自疫情以來,醫療保健行業面臨多方挑戰下成為重點網絡攻擊目標。Barracuda 一項調查發現,83%的香港醫療保健受訪機構表示自採用遙距工作模式以來,曾經發生至少一次數據外洩或網絡安全事故,而 67%指旗下員工遭受電郵網絡釣魚攻擊的次數增加,情況嚴重。而就 Maze 勒索軟件針對醫療保健行業的威脅,國際刑警組織向全球發出警告。勒索軟件並非新型網絡攻擊手法,但在持續演變下尋找全新攻擊漏洞和適應安全系統,非常危險。
Maze 勒索程式以往被稱為 ChaCha 勒索軟件,在 2019 年 5 月首次被發現,同年 11 月演變為更具攻擊性的網絡攻擊,竊取、加密和勒索三管齊下。
Maze 攻擊有多個步驟:
- 數據洩露 — 攻擊者一旦獲得電腦的訪問權限就會輸出數據,用作最後階段的攻擊。
- 刪除備份 — 當勒索軟件開始執行,備份和陰影複製 (shadow copy) 會被刪除,然後掃描特定類別的副檔名進行加密。
- 加密 — Maze 會以 ChaCha 的演算法去加密文件,然後使用 RSA-248 對 ChaCha 密鑰 重新加密。每個加密文件會以隨機的副檔名去重新命名。
- 要求贖金 —文件被加密後,Maze 會在受影響的目錄中創建一個名為 DECRYPT FILES.txt 的贖金要求,當中會提供說明和技術支援鏈接指示受害者支付贖金。
- 威脅披露 — 受害者會被勸喻支付贖金,否則可能要承受資料被披露的風險,而所發布的資料可能是所有被洩露的數據,又或是足以證明機構受到入侵的數據。
其中一宗最大的醫療機構被駭客披露數據事件來自美國的 Medical Diagnostics Laboratories (MD Lab)。當 MD Lab 拒絕支付贖金,駭客就發佈了 9.5GB 的研究數據,企圖脅迫機構與 他們談判。與其他罪犯一樣,即使支付了贖金,我們也不能相信 Maze 攻擊者會提供解密的密 鑰,或不會發布和出售洩露數據。
大型攻擊計劃的一部分
在整體攻擊計劃中,Maze 實際上位於第二或第三階段。 根據聯邦調查局(FBI)的報告顯示, Maze 項目的初始攻擊有不同形式,其中可能包括:
∙ 魚叉式網絡釣魚活動誘騙用戶提供登人憑證或下載惡意檔案。
∙ 利用惡意網站收集受害人的認證資料或在他們的電腦上安裝漏洞利用工具包或其他惡 意文件。 這些網頁可能偽裝是政府網站或與 COVID-19 相關網站。
∙ 包括已受感染附件或包含惡意 URL 的垃圾郵件活動。
國際刑警表示只在疫情相關的網絡釣魚電子郵件中觀察到 Maze 對醫療保健行業的攻擊,當中包括在郵件正文或附件中包含惡意鏈接到惡意軟件。
最近研究顯示,與其他犯罪工具比較,網絡罪犯仍然傾向使用勒索軟件。 由於疫情關係,不少企業採用遙距工作模式,員工可能缺乏與辦公室相同級別的電子郵件保護功能,因此更容易受到網絡攻擊。 為保護企業免受勒索軟件的威脅,機構應該部署多層的安全防禦,並確保全面的數據保護。 儘管勒索軟件攻擊可以通過多種方式進行,但電子郵件是此威脅的主要途徑。 電子郵件保護應包括反網絡釣魚技術和安全意識培訓去幫助用戶可以在收件箱識別這些 攻擊。
撰文:Barracuda Networks 亞太區副總裁 James Forbes-May