勒索軟件的新陣線 揭露香港面臨的最新威脅

近期的勒索軟件事故

2023年8月，香港數碼港管理有限公司在收到勒索軟件攻擊後，向警方和隱私監察機構報告^[1]。最初的漏洞是由於黑客暴力攻擊取得了管理員的憑證，並透過RDP協議存取網路。隨後，他們使用憑證轉儲和其他方法入侵了另外三個管理員帳戶，從而可以在網路內橫向移動、停用防火牆保護和停止反惡意軟件程式。最後，多台伺服器和網路儲存設備被入侵。

2023年9月，由於消委會允許員工在無多重認證的情況下遠端連接網絡，黑客組織ALPHV取得消委會某一個具管理員權限的帳戶^[2]，透過VPN進入消委會網絡，並於9月19至20日部署勒索軟件，加密93個系統及入侵11個伺服器和端點設備，導致超過450人的個人資料遭未授權訪問。

2023年9月，香港桂冠論壇委員會的系統也遭受勒索軟件攻擊^[3]。由於資訊系統管理不善及缺乏安全措施的監控，黑客利用暴力攻擊取得具有系統管理員權限的帳號憑證，並利用該憑證透過防火牆的虛擬私人網路區進入桂冠的伺服器。黑客隨後於桂冠論壇的網絡內進行橫向移動及放置勒索軟件”Elbie“，加密了一組伺服器及七個端點裝置的檔案的文件。因數據備份方案不足，黑客還損壞了備份資料，導致 8,122 人的敏感資料外洩。

2023年10月，黑客利用芭蕾舞團的伺服器上過時的運作軟件的漏洞^[3]，進入芭蕾舞團的網絡。隨後透過各種惡意工具及軟件 ，包括轉儲憑證工具及遠端存取工具，取得管理員及用戶的帳戶密碼，並在其網絡內進行橫向移動並放置勒索軟件” LockBit” ，導致儲存在芭蕾舞團資訊系統內的檔案被加密，黑客竊取了大約 37,840 名人士的敏感資料及檔案，包括芭蕾舞團的僱員、求職者、訂購門票者、客席藝術家、活動參加者、捐款者、贊助者及供應商。

2024年4月，香港專業進修學校遭到黑客的勒索軟件攻擊^[4]，約450GB的文件被洩露，其中包括校園管理、財務管理、學生活動等資訊。事後針對此次攻擊分析，發現網路保全漏洞，包括一個員工URL和18個用戶URL容易被黑客滲透。這個漏洞使他們成為RansomHouse採用資料竊取和勒索策略的主要目標。

2024年4月份，位於大圍的香港仁安醫院的電腦系統發生了類似的事件。黑客使用"LockBit"的勒索軟件進行攻擊，大量文件被加密以索取贖金^[5]。這次勒索軟件事件是透過網路釣魚電子郵件活動發生的。黑客製作了看似來自可信任來源的合法通訊的電子郵件，其中包含惡意連結和附件。當員工點擊惡意連結或開啟受感染的附件時，就會觸發LockBit勒索軟件的下載和執行。

勒索軟件入侵途徑

近幾個月來，香港的勒索軟件攻擊事件激增，多宗事件擾亂了各行各業的企業和機構。攻擊者部署了一系列複雜的攻擊負載，滲透目標系統。香港網絡安全事故協調中心（HKCERT）分析了這些事件，並識別出目前勒索軟件的入侵途徑，現概述如下：

1. 釣魚電郵：傳送勒索軟件有效負載的惡意附件或連結。
2. 遠端桌面協定(RDP)漏洞：利用薄弱或受損的RDP憑證。
3. 漏洞利用：攻擊者通常利用軟件、資料庫和中介軟件中未修補的漏洞。
4. 偷渡式下載：透過受損或惡意網站發起的惡意下載。
5. 惡意廣告：導致勒索軟件下載的惡意廣告。
6. 供應鏈攻擊：破壞第三方供應商以存取目標。
7. 暴力攻擊：猜測密碼以取得存取權限。
8. 利用設定錯誤的服務：透過錯誤配置的網路服務取得存取權。
9. 社會工程：操縱個人以取得存取權限或憑證。

勒索軟件攻擊的最新發展

香港網絡安全事故協調中心（HKCERT）在全面分析及近期研究勒索軟件事件後，發現勒索軟件攻擊的演變出現重大轉變。網絡罪犯不但採用新興的攻擊手法，對勒索軟件的部署方法也有新的理解。

