Sophos CryptoGuard技術最新研究揭示
網絡勒索組織蓄意發動遙距加密攻擊次數急增至每年 62%
Sophos 是創新和提供新一代網絡安全即服務的全球領導者,今天發布最新《CryptoGuard:應對勒索軟件攻擊的非對稱式防禦策略》報告,結果顯示近期最活躍且具影響力的勒索軟件組織 如Akira、ALPHV/BlackCat、LockBit、Royal 和 Black Basta 等,均蓄意以遙距加密方式策動網絡攻擊。借助遙距勒索軟件,不法之徒將針對曾遭入侵且缺乏保護的端點,並利用已連線至相同網絡的其他裝置加密數據。
Sophos CryptoGuard 為 Sophos 於 2015 年*所收購的反勒索軟件技術,而該技術現已整合至所有 Sophos 端點之中。CryptoGuard能有效監測不法之徒對檔案進行惡意加密等行為,並提供即時保護和檔案修復等功能。即使面對未曾出現於主機的勒索軟件,CryptoGuard亦同樣能提供周全保護。透過Sophos獨有的反勒索軟件技術將作為Sophos 多層式端點保護解決方案的「最後防線」,每當攻擊者觸動攻擊鏈,相關技術將會即時啟動。自 2022 年起,CryptoGuard針對網絡勒索組織蓄意發動的加密攻擊偵測成功率按年增幅為62%。
Sophos 威脅研究副總裁兼 CryptoGuard 共同研發人 Mark Loman 表示:「現時,企業有着過千的電腦連線至主網絡,面對層出不窮的遙距加密軟件,只要有其中一部電腦設備出現漏洞,則有機會危及整個網絡。由於大部分企業至少會有一個「漏網之魚」,攻擊者將視之為『弱點』,而此類攻擊手法亦將持續增加,故此企業必須正視問題。」
由於此類攻擊涉及遙距檔案加密,而傳統的反勒索軟件往往無法偵測惡意檔案或活動,因此無法阻止未經授權的加密和外洩行為。有見及此,Sophos CryptoGuard 技術借助創新形式,透過分析檔案內容以檢查曾否遭數據加密。即使裝置沒有被安裝惡意軟件,此技術均能於網絡的任何裝置上偵測出勒索軟件活動。
於 2013 年,CryptoLocker 為全球首個利用非對稱加密(亦稱為「公鑰加密」)進行遙距加密攻擊的量產型勒索軟件。從那時起,由於全球企業普遍存在安全漏洞及加密貨幣的掘起,網絡攻擊組織則頻繁使用此軟件。
Sophos 威脅研究副總裁兼 CryptoGuard 共同研發人 Mark Loman 續指:「十年前,我們首次注意由 CryptoLocker發起的遙距加密攻擊,並預料該手法將為防禦人員所帶來的挑戰,而坊間的其他解決方案則只專注於偵測惡意二進制檔案或其他攻擊行為。從遙距加密的情況下,惡意軟件往往於未經保護的電腦內被發現,而非檔案被加密的電腦。唯一能阻止該類攻擊的方式是監視並保護檔案,而這是我們研發 CryptoGuard的原因。」
「CryptoGuard不會追擊勒索軟件,反而把重心放在檔案保護,並透過數學運算以偵測檔案是否遭竄改或加密。當中,這種獨立運作的策略刻意不依賴入侵指標、威脅特徵、人工智能、雲端找出結果或取得情報。透過專注於檔案監測,我們可改變攻擊者和防禦者之間的平衡,讓攻擊者成功加密的成本和複雜度大增,令他們放棄原本打算攻擊的目標。這是我們非對稱防禦策略的一部分。」Mark Loman補充。
「企業視遙距勒索軟件為重大風險,亦是勒索軟件變得難而應對的原因之一。由於透過連線讀取數據較存取本機磁碟的形式需更長時間,像 LockBit 和 Akira 等攻擊者則只加密每個檔案的一小部份,期望以最短時間內造成最大破壞,進一步縮短防禦人員察覺攻擊並做出反應的時間。Sophos 的反勒索軟件技術可阻止遙距攻擊,以及這類僅加密檔案3% 的攻擊。我們希望提醒防禦人員提放這種持續的攻擊模式,讓他們能夠適當保護裝置。」
如需了解更多資訊,請到 Sophos.com瀏覽《CryptoGuard:應對勒索軟件攻擊的非對稱式防禦策略》報告。
發表迴響