勒索病毒(Ransomware)攻擊賴以生存的要素包括即時性、致命性與不可逆性。而駭客在勒索病毒攻擊行動當中加入物聯網元素,可藉由骨牌效應來放大攻擊效果,尤其是對關鍵基礎架構的衝擊。不僅如此,物聯網裝置更擴大了企業的受攻擊面,讓勒索病毒有更多入侵機會,這些都會讓營運中斷的問題加劇。
勒索病毒(Ransomware)在物聯網(IoT)環境中的探討,早已不是新鮮話題。從勒索病毒崛起且物聯網開始流行時,資安專家便已探討過勒索病毒攻擊對物聯網環境的潛在風險。
然而,最近出現了另一類專門攻擊企業機構的勒索病毒家族,隨著物聯網在工業領域更加普及,物聯網加上勒索病毒的組合值得重新探討。
物聯網與勒索病毒攻擊
勒索病毒攻擊賴以生存的要素包括即時性、致命性與不可逆性。而駭客在勒索病毒攻擊行動當中加入物聯網元素,可藉由骨牌效應來放大攻擊效果,尤其是對關鍵基礎架構的衝擊。不僅如此,物聯網裝置更擴大了企業的受攻擊面,讓勒索病毒有更多入侵機會,這些都會讓營運中斷的問題加劇。
對OT系統構成威脅
像DarkSide這樣的勒索病毒集團,專門瞄準一些關鍵基礎建設或是知名的機構。這些機構通常仰賴營運技術(OT)與工業控制系統(ICS)來運作,使得勒索病毒攻擊的問題變得更緊急、也更嚴重。由於勒索病毒攻擊已成為OT資產設備的一項嚴重威脅,美國網路資安與基礎架構安全局(Cybersecurity and Infrastructure Security Agency,CISA)為此特別發布了一份「Rising Ransomware Threat to Operational Technology Assets」公告來提醒企業關注。
針對OT系統的攻擊很可能帶來危險並引起連鎖效應而影響整個供應鏈,這樣就能逼迫企業機構乖乖支付贖金。IT與OT的匯流,為駭客打開了一條途徑讓他們從IT網路移動至OT網路。
不過有一點值得注意的是,勒索病毒很少直接攻擊OT系統,EKANS勒索病毒算是少數一個可中斷ICS軟體流程的一個例子,但今日絕大多數的勒索病毒家族 (如Ryuk、REvil及Conti)都是攻擊IT系統。只是,入侵IT網路也有機會干擾及影響OT網路,這就是發生在美國東部輸油管營運商Colonial Pipeline的情況,該公司被迫關閉系統來防止勒索病毒感染其工業網路。但這項不得已的措施,卻造成美國有多個州出現汽油供應短缺。其他勒索病毒對OT系統的間接影響還包括:無法掌握生產環境的資訊,以及營業資訊遭到竊取。
在醫療、食品業也很活躍
勒索病毒攻擊在其他產業的主要目標,同樣也是為了讓營運停擺,這些產業很可能或多或少都仰賴物聯網裝置和系統來運作。趨勢科技發布的上半年資安總評報告中便提到,製造、醫療、食品飲料是勒索病毒最活躍的前幾大產業。
醫療產業面臨的威脅主要是來自Ryuk和Conti勒索病毒家族的攻擊,讓原本因疫情關係而疲於奔命的醫療體系面臨更大壓力。我們很難判斷近期這些攻擊是否會對醫療裝置造成直接影響,但勒索病毒過去也曾感染過醫療裝置。連網醫療裝置在今日的醫學上發揮了莫大貢獻,但若缺乏妥善管理,卻也可能成為駭客入侵的破口。醫療裝置同樣也可能含有一些漏洞和缺陷使得它們遭到惡意程式感染。
除了醫療產業之外,食品業也同樣導入了物聯網工具和系統來改善生產。根據美國聯邦調查局(FBI)的公告指出,勒索病毒會攻擊食品與農產品業,以竊取資料並將資料加密。報告中提到這些產業越來越仰賴物聯網流程,所以受攻擊面也因而擴大,有些攻擊不僅會影響受害企業,更會影響整體供應鏈,甚至造成消費性產品漲價。
物聯網裝置成入侵破口
物聯網將大幅重新定義企業必須防守的受攻擊面,包括每天都會用到的物聯網裝置,例如智慧電器與路由器。有些物聯網裝置在安裝完成之後,人們就幾乎忘了它的存在(例如路由器),除非發生問題,否則不會沒事去檢查它。但這些裝置卻可能遭到漏洞攻擊,讓勒索病毒有機會入侵。
物聯網裝置已知常見的威脅之一是殭屍網路(Botnet)惡意程式,而且它還會再散播其他惡意程式。在一項針對物聯網殭屍網路的研究中,我們發現有些路由器還感染著兩年前就已消失的殭屍網路,這突顯出一項事實:一些看似單純的裝置,其實很可能成為重大攻擊的破口。