1. 勒索軟件即服務（RaaS）：越來越常使用RaaS平台，讓較不複雜的攻擊者也能使用勒索軟件（如REvil、DarkSide、LockBit）。
2. 多重勒索：一種進階勒索軟件策略，攻擊者利用三種方法進行脅迫。
3. 加密資料：鎖定檔案並要求支付解密金鑰。
4. 資料竊取和公開發布：竊取資料並威脅如果不支付贖金就公開發布資料。
5. DDoS攻擊：對受害者的基礎設施發動分散式阻斷服務（DDoS）攻擊，進一步向受害者施壓，迫使其支付贖金。
6. 人工智慧和機器學習：利用人工智慧自動化和增強攻擊策略，提高攻擊效率。
7. 漏洞利用：越來越多地利用漏洞繞過傳統安全措施（如CVE-2020-0796、CVE-2021-34527、EternalBlue）；
8. 加密創新：攻擊者使用先進的加密技術，在不支付贖金的情況下增加解密難度。

預防建議

總而言之，2024 年香港面臨的勒索軟件威脅凸顯出攻擊的廣泛性和多樣性。從公共部門到私人企業，很少有部門能夠免受這些有組織的勒索軟件事件的影響。為了有效應對這些威脅，一般使用者和企業使用者需要加強意識並採取合適的網路安全策略。 HKCERT建議使用者保持警覺並採取適當的保護措施。

• 普通用戶：：
  1. 謹慎處理電郵：避免開啟來歷不明或可疑的電郵或附件。在點擊任何鏈接或下載附件前，應核實發件人的電郵地址。
  2. 使用強密碼：為所有帳號建立強大、獨特的密碼。例如，避免使用生日或常用字等容易猜到的資訊。
• 企業用戶：：
  1. 多因素身份驗證（MFA）：對所有帳戶，尤其是具有管理權限的帳戶，實施多因素身份驗證，以增加一層額外的安全防護。
  2. 風險管理：確保定期更新所有系統和軟件並打補丁，以防範已知漏洞。定期進行安全風險評估、漏洞掃描和滲透測試。
  3. 加強協定安全：如果不需要，停用遠端桌面協定(RDP)、遠端登入協定(Telnet)、檔案傳輸協定(FTP)等服務。使用虛擬私人網路(VPN)和強身份驗證方法限制訪問。定期進行軟件更新以修補協定服務的漏洞。
  4. 實施進階電子郵件安全：使用先進的電子郵件過濾和反釣魚解決方案來偵測和阻止惡意電子郵件，然後定期進行釣魚模擬演習來培訓員工。
  5. 部署端點偵測和回應（EDR）：啟用EDR實時監控和自動化反應措施，偵測包括惡意軟件在内的異常行為。 在所有端點安裝EDR，並根據威脅情報配置合理的檢測策略，在很大程度上提高對勒索軟件攻擊的偵測率，縮短回應時間，減少勒索軟件攻擊造成的損失。
  6. 網路分割：隔離關鍵系統和數據，限制勒索軟件的傳播。使用防火牆和存取控制來實施網路分割非常重要。
  7. 數據的加密存儲與數據備份及復原：加密敏感資料以確保其安全性並實施適當的存取控制、身份驗證和授權。定義明確的數據保留期限，並定期進行資料清理。對於重要數據，應定期保存離線備份，並建立必要的測試備份和復原程序，確保資料能夠快速復原。
  8. 事件回應計畫與使用者訓練與認知：定期制定、更新回應計劃，定期進行以勒索軟件防範為重點的網路安全訓練。

如想了解更多詳情或保安建議，可參考「齊抗勒索軟件」專頁 及保安博錄「揭開網絡犯罪服務的神秘面紗：數碼便利的陰暗面」 和 《中小企保安事故應變指南》。

如遇到網路保全問題，可聯絡香港網絡安全事故協調中心查詢或尋求協助。

參考資料

[1] https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r24_12170_c.pdf

[2] https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r24_14749_c.pdf

[3] https://www.pcpd.org.hk/tc_chi/news_events/media_statements/press_20240808.html

[4] https://ransomwareattacks.halcyon.ai/attacks/data-breach-alert-ransomhouse-targets-hong-kong-college-of-technology

[5] https://www.union.org/new/tc_chi/news/news_20240418.htm