亞信安全：鎖定中小企業勒索軟件新趨勢

勒索軟件 Ransomware已經成為一個突出的網絡安全威脅，他們往往會以加密文件的方式勒索高額的贖金。亞信安全在近日發佈警示：勒索軟件攻擊的發起者已經將攻擊延伸到中小企業(SMB)，因為中小企業往往不會像大型企業那樣部署複雜的安全解決方案，且與消費者相比，中小企業也更有能力支付贖金。對此，亞信安全建議：中小企業員工不僅要提高安全意識，按照3-2-1法則備份文件，而且企業應部署周密的網絡安全解決方案，通過偵測惡意文件和垃圾郵件並封鎖相關網址等技術，在各層面防禦勒索軟件帶來的威脅。

想像一家擁有少於50名員工的公司，某天公司主管收到了一封內嵌看似正常網址的電子帳單郵件，他們點擊鏈接而導致感染勒索軟件。不幸的是該公司並沒有備份信息，因此他們更傾向選擇支付贖金以解密文件，但這樣很可能會導致網絡犯罪分子在未來進行更多輪攻擊。

在近期發現的勒索軟件中，亞信安全發現最大的威脅來自TorrentLocker和CryptoWall，他們都屬於Ransomware的變種。亞信安全通過統計點擊TorrentLocker和CryptoWall相關電子郵件內惡意鏈接(2015年6月-7月)的用户類型，發現中小企業在受害者中的比例最高。其中，點擊CryptoWall相關電子郵件內惡意鏈接的用户大多數屬於中小企業用户。

亞信安全還發現，大多數TorrentLocker相關惡意網址仍然是由中小企業(46.36%)點擊，但消費者點擊的比例(42.15%)也居高不下。

攻擊往往在上班時間發動

由於勒索軟件攻擊主要以中小企業用户為主，因此不法分子更傾向在上班的時間來發動攻擊。亞信安全將用户點擊CryptoWall網址的時間數據(2015年7月初)整理成下圖，可以看到目標受害者一般在上午9點到下午1點之間點擊這些鏈接，與員工的上班時間恰恰吻合。

用來滲透企業用户的社交工程誘餌

今年大部分用於勒索軟件的社交工程(social engineering )誘餌都和企業活動相關。例如，CryptoWall會利用簡歷、訂單和護照作為其垃圾郵件主旨。對此，亞信安全業務發展總監童寧指出：“雖然CryptoWalll所用誘餌不會根據區域而有所不同，但TorrentLocker卻以針對區域定製化而知名，它們的社交工程誘餌會依受害國家設計，此類威脅通常會根據不同區域的特點，有針對性地假借郵遞服務、電信、公共事業和政府機構通知的名義來製作誘餌。”

據亞信安全主動式雲端截毒技術的反饋信息，澳大利亞(31.54%)、意大利(26.60%)和土耳其(20.40%)是TorrentLocker相關電子郵件攻擊最流行的三個國家，並且在這三個國家中，勒索軟件所使用的誘餌有很大的不同。

值得注意的繞過安全防禦戰術

勒索軟件將焦點變換到企業目標的一個重要證據是其所使用的閃避技術，部分TorrentLockerr變種具備自毀功能，以防止IT人員採集樣本建立安全措施。勒索軟件網頁還會要求用户使用驗證碼登錄，這讓自動抓取工具和沙箱技術更難識別惡意軟件樣本。同時，他們會選精心擇攻擊時間來攻擊更多的企業用户。而另一個被用在TorrentLocker和CryptoWall的戰術是利用淪陷網站來隱藏重新導向，進而避免在受感染系統上被偵測。

亞信安全建議：保護你的企業環境

在近幾年的演化過程中，勒索軟件已經從簡單的恐嚇軟件演化成會加密文件、系統的加密勒索軟件，最終達到讓受害者支付贖金的目的。由於勒索軟件攻擊會給不法分子帶來巨大的收益，因此有理由相信勒索軟件會持續改善其戰術，以感染更多的企業。