2019年的安全威胁变得更具有针对性!安全大厂趋势科技的2019年安全总评报告指出,随着勒索病毒犯罪集团开始结盟、犯罪获利模式变得更稳定,目标性勒索病毒成为黑客爱用的手法,主要攻击对象包含政府机关、医院与教育机构等,借以获取巨额赎金。
此外,企业邮件诈骗(BEC)依旧猖狂,虽然整体被侦测到的钓鱼网址相关联接有下降,推测是因为部分企业将内部联系方式从邮件转换到Slack等企业沟通软件上,不过数据也发现BEC的目标开始瞄准基层员工,学校内也看到越来越多教授的身份开始遭到黑客模仿。
勒索病毒稳定增长,高获利促使黑客集团相互结盟
趋势科技发现,去年勒索病毒的数量增长10%,最主要的攻击对象属医疗业,有超过700家医疗机构遭到攻击。此外,公主机关与教育机构也成为攻击标的,光去年一年就有超过110个美国州政府及市政府机关和单位受到勒索病毒袭击。
值得注意的是,黑客集团开始锁定目标攻击并且获利的趋势,是因为越来越多机构原意支付赎金,尽快恢复系统运行。一方面是因为机构不想要让系统遭入侵的消息曝光,加上勒索病毒攻击的相关保险机制越来越成熟。举例来说,去年七月美国印第安那州政府就曾支付23万美元的赎金,其中有一半左右是由保险支付。
知名勒索病毒Wannacry,就会加密数据,跳出窗口来要求受害者缴付赎金。
此外,也有越来越多新的勒索病毒出现,并展现强制加密文件以外的攻击特性。包括将所有目标计算机中受影响的文件复制到黑客方的计算机中的Maze勒索病毒,以及强制Windows计算机重新开机并进入安全模式来规避安全软件侦测的Snatch病毒。
趋势科技全球威胁通信总监Jon Clay认为,勒索病毒的兴起是数字转型所带来的副作用之一。他指出,许多企业加速数字转型,但安全的构建却常常沦为事后的亡羊补牢,为网络犯罪集团敞开一扇大门。安全意识与习惯的缺乏、操作系统过时的老旧设备系统以及未及时修补漏洞的情况,都成为勒索病毒滋长的温床。
如今,为了加速勒索病毒的获利模式,勒索病毒犯罪集团之间更在2019年开始结盟。例如,Sodinokibi勒索病毒背后的多个犯罪集团就对美国德州22个地方政府机关发动一波总赎金高达250万美元的联合攻击行动。
趋势科技并发现,网络犯罪集团开始经营所谓“访问服务”(access-as-a-service) 的商业模式。歹徒将受害机构的网络访问权限当成一种服务来出租或销售,价格从3,000至20,000美元不等,最高等级的服务提供了目标企业服务器和虚拟私人网络 (VPN) 的完整访问权限。
邮件诈骗不只骗老板,基层员工也可能受害
企业邮件诈骗(BEC)依旧是黑客最爱的手法之一,BEC是一种通过假扮某特定目标在公司里的上司来骗取他们进行汇款等行为。趋势科技指出,2019年全球每月有超过2亿活跃用户使用Microsoft Office 365的邮件服务Outlook,这也促使黑客继续从中骗取利益。
不过,随着Slack与其他的新兴企业内部沟通软件兴起,去年度趋势科技拦截下的与BEC相关的钓鱼连接也从2.69亿个下降到1.94亿个,下降约27%。不过,黑客也开始扩大打击面,开始锁定更基层的公司员工。
2018年底,趋势科技就曾预测由于BEC诈骗过度集中于管理阶层,之后的黑客会渐渐开始锁定更下层的员工。根据最新信息,虽然依旧有28.9%的攻击锁定公司的首席财务官,去年也开始出现针对公司基层会计(4.4%)与学校教授(2.8%)的攻击,显示BEC攻击也开始迈向学校单位。
供应链攻击:电商网站、软件开发程序受黑客锁定
供应链攻击也是一大隐忧,供应链攻击是指渗透第三方企业提供的服务来侵入主要的目标企业的攻击手法,2019年一个叫做Magecart的黑客集团就用这种方式侵入上百个电商网站,通过购物车的第三方金流系统来窃取消费者的信用卡数据。
软件开发程序的第三方服务也在黑客的攻击范畴内。黑客通过企业使用的DevOps开发作业流程中的工具或平台来侵入目标企业。举例来说,DevOps开发中常被使用到的Kubernetes容器操作系统就能被黑客利用,进而将有害文件植入目标企业内部。另一个容器作业平台Docker,也在去年10月被发现有超过2,000个主机在该平台上遭挖矿蠕虫病毒感染。
为有效防堵这些攻击,趋势科技建议采取一套能够涵盖网关、网络、服务器以及端点的威胁防御方法,并给予几个建议:
一、借由网络分割、定期备份和网络持续监控来防范勒索病毒。
二、更新并修补系统与软件来防范已知漏洞。
三、激活虚拟修补技术,尤其是针对厂商已不再提供支持的操作系统。
四、实施多重认证和最低授权访问原则,防止系统管理工具遭到滥用。