到的重要挑戰,尤其是疫後時代。除了將CISO從CIO分離出來,架構完整的資安防禦機制外,佈建零信任架構,將會是最重要的防禦關鍵。