面對近期勒索病毒郵件爆發,各單位組織面臨極大考驗,IT人員更疲於奔命地處理善後,根據Cellopoint安全專家分析,此次攻擊類型、手法、行為與攻擊來源等變化迅速且手法高竿,誘騙郵件會夾帶ZIP檔,內含JS(JavaScript)或RTF檔,並偽裝成附有當期Invoice發票,誘騙請收件人簽名並回傳,但附件實際上是藏有Locky勒索惡意程式。
在攻擊行為上是以批次寄送的方式發出攻擊郵件,其主旨、內容、附檔名稱會不斷變化;其發送來源IP位址會持續變化,駭客會透過先前入侵的主機做跳板攻擊,一旦收件人開?郵件並執行勒索病毒檔案,該電腦大部分文件檔案會被加密,並彈出勒索贖金視窗;假若單位使用的郵件主機被當做跳板,其IP位址很快會被列入RBL的黑名單,衍生單位外發郵件被退信,造成業務營運中斷的嚴重後果。
針對此波攻擊Cellopoint提供四點建議:
一、對於已部署Anti-spam之客戶,建議需盡快升級到最新版本防禦引擎,方能持續防禦變種攻擊;另外為了加強防禦可增購Anti-virus模組,可過濾掉99.9%以上的已知(known)病毒;另可增購Anti-APT模組,專門對全新未知(unknown)的可疑惡意檔案(malware)做沙箱行為檢測與威脅分析,達到99%以上的過濾效果。
二、尚未部署Anti-spam之客戶,需編列預算採購Anti-spam、Anti-virus、Anti-APT以防患於未然。
三、組織在添購資安硬體設備的同時,另外也應培養員工使用郵件的警覺心與資安意識,可採用電子郵件社交工程演練服務,並做員工開?電子郵件的風險評估計劃,當組織定期寄發社交工程測試郵件後,可讓整體員工具備高資安意識,搭配良好的硬體設備達到相輔相成的效果。
四、組織IT人員也應協助並規劃重要員工自動備份(backup)方案。
如需相關資訊,請洽Cellopoint授權經銷商或聯絡sales@cellopoint.com。