2014年,英國肯特大學(University of Kent)曾經做過調查,約有40%的受害者因為勒索軟體而交付贖款。從該年開始,勒索軟體的發展和出現變得極為頻繁,甚至是演變到今日的企業化經營。
自1989年AIDS Trojan出現到現在,勒索軟體發展時間已超過25年。檔案加密、系統鎖定、行動裝置鎖定等,勒索軟體不斷地進化和演變出不同的運行模式以達到獲利為最終目的。2014年,英國肯特大學(University of Kent)曾經做過調查,約有40%的受害者因為勒索軟體而交付贖款。從該年開始,勒索軟體的發展和出現變得極為頻繁,甚至是演變到今日的企業化經營。
仔細想想,和2010年紅極一時的Stunxnet惡意軟體相比,勒索軟體並未因為時間而淡出話題。Locky、CryptoWall、TeslaCrypt等勒索軟體帶來的危害和影響可以持續如此長久的時間,主要可以分做幾點探討。
·資訊安全意識不足:安全和便利自古以來即是你爭我奪,彼此無法兩全其美。勒索軟體利用的即是日常作業中的工具,如電子郵件、網頁瀏覽器等等。使用者在資訊安全意識不足的狀況下,往往會掉入惡意來源設下的陷阱。勒索軟體利用日常工作面對的情境,如電子訂單、電子文件、電子郵件等等,讓使用者自然地執行內含惡意加密程式的腳本,造成擁有的檔案和既有的便利性被剝奪。
·高科技手法、企業化經營:勒索軟體利用許多新興技術,讓使用者和資安維護人員難以處理。加密技術的應用,讓使用者無法取回被綁架的資料。TOR(The Onion Router)網路和比特幣的應用,讓執法人員不易追查來源和去向。企業化經營,迅速且大量地散播感染來源;同時,講求信用的檔案回復作業,讓使用者願意繳付贖金換回原有的檔案內容。
勒索軟體普遍出現的同時,也顯現出目前企業在資訊安全防護上的部分特性和轉變。包含過於依賴防毒引擎以及異地備份機制的落實不足。
·過於依賴防毒引擎、疏漏基本安全控管:勒索軟體最大的特性,是利用正常行為帶給使用者最大的損失。加密行為從發展到現在,都是用來保護使用者資料,防毒軟體不會將其視為惡意行為。除此之外,因為防毒軟體的廣泛應用,MIS疏於管制容易造成威脅的文件巨集、腳本等,讓勒索軟體輕鬆進入企業內部。
·異地備份機制落實不足:大部分企業在執行備份作業時,經常將備份資料存放在和共享檔案相同的儲存設備中,方便使用者取回備份資料。又或者是,過於依賴系統提供的備份機制,如快照、Shadow Copy等。因為備份檔案被勒索軟體加密的狀況,同時凸顯出備份資料離線異地存放的重要性。
這兩年勒索軟體的普遍感染,讓企業開始重新檢視資安防護和備份機制的問題。利用最基本的網頁瀏覽防護、郵件防護和檔案備份機制,即可解決95%勒索軟體進入企業內部的機會。同時,也重新檢視端點惡意軟體防護的有效性,以及網路惡意行為偵測正確性。簡單來說,促使企業重新檢討行為安全防護的正確性和備份機制的落實。
(本文作者林子涵為Sophos台灣區技術經理)