【資安快訊】遭遇加密勒索攻擊,你應該要注意這些事!

從2021年1月起,發現大量亞洲語言(韓文)的社交工程攻擊,特別是Sodinokibi的加密勒索家族,攻擊案例極多。而今晚幫忙處理的加密勒索攻擊,已經是我這個月內接到第5個加密勒索攻擊與贖金的處理案例。

文©劉得民 老師

今晚的案例,是GlobeImposter 家族的攻擊。

在國際上,2020年以前的加密勒索攻擊,多為英文或西文的社交工程攻擊方式,或是RDP/VNC/SMB的漏洞與弱密碼入侵。不過從2021年1月起,開始發現大量亞洲語言(韓文)的社交工程攻擊,特別是Sodinokibi的加密勒索家族,攻擊案例極多。據此推論,加密勒索攻擊的APT組織,很可能開始發展「區域語言的攻擊」包括韓文、日文、繁體中文、簡體中文、泰文、越南文、緬甸文等等的區域性社交工程攻擊。

若想避免加密勒索攻擊,要特別注意以下四個原則:

(1)落實檔案備份,321原則。

(2)網路主機,除更新漏洞外,需關閉 VNC/RDP/SMB服務,若無法關閉這些服務,應限制存取IP位址(白名單方式)與限制執行程式清單(白名單方式)

(3)防毒軟體可能無法在第一時間,阻斷加密勒索與APT組織攻擊。因此,本機電腦的防護系統(Local host Protecrion),除防毒系統之外,要考慮第二層防護機制。

(4)分析並監控網路封包活動,包括連結外網的異常通訊,與內網SMB的異常封包。建議採用NSPA的分析技巧,NSPA-Skills,可以早期察覺異常通訊封包。

 


劉得民 老師

中華民國網路封包分析協會理事長
專長:C/C++程式語言設計、網路犯罪封包鑑識分析、資料數學模式分析、工業設備SCADA資安系統

>
最新消息
實體課程
線上真人課程
數位學院課程