跳至主內容

勒索軟件: 雙重勒索趨勢持續 VPN網關漏洞成入侵途徑

發佈日期: 2020年10月13日 2455 觀看次數

在開學季節,香港電腦保安事故協調中心(HKCERT)留意到世界各地都有針對教育機構的勒索軟件攻擊,而且「雙重勒索」的攻擊趨勢持續,相關的勒索軟件如Maze及Netwalker非常活躍,用戶必須加倍提防勒索軟件攻擊。

 

根據國際網絡威脅情報公司Recorded Future的研究,由今年7月起至9月初,僅僅兩個多月內,共有9宗針對教育機構的勒索軟件攻擊,當中有4宗是針對大學[1][2]。另外,英國紐卡素大學近日更因網絡攻擊而被迫暫停大部分資訊科技服務 [3]。事實上,勒索軟件攻擊的對象不止是教育機構,其他行業包括銀行、醫院、政府和電力公司等都成為受害者。

 

 

勒索軟件Maze 及Netwalker越趨活躍

 

今年7 月,HKCERT刊出一篇名為《勒索軟件的進化:雙重勒索和虛假解密工具》的保安博錄,當中提到雙重勒索將會成為勒索軟件的新趨勢,而 Maze 是最活躍使用雙重勒索的勒索軟件。我們發現與Maze 相關的攻擊持續上升,不少大企業例如Canon、LG及Xerox 等都成為受害者。根據資訊保安專家分析,LG 和 Xerox 的Citrix ADC 伺服器都存在CVE-2019-19781 漏洞,Maze 很大可能是透過此漏洞入侵他們的系統,繼而盜取及加密系統中的資料,最後癱瘓系統[4]。

 

我們亦注意到使用另一個勒索軟件Netwalker進行雙重勒索的犯罪集團也越來越活躍,更提供勒索病毒服務 (Ransomware-as-a-service) 給會員。近期很多大型企業例如Equinix 和 K-Electric 都被Netwalker成功入侵[5];較早前,加利福尼亞大學舊金山分校亦因被勒索而繳付過百萬美元贖金[6]。有研究發現,Netwalker通常透過未安裝保安更新的VPN應用程式;使用弱密碼的遠端桌面服務或Web應用程式來進行入侵 [7]。

 

 

勒索軟件攻擊影響嚴重

 

除了直接造成經濟損失外,勒索軟件攻擊亦可能間接導致人命傷亡。近日德國的杜塞道夫大學醫院被黑客誤以為是杜塞爾多夫大學而遭到DoppelPaymer勒索軟件攻擊。是次攻擊同樣都是透過Citrix ADC 伺服器的CVE-2019-19781 漏洞進行入侵,令部分醫療服務暫停,危急病人需轉送往其他較遠的醫院,其中導致一名病人因延誤治療而死亡[8]。 

 

從上述可見,勒索軟件攻擊可導致非常嚴重的後果,用戶必須及早防範。根據國際網絡保安公司Sophos發表的《The State of Ransomware 2020》,黑客最常通過發送帶有惡意連結的電郵到目標機構來散播勒索軟件;其次是對伺服器進行遠程攻擊和發送附有惡意軟件的電郵[9]。這三種入侵手法已佔了整體案例近七成。因此HKCERT提醒用戶當收到可疑電郵時,不要點擊電郵或文件內的連結,亦不要打開電郵附件。企業亦要小心保護伺服器,關閉不需要的端口及使用防火牆,減低被遠程攻擊的風險。

 

想了解更多有關應對勒索軟件攻擊的保安建議,可參考保安博錄《勒索軟件的進化:雙重勒索和虛假解密工具》。

 

 

參考資料