Sign Up for Publications勒索軟體:數據時代的勒索。2015年即將結束之時,安全分析師預測2016年會是“勒索軟體的一年”。請參見http://www.infosecurity-magazine.com/opinions/will-2016-be-ransomware/#.VlMlHya8bTw.twitter。勒索軟體不是一個新的概念。其早期版本出現在1989年,並2005年發生了第一次現代化勒索軟體攻擊。然而,直到2013年前,勒索軟體的攻擊僅占惡意侵入的極小部分,而在2013年勒索軟體攻擊增長了200%。從那時起,勒索軟體攻擊所占的比例越來越大。僅在2016年的第一季度,勒索軟體攻擊比2015年的第四季度增長了30%;一項2016年調查發現,在過去12個月內,參與調查的40%企業在前一年內發生了勒索軟體的侵害,其中的20%需要在勒索軟體被刪除前暫停運營。
參見http://www.kaspersky.com/about/news/virus/2016/Ransom-Aware; 另見https://www.scribd.com/document/320027570/Malwarebytes。
所有勒索軟體都使用相同的基本攻擊模式,即感染目標電腦然後鎖定使用者的資料。一旦鎖定完成,軟體就會顯示一條通知,內容為在使用者給攻擊者支付贖金之前,他都將無法接觸到他的資料。通常,現代勒索軟體要求利用比特幣等加密貨幣來進行贖金付款,以使支付難以跟蹤。在這種基本模式之下,勒索軟體存在很多不同表現。有勒索軟體為所有主要作業系統編寫,包括Linux和蘋果OS,也有針對移動設備、伺服器、電腦,甚至物聯網設備(即過去如燈泡和冰箱等沒有網路功能的設備,但現在被加入到網路以啟用遠端服務的設備)的不同版本。按照有的設計,勒索軟體僅影響一台機器,按照其他設計則可以從一台機器傳染到一整個網路。一些勒索軟體甚至可以追尋和清除聯網的系統備份。雖然最常見的傳染管道是釣魚式電子郵件,但勒索軟體也可以用短信、公共網站上的廣告及其他常見的惡意軟體來源來進行感染。
相比之前更常見的資料洩露攻擊,勒索軟體攻擊產生的成本不同。目前,資料洩露攻擊的成本已經得到理解,即它包含通知用戶、進行檢測、進行處理和喪失生意機會等的成本。請參閱https://nhlearningsolutions.com/Portals/0/Documents/2015-Cost-of-Data-Breach-Study.PDF。然而,勒索軟體攻擊的成本仍較難理解,但額外包括無法接觸資料和系統期間內的收入損失、可能支付的贖金,以及由服務中斷而對協力廠商造成損失的潛在賠償責任。此外,它也會產生實際的公共安全問題,已經發生過針對醫院和員警等必要基本社會服務的成功攻擊事件。對關鍵基礎設施或關鍵系統(如航空公司系統)的攻擊可能會產生廣泛的嚴重後果。
如何防止勒索軟體的專家建議與防止其他入侵的建議相類似:培訓員工避開釣魚式電子郵件;安裝並定期更新信用良好的防毒軟體;限制員工在其個人電腦上使用公司網路或虛擬私人網路絡;將員工對共用網路上的檔接觸許可權限縮為其真正需要接觸的範圍內,即使檔不包含敏感內容。在勒索軟體攻擊得逞的情況下,經常備份檔案的公司可以從乾淨的備份中恢復其系統,其服務中斷最短。請參見http://www.healthitoutcomes.com/doc/backup-recovery-system-control-ransomware-attack-0001。然而,無備份可用的公司對嚴重入侵的選擇極少。在2015年,美國聯邦調查局建議大多數受勒索軟體攻擊的公司將贖金支付給攻擊者;儘管如此,其2016年的建議做出警告,即付款並不保證攻擊者將恢復資料接觸,同時也可能鼓勵未來的攻擊。見http://www.businessinsider.com/fbi-recommends-paying-ransom-for-infected-computer-2015-10;另見https://www.fbi.gov/news/stories/incidents-of-ransomware-on-the-rise。
一般而言,勒索軟體的受害者不用為所支付的贖金承擔責任。然而,在進行此類付款前,企業最好先與執法機構進行溝通和諮詢。一些支持恐怖分子的團體的駭客能力相當強大。給這些團體的款項可能引起嚴肅的刑事調查,包括針對向恐怖分子提供物質支援的刑事責任。另外,惡意軟體可能會演變出現結合傳統資料洩漏功能與勒索功能的變式。因此,企業可能仍然會面臨由服務中斷或資訊洩漏而對使用者產生損害賠償的責任。當服務提供者未能防止網路攻擊時,法院逐漸傾向于接受原告的訴訟請求。在Patco Construction Co., Inc. v. People's United Bank, 684 F.3d 197(第一巡迴法院,2012年)一案中,第一巡迴上訴法院撤銷了地區法院認定銀行無需因駭客獲得帳戶資訊而對客戶承擔賠償責任的判決。第一巡迴法院認為,相關合同未涉及網路攻擊的風險分配,銀行也未採取幾種現有的安全措施。雖然司法系統仍正在形成責任框架,但Patco暗示,企業將依據一般性的網路安全規則承擔一定程度上的責任。同樣,美國證券交易委員會在近期的幾份執法和解協定中認定了洩漏客戶個人身份資訊相當於違反證券法。希望減少網路攻擊責任的企業應在合同和服務協定裡增加免責條款,並使用最新的網路安全措施。但這些措施可能仍然不夠。擬定網路安全計畫時,最為關鍵的是企業應儘快諮詢內部或外部律師。