Coveware:RDP為勒索軟體入侵的主要管道
專門提供勒索軟體回應服務的Coveware公布了今年第一季的勒索軟體市場調查報告,指出市場上最主要的三大勒索軟體為Dharma、GandCrab與Ryuk,合計占總感染量的66%,且其主要入侵管道是遠端桌面協定(Remote Desktop Protocol,RDP),占總攻擊手法的63.5%,居次的是電子郵件網釣(30.4%),藉由軟體漏洞進行攻擊的比例只有6.1%。
Coveware的專長在於替受害企業評估勒索軟體的危害程度、風險及復原選項,並代替受害者與駭客協商贖金,取得解密金鑰之後再協助受害者解密檔案及復原系統,由於並不符合主流的「勿與駭客妥協」原則,因而很少被媒體提及,也因立場的不同,Coveware研究的方向或揭露的訊息亦與其它業者不太一致。
今年第一季最囂張的三大勒索軟體為Dharma(27.8%)、GandCrab(20%)與Ryuk(18.3%),主要的攻擊管道為遠端桌面協定(RDP),占所有攻擊手法的63.5%。RDP是微軟所開發的私有協定,允許使用者透過網路與圖形介面連結其它電腦,以執行遠端管理,它降低了技術支援服務的複雜度,同樣也成為駭客入侵企業的重要途徑。
駭客可以掃描及暴力破解企業的RDP憑證,或是在黑市購買外洩的RDP憑證,也能利用網路釣魚竊取RDP憑證。因此,不管是小型或大型企業,只要使用RDP且缺乏適當的安全機制,很容易就會淪為駭客的攻擊目標。
至於最受駭客青睞的產業別則是專業服務,如律師事務所或會計師,占今年首季勒索軟體攻擊的22.4%,居次的是軟體服務業者的17.2%,排名第三的健康照護產業佔了10.3%。雖然美國公部門遭到勒索軟體攻擊的消息不斷躍上新聞版面,但在Coveware的調查中,政府機關並未出現在最常遭到軟體攻擊的12個產業別中。
Coveware指出,勒索軟體的受害者有兩大成本,包括系統復原成本與停機成本,不管付不付贖金都需要復原系統,至於停機成本則約是贖金的5~10倍。今年第一季相關攻擊的平均贖金為12,762美元,比去年第四季的6,733美元多出了89%。
根據統計,當遭遇勒索軟體攻擊時,平均的停機時間為7.3天,高於去年第四季的6.2天,停機所造成的平均損失則是64,645美元。
調查也發現,支付贖金之後取得有效解密工具的比例高達96%,這些企業通常可成功恢復93%的檔案,恢復檔案的能力視勒索軟體而有所不同,例如若是被GandCrab加密,檔案復原率可接近100%,若是遭到Ryuk攻擊,最多只能恢復80%的檔案。
