微軟報告：80%勒索軟件攻擊出自云計算服務(wù)配置錯誤

微軟本周發(fā)布最新網(wǎng)絡(luò)安全報告，顯示八成的成功勒索軟件攻擊，原因出于受害者軟件或終端設(shè)備配置不當，讓惡意程序乘虛而入。

微軟最新的《Cyber Signal》報告是根據(jù)微軟搜集的43兆個安全信號，以及8，500位安全專家提供的意見整理而成。今年的計劃把重點放在勒索軟件即服務(wù)（Ransomware-as-a-service，RaaS）以及網(wǎng)絡(luò)犯罪經(jīng)濟。

報告指出，雖然勒索軟件屢成新聞頭條，但其實底層只是很少數(shù)的一群人互相連接推動這犯罪經(jīng)濟。而網(wǎng)絡(luò)犯罪經(jīng)濟的?；凹梢泊俪蒖aaS成為主流商業(yè)模式，也讓各種罪犯得以部署勒索軟件。

經(jīng)過發(fā)展，現(xiàn)在在RaaS上，罪犯可以購買勒索軟件使用權(quán)、訪問竊得的受害者資料，或是使用支付網(wǎng)絡(luò)。暗網(wǎng)可以輕易找到多種兜售的RaaS組件，這些組件可能還有不同組合、客戶服務(wù)及用戶評級、論壇及其他功能。它也有不同商業(yè)模式，有的是固定價格，有的則提供合伙（affiliate）分潤模式（下圖）。勒索軟件生態(tài)系統(tǒng)也是不斷流動，例如在Conti關(guān)閉后，其合伙人疑似轉(zhuǎn)到LockBit和Hive。但是Conti關(guān)閉后留下的真空，又有新RaaS如Quantum Locker及Black Basta來填補。

圖片來源／微軟

將角度轉(zhuǎn)向受害者，這份報告列出招致勒索軟件成功攻擊的4種禍因。第一是密碼失竊及線上身份防護不佳，幾乎所有成功的勒索軟件攻擊，黑客都能訪問到管理員賬號而在受害網(wǎng)絡(luò)上橫向移動。其次是欠缺安全產(chǎn)品或是配置錯誤，幾乎每次勒索軟件事件，都有安全產(chǎn)品未發(fā)生作用，令攻擊者得以關(guān)閉防護。

第三原因是特定應(yīng)用程序配置錯誤或是遭黑客濫用，尤其用戶害怕改壞，而使用默認或“舊式”的應(yīng)用程序配置，反而讓攻擊者在公司網(wǎng)絡(luò)上橫行無阻。報告指出，超過80%的勒索軟件擊都可以歸因為軟件和設(shè)備配置錯誤。最后一項因素是修補程序太慢；2022年，最好的例子是Log4j軟件漏洞（Log4Shell）修補太慢，迄今仍不時傳出遭勒索軟件利用以黑入企業(yè)網(wǎng)絡(luò)。

針對4項原因，微軟建議，企業(yè)應(yīng)激活多因素驗證來防止身份（帳密）資料失竊、驗證網(wǎng)絡(luò)安全工具的配置、移除重復(fù)或不常使用的應(yīng)用程序，也要小心使用TeamViewer這種遠程支持工具，以及清查軟件，確保所有軟件都在最新版本。

除了RaaS外，這份報告其他資訊是關(guān)于釣魚信件；一旦用戶不幸上了釣魚信件的當，攻擊者取得用戶私密資料的時間中位數(shù)是1小時12分鐘。而如果企業(yè)設(shè)備被黑，攻擊者在公司網(wǎng)絡(luò)橫向移動的時間中位數(shù)，為1小時42分。