另一個威脅來自勒索病毒。所謂「物聯網勒索病毒」就是專門攻擊物聯網裝置的勒索病毒。在這類攻擊中,駭客會操控一或多個裝置或將裝置鎖定來勒索贖金。FLocker就是一個像這樣將觸角延伸到物聯網裝置的勒索病毒變種,它原本是Android手機上一個會將螢幕鎖定的病毒,後來也會感染智慧電視。有兩份不同的研究也測試了專門攻擊智慧中央空調裝置與咖啡機的勒索病毒攻擊,不過這類攻擊近年來並無太大進展。
大多數的物聯網勒索病毒都是攻擊NAS裝置和路由器,消費者要特別注意。大致上,還尚未對企業造成重大威脅,因為發動這類攻擊目前對駭客來說並無太大效益。
雙重勒索挑戰
遭到勒索病毒攻擊的企業有可能蒙受巨大的財務損失,因為這不僅包括贖金,還包括營業損失和復原的費用。今日的勒索病毒攻擊還可能加入資料竊取的元素,形成所謂的「雙重勒索」,受害者得面臨營運關鍵資料損失以及商譽損失的雙重風險。
要防範勒索病毒,企業機構應消除可能引狼入室的一些資安漏洞。在物聯網領域,這些資安漏洞包括以下幾點:
‧物聯網裝置漏洞:物聯網裝置和系統隨時都有新的漏洞被發現,勒索病毒會利用這些漏洞來感染裝置,並且擴散至其他裝置。
‧裝置快速成長與管理不當:在新冠肺炎(COVID-19)疫情爆發初期,企業於物聯網領域的投資似乎有減緩的跡象,但根據報導指出目前投資似乎已經回流。然而,物聯網裝置的快速普及,很可能使得企業機構無法妥善處理裝置管理的問題以及物聯網環境日益升高的複雜性。
‧安全性不足:就算企業辦公室的物聯網裝置都已受到良好保護,但企業卻很難管理員工的個人裝置,例如智慧手錶、電子書閱讀器、家用遊戲主機等。在家上班的模式,也讓保護家用網路及裝置變得更加重要性。
‧老舊系統:許多產業事實上都還在使用一些老舊系統,而這些系統將成為資安上的風險,因為這類系統和裝置早已無法再獲得安全更新,只不過它們仍在服役當中,而且還用於關鍵營運作業。
‧勒索病毒家族的針對性:今日的勒索病毒攻擊行動越來越具針對性。事實證明,這對企業機構可說更加危險,因為攻擊將針對其弱點而量身訂製。此外,駭客也慢慢形成一股瞄準關鍵基礎建設的攻擊潮流。
如何防範勒索病毒侵襲
面對勒索病毒的威脅,最好的作法就是防範於未然。勒索病毒集團跟其他駭客一樣,會儘量選擇阻力最小的途徑入侵。企業必須防範勒索病毒可能的入侵點,並確實做好物聯網環境的安全防護。
企業可採取以下步驟來防範勒索病毒攻擊:
•更新與修補:讓系統及裝置隨時保持更新,可消除駭客可能利用的漏洞。
•實施安全的認證策略:許多勒索病毒攻擊都使用偷來的登入憑證,因此啟用多重認證之類的機制,可防止使用者帳號被駭客登入。
•採取最低授權原則,能不開放的權限就不要開放。這麼做可防止使用者執行某些程式,例如勒索病毒所使用的駭客工具,以及可能有害的應用程式。
•定期備份檔案:儘管今日的勒索病毒不斷演進,但資料備份依舊是應對資料遭到加密或其他網路威脅的一種有效措施。
•採用強大的網路防護:一套強大的網路防護,可提供一層額外的防禦來防止那些利用裝置漏洞的威脅。
•監控網路流量:利用工具來監控網路流量,可讓企業掌握一般正常流量的狀況,並發掘異常流量以偵測潛在的駭客入侵。
•資安的重要性高於連網:務必了解新增連網裝置的風險,在網路上增加新的裝置,可能大幅提高網路的複雜性,並擴大自己的受攻擊面。
•鼓勵員工共同承擔物聯網資安責任。企業必須培養一種資安文化(尤其是針對物聯網),培養員工有關連網裝置威脅的資安意識,如此可促進員工有意識地採取行動來保護自己的裝置。
物聯網與勒索病毒的未來
物聯網未來的潛力無限,儘管全球疫情讓物聯網的普及率稍微趨緩,但許多產業都已見證到物聯網的效益,尤其當遠距上班和保持社交距離已逐漸成為一種常態。5G的來臨,也將重新點燃一些物聯網計畫。只不過,這些同樣也將為勒索病毒重新注入活力,駭客集團將找到更多機會來發動目標式攻擊與雙重勒索伎倆。一些風險較高的產業(通常都是含有IT/OT系統的產業)將成為主要攻擊目標。企業必須重新檢視自己當前的防禦,尤其是針對勒索病毒的防禦,然後規劃出一套有效的物聯網建置方案,好讓他們能在不擔心物聯網遭到勒索病毒利用的情況下,徹底發揮這項技術的效益。
《本文出處:IoT and Ransomware : A Recipe for Disruption》
<本文作者:本文出自趨勢科技資安部落格,是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作,發掘消費者及商業經營所面臨層出不窮的資安威脅,進行研究分析、分享觀點並提出建議。>