Unit 42 全新勒索軟件威脅報告: 2020 年勒索軟件平均支付贖金急升近兩倍

週四, 2021年3月25日 19:54
打印

 

Unit 42 全新勒索軟件威脅報告
2020 年勒索軟件平均支付贖金急升近兩倍
勒索軟件贖金     雙重敲詐和對醫療機構的攻擊均激增

<  香 港 >   ─  Palo Alto Networks 旗下之網絡威脅情報團隊 Unit 42 發佈其 《2021年勒索軟件威脅報告》,該報告對全球威脅勢態的分析顯示勒索軟件在 2020 年的威脅顯著上升。當中最引人注目的是 Unit 42 團隊發現 2020 年被勒索者支付的平均贖金在一年間急升近兩倍,而最高的贖金付款額及索金要求均上升一倍。

根據 Identity Theft Resource Center 的資料,2020 年有 878 宗網絡攻擊事件,其中 18% 的攻擊事件來自勒索軟件[1]。為了評估勒索軟件威脅的現狀,威脅情報團隊 Unit 42 和事件回應團隊 The Crypsis Group 合作分析了 2020 年的勒索軟件威脅狀況。該研究基於 Unit 42 的全球數據以及 Crypsis 的美國、加拿大和歐洲數據。

這份報告詳細闡釋了最主要的勒索軟件變種、勒索軟件平均支付額、勒索軟件預測以及可立即降低勒索軟件風險的建議。

主要發垷

網絡犯罪分子賺取和索取的金錢比以往更多

企業平均支付的贖金從 2019 年的 115,123 美元 (約 897,960 港元) 增加到 2020 年的 312,493 美元 (約 2,437,445 港元),同比增長 171%。此外,企業支付的最高贖金在一年間翻了一倍,從 500 萬美元增加到 1,000 萬美元。與此同時,網絡犯罪分子也越來越貪婪。從 2015 年到 2019 年,勒索軟件要求的最高贖金是 1,500 萬美元 (約 1 億 1,700 萬港元) ; 2020 年,勒索軟件要求的最高贖金則增至 3,000 萬美元(約 2 億 3,400 萬港元)。

值得注意的是,2020 年 Maze 勒索軟件要求的平均贖金為 480 萬美元(約 3,744 萬港元),與 2020 年所有勒索軟件家族的平均贖金 847,344 美元(約 6,609,283 港元)相比,明顯較多。網絡犯罪分子知道他們可以通過勒索軟件賺錢,並且在索取贖金方面變得越發大膽。

醫療機構成為新目標

世界因新冠疫情而改變,勒索軟件不法之徒利用疫情對企業進行攻擊,特別是醫療行業成為 2020 年勒索軟件最大的的目標行業。勒索軟件罪犯在攻擊中厚顏無恥地試圖賺取最多的金錢,因為他們知道醫療機構需要繼續營運以治療新冠患者並拯救生命,無法承擔系統被鎖定的後果,更有可能支付贖金。

Ryuk 勒索軟件在眾多勒索軟件中尤其猖獗。2020 年 10 月,美國 Cybersecurity and Infrastructure Security Agency (CISA)、聯邦調查局(FBI)、Department of Health and Human Services (HHS) 聯合發佈網絡安全預警,警告醫療機構防範 Ryuk 勒索軟件攻擊。

雙重勒索的興起

常見的勒索軟件攻擊包括攻擊者對數據進行加密,並強迫受害者支付贖金以解鎖數據。在雙重勒索的情況下,勒索者會加密同時竊取資料,進一步要脅受害者支付贖金。如果受害者不支付贖金,勒索者就會把資料發佈到洩漏網站或暗網,而大部分數據洩漏網站都託管在暗網。這些託管點亦是由勒索者創建和管理。現在至少有 16 種不同的勒索軟件變種威脅要洩漏資料或利用洩漏網站,更多的勒索軟件變種可能會延續這種趨勢。

利用這種策略最多的勒索軟件是 NetWalker。從 2020 年 1 月到 2021 年 1 月,NetWalker 洩漏了全球 113 家受害企業的資料,遠遠超過其他勒索軟件。RagnarLocker 排名第二,洩漏全球 26 家受害企業的資料。值得一提的是,美國司法部在 2021 年 1 月宣佈協調國際執法行動,瓦解 NetWalker 勒索軟件集團。由 NetWalker 勒索者管理的託管洩漏資料的暗網網址已經無法進入。

圖一: 2020 年1 月至 2021 年 1 月全球遭勒索軟件洩漏資料到洩漏網站的受害企業分佈圖

勒索軟件的未來

駭客將不斷尋找目標組織,他們知道勒索軟件不僅有效,而且成本可以低廉,特別是如果使用勒索軟件即服務 (Ransomware-as-a-Service) 的模式。預計越來越多的不法之徒將沿用此模式。

至少有 16 種不同的勒索軟件變種正威脅要暴露數據或利用洩漏網站,更多的變種可能會繼續這種雙重敲詐的趨勢。使用匿名服務也將繼續增加,這使得安全研究人員和執法人員更難跟蹤。

建議

防範勒索軟件攻擊與防範其他惡意軟件類似。然而,它對企業的風險更高。

初始進入

所有勒索軟件變種的初始進入網絡方式相對相似。企業應保持使用者對電子郵件安全的認識和培訓,並考慮在惡意電子郵件進入員工郵箱後立即識別和補救。企業還應該確保進行適當的修補管理,並審查哪些服務可能暴露在互聯網上。遠端桌面服務應正確配置並確保安全,盡可能使用最低許可權原則,並制定策略以檢測與蠻力攻擊相關的模式。

備份和恢復流程

企業應繼續備份資料,並提前規劃好適當的恢復流程。勒索者將針對現場備份進行加密,因此企業應確保所有備份都在離線狀態下安全保存。必須與關鍵持份者一起實施並演練恢復流程,以便在發生勒索軟件攻擊時儘量縮短企業的停機時間並降低損失。

安全監控

防範勒索軟件的最有效形式是端點安全、URL 過濾或 Web 保安、高級威脅防禦(未知威脅/沙箱)以及部署到所有企業環境和設備的反釣魚解決方案。雖然這些不能完全保證預防,但它們將極大地降低常見變種的感染風險,並提供權宜之計,防患於未然。

如欲了解更多此報告之詳細資訊,敬請下載 《2021年Unit 42勒索軟件威脅報告》

 

 

 

 

 

 

 

 

( 內容由有關方面代表提供, 經編輯後刊登 )