11國聯手瓦解勒索集團「Lockbit」 全球部署最多的惡意軟體
勒索軟體是什麼?
勒索軟體(Ransomware)是一種透過破壞受駭者存取權限,並向受駭者要求贖金的惡意軟體或程式碼,目前主要的勒索軟體可分類為「非加密型勒索軟體」與「加密型勒索軟體」。
「非加密型勒索軟體」是將受駭者的資訊設備鎖起來,破壞受駭者對設備的存取權;「加密型勒索軟體」是將加密受駭者硬碟上的檔案,破壞受駭者對資料的存取權,通常要求受駭者以加密貨幣支付贖金,以取回檔案的存取權。
從個人到政府機關及企業組織皆可能成為被攻擊的對象,近年來逐漸成為嚴重的資安威脅之一。
Lockbit是什麼?
Lockbit過去被稱為「abcd」,在2019年首次被觀察到,據美國網路安全和基礎設施安全局(CISA)公布,2022 年,LockBit 是全球部署最多的惡意勒索軟體,2023年繼續橫行, 造成了全球所有勒索軟體事件的44%。直到今(2024)年被英國國家調查局、美國FBI等全球11個執法單位破獲。
LockBit 勒索軟體作業採用勒索軟體即服務 (RaaS) 模式,招募附屬機構使用LockBit勒索軟體工具和基礎設施進行勒索軟體攻擊。
LockBit 控制受感染的系統、收集網路資訊、竊取和加密資料,要求受害者支付贖金解密,並威脅不從則將公開數據。雖然支付贖金後資料不會被公開,但LockBit被偵破後執法單位發現它並沒有刪除受害者資料。
LockBit造成多大危害?
全球包括美國跟英國在內有超過2000名受害者、付出超過1.2億美元贖金,衝擊層級從政府單位到學校等,連重要的緊急救助單位也不放過。
台灣許多企業也曾被勒索,最知名的包括半導體公司京鼎,以及台積電供應商擎昊。
勒索軟體受害者如何自救?
若感染勒索軟體,國家資訊安全研究院指出,應立即中斷受駭主機網路連線並隔離,避免災情擴大,若發現主機中的檔案正在被惡意程式加密,應立即關機讓被加密的檔案降低到最少。
也能嘗試使用信任來源的解密工具解密,並保存受駭主機以提供分析環境,請求專家協助或報警處理;或者重灌系統,讓主機回復成乾淨的原始狀態,重灌前確認受駭時主機的風險與狀態,以免重灌後因同樣漏洞再感染。
此外,「No More Ransom計畫」為由荷蘭國家警察高科技犯罪單位(National High Tech Crime Unit of the Dutch' Police)、歐洲刑警組織歐洲網路犯罪中心(Europol's Europe Cybercrime Centre)卡巴斯基(Kaspersky)及麥考菲資安公司(McAfee)共同創立的「反勒索病毒平台」,提供民眾點取連結進入資料庫免費索取各種解鎖工具,不再需要支付贖金。
我國內政部警政署刑事警察局也在2019年4月成為No More Ransom計畫的合作夥伴,民眾可從刑事警察局官網上的犯罪預防選單,找到「反勒贖病毒平臺」的選項,即可連至No More Ransom網站。
