外媒 Wired 透露全球上年通報的勒索病毒案件較前一年增加 4 倍,而近期名為「LockBit」的新型勒索病毒更在英、美、德、法、烏克蘭及中國等地造成災情。LockBit 會針對企業或組織內部的網路管理者,入侵其帳號,獲取整個網路的權限,從而進行加密。
過往大多勒索病毒在潛入內網後,需花上幾日甚至數週才能破解網絡架構再進行攻擊。但 LockBit 的技術更加精進,只要數小時,就能掌握內網各節點間的連結方式,快速癱瘓整個網路,迫使受害人支付贖金。
LockBit 的還原頁面
資安公司 McAfee 與 Northwave 今個禮拜公佈了 LockBit 的攻擊軌跡。據外媒 Bleeping Computer 報導,LockBit 在成功入侵後,僅花上 3 小時內的丶間,就加密了 25 部伺服器和 225 個工作站。其專家指出,LockBit 的攻擊足跡與樣本數不多,因它針對特定目標進行攻擊,黑客暴力破解一個採用過時 VPN Service 的網頁伺服器,並獲取管理員憑證,其後在網絡內暢通無阻。
與攻擊者的交談:你的密碼太弱
接下來,黑客透過 SMB 偵測內部網路,搜尋所有可存取的主機,再藉由 RAS 存取這些主機。McAfee 與 Northwave 都不認同支付贖金,因此行為等同助長同類的勒索行為,甚至其他犯罪活動。不過,受害組織大多都選擇了支付贖金。
資安專家建議,對外的系統應盡量採用雙重認證,同時設定存取系統的最低權限策略,避免黑客輕易在安全政策與設定上的漏洞找到入口。
