[網管人文章分享] Sophos：勒索軟體集團發動遠端加密攻擊

Sophos威脅研究副總裁兼CryptoGuard共同開發者Mark Loman表示，企業可能有成千上萬台連線到公司網路的電腦，而在遠端勒索軟體中，只要一台設備保護不足，就足以危及整個網路。攻擊者知道這一點，所以會尋找『弱點』下手，而大多數公司中都至少有一個。遠端加密將是防禦人員必須持續面對的問題，而且根據所看到的警示，這種攻擊方法正在穩定增加。

這類攻擊涉及遠端檔案加密，傳統部署在遠端裝置上的反勒索軟體保護無法「看到」惡意檔案或其活動，因此無法阻止未經授權的加密和潛在的資料外洩。不過，Sophos CryptoGuard技術採取創新的方式來阻止遠端勒索軟體，正如Sophos X-Ops文章所解釋的：分析檔案內容，檢查是否有任何資料被加密，以便在網路的任何裝置上偵測出勒索軟體活動，即使該裝置上沒有惡意軟體。

在2013年，CryptoLocker是第一個大量使用遠端加密和非對稱加密(也被稱為公開金鑰加密)的勒索軟體。從那時起，由於全球組織普遍存在安全漏洞以及加密貨幣出現，攻擊者更頻繁地使用勒索軟體了。

Loman表示，10年前，當首次注意到CryptoLocker利用遠端加密時，就預見到這種手法將成為防禦人員的一大挑戰，而其他解決方案都只專注於偵測惡意二進位檔案或執行的動作。在從遠端加密的情況下，惡意軟體是存在於一台未受保護的電腦，而非檔案被加密的電腦。唯一阻止它的方式是監視並保護這些檔案。這就是為什麼研發了CryptoGuard。

CryptoGuard並不會尋找勒索軟體；相反地，它把重心放在主要目標，也就是檔案。它會對文件進行數學運算，偵測其是否被竄改和加密。值得注意的是，這種獨立作業的策略刻意不依賴入侵指標、威脅特徵、人工智慧、雲端查找結果或先前的情報，以達到預期效果。透過專心監控檔案，Sophos可以改變攻擊者和防禦者之間的平衡。讓攻擊者成功加密資料的成本和複雜性增加，放棄原本的目標。這是Sophos非對稱防禦策略的一部分。

遠端勒索軟體對組織來說是一個重要的問題，也是勒索軟體長期存在的原因之一。由於透過連線讀取資料要比從本機磁碟讀取慢，Sophos看到像LockBit和Akira等攻擊者會策略性地僅加密每個檔案的一小部份。這種方法的目的是在最短時間內造成最大的破壞，進一步縮小防禦人員察覺攻擊並做出反應的空窗期。Sophos的反勒索軟體技術可以阻止遠端攻擊，以及這類僅加密檔案的3%的攻擊。希望提醒防禦人員注意這種持續的攻擊方法，讓他們能夠適當地保護裝置。

原文連結：https://www.netadmin.com.tw/netadmin/zh-tw/snapshot/9277E5BC057443998FEC2F15EA776F34