如果你最近有關注任何網路安全新聞標題,你會注意到一個令人不安的趨勢。這些攻擊主要集中在竊取信用卡詳細資訊、社會安全資訊和顯示那些惱人的彈出式廣告的日子已經一去不復返了。它們已演變為全球各種規模企業的重大生存威脅。
我們看到的攻擊不僅僅會導致企業生產力短暫下降,反而會使其營運中斷一兩天。我們看到的攻擊甚至有能力將整個組織從地圖上抹去。
人們一直存在一種誤解,認為勒索軟體攻擊明確針對大型科技公司、企業或無名的政府機構。但黑客其實更加肆無忌憚。那些經歷過經濟衰退、全球戰爭和疫情的企業,如今卻在數位勒索的壓力下崩潰,它們需要儘快學習如何保護自己。
在本文中,我們將詳細解釋勒索軟體究竟是什麼、現代攻擊背後的機制、它們為何傳播如此迅速,以及當它們趁公司不備時會有多麼殘酷。
在我們深入探討一些恐怖故事和警示案例之前,讓我們先快速了解一些定義。
勒索軟體最恰當的描述是一種惡意軟體(malware),它會中斷作業並拒絕企業存取其系統,直到支付一定金額的贖金為止。這筆金額就是所謂的「贖金」。
雖然字典中的定義可能顯得有些抽象甚至生硬,但讓我們通過一個虛構場景來瞭解真實勒索軟體攻擊的樣貌。假設你明天早上走進辦公室,會議都已安排妥當,你準備開始工作。
你喚醒電腦,晃動滑鼠,螢幕亮起,但平常的桌面壁紙不見了。取而代之的是一個黑色螢幕,上面有威脅性的紅色文字,說明你系統上的每一個檔案、每一個資料庫和每一筆客戶記錄都已被加密,你再也無法存取它們。此時,恐慌開始蔓延。
通常來說,加密是「好人」用於網路安全的工具。但勒索軟體顛覆了這個觀念,它會加密你所有的數據,因為駭客知道只有他們擁有解鎖的金鑰。
接下來,駭客會要求支付贖金。這通常以加密貨幣支付的形式進行,例如比特幣(Bitcoin),但更可能是像門羅幣(Monero)或零幣(Zcash)這類更難追蹤的貨幣。他們承諾一旦支付贖金,就會解密你的系統,讓你恢復正常運作,彷彿什麼都沒發生過。
現在大多數犯罪集團還會使用一種稱為「雙重勒索」的惡劣手段,他們會鎖定你的檔案、複製所有檔案,並威脅要將其洩露給公眾。因此,即使你已為勒索軟體攻擊做好準備,擁有穩固的備份,他們仍會以大規模數據洩露作為第二個槓桿來對付你。他們可能威脅曝光客戶私人數據、法律文件或商業機密,這完全取決於他們掌握了什麼類型的數據。
在許多方面,這已成為一種數位人質事件,而面對這種直指組織聲譽和生存的威脅,處置起來極具挑戰。
如果某個威脅至此已廣為人知,為何它仍在大範圍造成如此嚴重的損害?問題在於網路一旦遭到入侵,惡意軟體的散佈速度,以及現代網路的架構。
勒索軟體透過阻力最小的路徑進行傳播,而現代數位基礎設施的主要問題在於,它處處都是未上鎖的門。
勒索軟體攻擊的開端需要具備哪些條件?儘管流行文化描繪的畫面是,一個戴兜帽的人在暗室中瘋狂敲擊鍵盤,試圖繞過防火牆,但現實情況其實更為平淡(對安全團隊而言則更令人沮喪)。
大多數時候,駭客不需要攻城槌來試圖衝破守衛森嚴的前門。他們只需拿到留在門墊下的備用鑰匙。實際上,這把備用鑰匙可能就是諸如弱密碼或已遭洩露密碼之類的簡單東西。如果你的企業僱用了數百名或數千名員工,而每個人都使用數十個應用程式,那麼防線上就會有許多潛在的裂縫可能被利用。
如果攻擊者猜對弱密碼,或從暗網購買有效登錄列表,他們就能像合法用戶一樣輕鬆登錄您的網絡。一旦入侵,大多數網絡安全防禦將不再將其視為外部人員,他們便可以自由地在系統之間橫向移動,擴散惡意軟件,直至達到臨界規模。
一旦攻擊者邁入門檻,他們會花時間盡可能隱蔽地感染系統。他們通過一種稱為「Living off the land」的技術來實現這一點。
他們不會上傳防病毒軟件可能察覺的明顯惡意病毒,而是使用Windows操作系統中已內置的工具。他們可能會使用PowerShell(任務自動化框架)運行腳本,以禁用安全警報或掃描網絡中的其他電腦。
由於他們使用的是合法管理員工具,因此會融入正常網絡流量而不引起任何懷疑。使用這種方法,安全團隊可能需要數小時、數天,在某些情況下甚至數月才能察覺異常。這使得勒索軟件能夠造成損害,並在系統和數據中傳播,提升其權限,直到黑客能夠鎖定整個組織。
您可能聽說過SaaS(軟體即服務)。現在試想一下這種商業模式,但這次是為網路犯罪而設計的。這聽起來似乎太大膽,不像是真實存在的,但這正是勒索軟體即服務(RaaS)的本質。
過去,若想發動勒索軟體攻擊,需要具備紮實的技術能力和駭客技巧,才有機會成功。這也是為何此類攻擊過去相當罕見。但如今,任何人都能上網購買現成的勒索軟體套件。
犯罪集團將其工具打包,就像現代軟體公司打包應用程式一樣,然後以訂閱制銷售。這些服務通常還附帶客戶服務、技術指導、入門指南、利潤共享模式,甚至有儀表板可追蹤受害者的感染情況。
這聽起來或許很離譜,但這是一個真實的「產業」,並且每天都在發生。
其結果是,任何有不良企圖的人,無論是不滿的前員工、想賺點錢的人,還是只想看世界陷入混亂的人,都能大規模發動勒索軟體攻擊。他們不需要了解惡意軟體的運作方式,因為它已經被開發出來了。
這是攻擊事件暴增的最大原因之一。網路犯罪已經連鎖化。隨著更多罪犯的加入,攻擊的侵略性也急劇上升。
如果你認為勒索軟體集團只會鎖定檔案,那就大錯特錯了。他們的商業模式取決於恐懼、壓力和羞辱。他們希望受害者恐慌。他們希望決策者感到走投無路。
最近的一篇BBC報導顯示了情況可能有多惡劣。某勒索軟體集團不僅竊取數據,還直接針對員工。他們發送訊息威脅要洩露個人資訊和醫療記錄,利用員工作為情感槓桿,迫使企業付款。這並不是什麼偶然的「害群之馬」。這正成為標準行為。
罪犯現在經常:
他們毫無真正的羞恥感,也沒有不願跨越的底線。這些罪犯不僅想要錢,他們還想要完全的控制權和服從,並會盡其所能地向受害者施壓,直到達成目的。
每年,這類攻擊都變得更快、更具侵略性且破壞性更大。犯罪集團正在合作並磨練技能,分享「最佳實踐」並逐步完善策略。由於經濟誘因極高,不乏想要加入分一杯羹的不良行為者。
對於企業而言,保護的第一步是了解勒索軟體的實際運作方式,希望本博客已引領您踏上這一途徑。儘管勒索軟體的危害性極大,但通過良好的網路安全實踐和定期的員工培訓,它是可以預防的。
請記住,您的防禦能力取決於最薄弱的環節,因此請確保組織中的每個人都了解勒索軟體的風險以及他們在線互動時的責任。
