【勒索經濟學】Microsoft報告揭網絡勒索「產業化」低技術罪犯均可進行勒索

勒索軟件盛行，成為世界各地機構面臨的最大網絡威脅之一，除了會令數據洩露、盜取外，甚至導致服務中斷。香港生產力促進局引述數據顯示，去年全球勒索軟件攻擊數量按年急升 1.05 倍至 6.2 億次。而根據香港警方數據，今年上半年接獲逾萬宗網絡罪案，較去年升四成，損失金額涉及逾 15 億港元。

而 Microsoft 香港將於其年度「網絡安全研討會」分享網絡安全的趨勢及企業需知的解決方案。

然而，Microsoft 近日公佈第二期網絡威脅季度報告 Cyber Signals，揭示一項新趨勢 — 勒索軟件即服務（ransomware-as-a-service，RaaS），並成一種佔主導地位的攻擊模式。而 RaaS 更令勒索「產業化」，產生多個「專業」角色，如專責販賣網絡流量經紀；即使罪犯並不擁有任何數碼技術專長，均可部署勒索軟件。受到釣魚電子郵件攻擊後，約一小時就能讀取受害者個人資料。

RaaS 產生多個專業角色

報告以勒索經濟學（Extortion Economics）為題，指網絡犯罪分子正由主動攻擊轉為出租或出售勒索軟件工具以獲取部分利潤，而 RaaS 特點是允許網絡犯罪分子，購買對勒索軟件有效載荷（payload）和數據洩露，以及支付基礎設施的訪問權限。

這種網絡犯罪逐漸產業化，並產生多個專業角色，如專責販賣網絡流量的經紀。報告提到，現時單一的網絡攻擊事件，在入侵的不同階段中均可牽涉多個犯罪份子，並使用多個 RaaS 平台，如 Conti 和 REvil。

Microsoft 香港網絡安全產品營銷經理高禎（Adelyn Koh）表示，RaaS的特點是令攻擊產業化，大大降低攻擊的門檻，「只要有張信用卡、有部電腦就可以做到。」

報告亦發現，超過八成勒索軟件攻擊，可歸因於常見的軟件及裝置配置失誤。如果企業成為網絡釣魚電子郵件的受害者，攻擊者訪問個人資料的需時中位數是 1 小時 12 分鐘；而當裝置遭入侵後，網絡攻擊者開始在企業網絡內移動的的需時中位數為 1 小時 42 分鐘。

高禎坦言，多數情況下企業都難以察覺內部網絡已經被入侵，如攻擊一般在長假期間發生，企業難以每分每秒去監測。而 RaaS 亦令勒索軟件攻擊更加有策略性，除了向受害者勒索款項外，大多數的 RaaS 程式都會洩露被盜數據，稱為雙重勒索（double extortion）。而企業就可利用人工智能（AI）及具有自動化技術的方案，來加快偵測黑客攻擊，從而有效地作出應對威脅的方法並加強安全防護。

勒索軟件可以避免

報告重申，勒索軟件攻擊是可以避免，建議企業可建立認證處理機制、核實認證、減少可能被攻擊的範圍、保護雲端資源及身份認證、更有效防止網絡攻擊者首次入侵，以及修補安全盲點。

舉例說可對所有賬戶實施多重要素驗證（MFA），優先考慮管理員和其他敏感角色，如要求採取混合多種模式的員工，在所有的設備、地點，及任何時候都要進行 MFA；而安全產品必須安裝在正確的位置，並經常進行測試；考慮刪除重複的或未使用的應用程式，以及定時更新系統等等。

Microsoft 致力維護網絡安全，並為未來 5 年投放 200 億美元進行技術研究及抵禦網絡攻擊，每日 24 小時全天候偵測及分析 43 兆個威脅信號，以及集合由逾 8,500 個 Microsoft 專家（包括威脅狩獵者、搜證人員、惡意軟件工程師及研究人員）所提供的情報，以掌握第一手資訊，了解不同企業正面對的挑戰，致力運用情報協助企業作好準備，預防及消除勒索威脅。

在去年 7 月至今年 6 月期間，Microsoft 數碼罪行團隊（Digital Crime Unit）已移除超過一萬條網絡釣魚連結及 5,400 個網絡釣魚工具，並發現及關閉超過 1,400 個用作收集被盜用身份的惡意電郵帳號。

高禎就建議企業，首先要做好準備，抵禦可預見的攻擊，如設立零信任架構、將資料備份，定期檢視及管理憑證，萬一受到攻擊，都要預先思考如何應對，就可以有較全面的保護。

Microsoft 香港將於 11 月 15 日於尖沙咀凱悅酒店舉辦年度「網絡安全研討會」（Cybersecurity Summit），屆時將邀請來自不同機構的網絡安全專家分享網絡安全性的最新動向、客戶案例，以及抵禦黑客人侵或攻擊相關的解決方案。

如欲參與網絡安全研討會了解最新趨勢，歡迎瀏覽以下網址︰https://aka.ms/CybersecuritySummit2022_wepro

報告全文可於這裡下載：Cyber Signals (microsoft.com)