【切勿助長】慘遭勒索軟件攻擊 三分一組織付贖金仍未能解密
勒索軟件攻擊與日俱增,但外國不少受害企業在支付贖金後,仍未如願重掌公司系統主控權。有研究指出,有 4% 的案例在支付贖金後,仍未能解鎖被鎖數據,有機會是犯罪分子捲款後直接逃跑,網絡安全專家警告不要支付贖金,並試著解釋原因。
據 Proofpoint 的網絡安全研究人員的分析,感染勒索軟件的組織中,有 58% 向犯罪分子支付解密密鑰的贖金,而且很多時他們更多次支付贖金。執法機構和網絡安全專家就警告,組織不要再支付贖金,因為不能保證犯罪分子所提供的解密密鑰有效,屈服於贖金要求更間接助長更多的勒索軟件攻擊,讓網絡犯罪分子覺得攻擊有效。
在支付贖金的人中,超過一半(54%)在首次支付贖金後,重新獲得對數據和系統的存取權限。但亦有另外三分之一的勒索軟件受害者,在收到解密密鑰前支付額外的贖金要求;另外 10% 的受害者也收到了額外的贖金要求,但拒絕了再支付贖金,在沒有重掌操控權的情況下選擇放棄該些數據資料。亦有 4% 的案例是受害組織支付了一筆或多筆贖金,但仍無法重掌其數據,原因可能是解密密鑰錯誤,或者網絡犯罪分子捲款逃跑。
當組織成為勒索軟件攻擊的受害者時,犯罪分子通常在發動攻擊前數週或數月就已潛伏在網絡中,意味著即使組織支付了贖金,黑客仍擁有控制權,再回來觸發另一次攻擊。Proofpoint 的網絡安全策略師 Adenike Cosgrove 向 ZDNet 表示,很多組織都沒有意識到即使只支付一次贖金,但犯罪分子實際已在其基礎設施中待了八星期,根本不知道他們還偷了什麼數據資料。被盜數據通常被用作勒索軟件攻擊的額外手段,犯罪分子多數會威脅若組織沒有支付贖金,他們就會將這些數據。雖然這確實迫使一些受害者付費,但不能保證網絡犯罪分子以後不會帶著額外的威脅回來發布被盜數據。
Cosgrove 指出,犯罪分子第一次接觸受害者時會要求「支付贖金,這樣我就可以給你解密密鑰」,第二次便會說「給我贖金,否則我會把這些數據放在暗網上」,第三次可能是「給我贖金,否則我將告訴媒體你發生數據洩露事件,並告訴監管機構,並威脅受害者還沒有通知客戶,他們的私隱受影響」,而處理勒索軟件攻擊的最佳方法,就是從一開始就防止它們發生。
根據 Proofpoint 的數據,75% 的勒索軟件事件始於網絡釣魚攻擊,網絡犯罪分子利用這些攻擊竊取用戶名和密碼,或植入遠程訪問木馬,以在網絡中獲得初步立足點,所以能夠及早揪出可疑活動,能有效防止勒索軟件攻擊滲透。Cosgrove 指出,培訓用戶識別和報告可疑電子郵件,可幫助組織及早檢測勒索軟件和其他惡意軟件攻擊。啟用雙因素身份驗證(2FA)還可以防止竊取用戶名和密碼的網絡釣魚攻擊,令網絡犯罪分子更難利用受損的登錄憑證入侵。