東吳大學致力於提升資訊安全防護能量，成立全台首個「網路勒索攻擊應變小組」 ，邀請專注亞太威脅情資、勒索軟體防護的杜浦數位安全 (TeamT5) 共襄盛舉，以及星國資訊龍頭新加坡科技工程公司(ST Engineering)、台灣資安長協會、中華資通訊法律協會簽屬聯盟協議 ，共同面對日益猖獗的網路勒索攻擊事件。

「網路勒索攻擊應變小組」 將提供完整的因應對策，希望協助企業、組織在資安軟體與硬體設備、 資安威脅情資以及人員教育培訓上，提升防禦能量，有效保護商業資產與機密資料。

本次東吳大學「網路勒索攻擊應變小組」 成立儀式，由杜浦數位安全創辦人暨執行長蔡松廷代表參與。杜浦數位安全長期投入資安領域，擁有 一流的威脅情資研究與端點防護解決方案，致力協助政府與企業，對抗來自網路間諜團體的進階持續性威脅 (Advanced Persistent Threat, APT)。 

近年勒索軟體對企業、組織的攻擊事件頻傳，不僅影響日常營運，更造成鉅額損失。根據杜浦數位安全對亞太地區的 APT 駭客族群深入瞭解與研究，以及資安攻擊事件後續應變、追查的實務經驗，建議可從技術面與管理面， 採取應變措施，有效控制損害， 儘早恢復正常營運。

![teamt5-collaborates-with-scu_pic1.jpg](https://uploads.teamt5.org/upload/original/teamt5-collaborates-with-scu_pic1.jpg)
<center>杜浦數位安全創辦人暨執行長蔡松廷(右三)參與東吳大學「網路勒索攻擊應變小組」成立活動</center>

![teamt5-collaborates-with-scu_pic2.jpg](https://uploads.teamt5.org/upload/original/teamt5-collaborates-with-scu_pic2.jpg)
<center>杜浦數位安全創辦人暨執行長蔡松廷(右)與東吳大學潘維大校長(左)共同簽署合作協議</center>

杜浦數位安全與東吳大學合作 助全台首個「網路勒索攻擊應變小組」 成立

早期勒索軟體通常是透過木馬病毒，無方向性、任意擴散、亂槍打鳥，隨著網路下載檔案時入侵或經由系統漏洞進入被害者電腦。過去多數的被害者身分是一般民眾，他們一般處理的方式是默默支付約莫一千美元贖金，贖回電腦的解鎖。隨著網路威脅攻擊態勢的改變，威脅攻擊對象從個人移轉到企業為目標，攻擊手法也從隨機入侵變化為有目標性的入侵，這也就是所謂針對式的勒索軟體攻擊。


## 勒索軟體攻擊於 2019 年爆發式增長，至今沒有放緩跡象

近年來，攻擊態勢明顯改變，出現了針對型的勒索（targeted ransomware），攻擊發起時就鎖定目標，對象多是大型企業，駭客入侵後通常不會立即加密一台電腦，而是想辦法取得系統存取的最高權限，然後一次安裝勒索軟體在企業內所有電腦，時間到就全部進行加密、癱瘓企業，一次勒索金額甚至可高達五千萬美元（相當於新台幣十四億元）。

隨著加密貨幣流行的興起，駭客集團也隨之運用加密貨幣中心來掩護不法現金流追查，同時此行為也愈來愈猖獗，甚至引發美國政府主動採取對抗勒索軟體的決心，其中加強加密貨幣監管視為其中之一對抗的目標，還有就是這幾年網路所流傳的非主流服務，勒索軟體即服務（Ransomware as a Service，簡稱 RaaS）商業模式的出現，此現象也誘使更多犯罪團體發起勒索攻擊的行為。

今年五月區塊鏈研究機構 Chainalysis 發布[《2021 勒索軟體年中的重大事件報告》](https://blog.chainalysis.com/reports/ransomware-update-may-2021/)，提及 2019 年是勒索贖金急遽增長的關鍵指標，從 2019 年第一季平均六千美元的贖金金額，延續至 2021 年第一季，平均贖金已高達五萬四千美元，此金額倍數般的驚人成長，尤其被駭客集團所盯上的高科技產業，例如 2021 年 REvil 陸續成功駭入宏碁與廣達，則被駭客獅子大開口要求支付五千萬美元贖金，不論最終企業是否支付，鉅額贖金儼然已成為常態。

![202109_1改.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1632897561/202109_1_e46dc8cfb4.png)
_表一、各季平均已知勒索支付金額。資料參考自 [Chainalysis Insights](https://blog.chainalysis.com/reports/ransomware-update-may-2021/)。_

 

## 防駭如防疫，唯有「全面防堵」

一般企業軟硬體網路環境多數建置是以辦公事務性為用途，而不是為了抵禦外部網路攻擊而部署，但駭客族群工具就是以攻擊目的為出發點，通常企業一旦被駭客針對鎖定了，它就會持續不斷的攻擊直到成功入侵為止，然後對企業進行勒索，這是非常難以防止。如何讓企業內外系統有密實的防護牆，是企業需考量的防禦重點。TeamT5 杜浦數位安全建議，企業必需有「全面防堵」的觀念，在企業內部設立層層的防護關卡，在每一個環節做到有效的預防、偵測和阻擋。因此，TeamT5 鼓勵企業朝向「全面防堵」的觀念進行安全部署，即使某些防禦層被入侵，系統其他防護機制一樣可以迅速接手防禦，並且企業依舊保有持續營運，因此「全面防堵」的觀念如同防疫，需同時包含隔離觀察、症狀監控、阻止傳播、快速應變隔離確診者等，缺一不可。

 

## 獨家人工智慧引擎，監控新進程式

TeamT5 全新一代的 ThreatSonar Anti-Ransomware 威脅鑑識分析與回應平台解決方案，除了具備 APT（Advanced Persistent Threat，進階持續性攻擊）惡意威脅鑑識與防護功能外，更新增面對勒索軟體攻擊的全面防堵解決方案，這個方案是透過我們的獨家人工智慧引擎，能判斷可疑或新進的外來程式，透過隔離與權限控管方式，由零信任（zero trust）開始，逐步提高對新進程式的信任值，這就如同 COVID-19 防疫針對入境者，均須透過 14 天隔離期相同的觀念，做為第一道防線，為企業進行把關。

![teamt5-proactive-ransomware-containment-technology-effectively-defends-against-ransomware-attacks_CH_pic2_update.jpg](https://uploads.teamt5.org/upload/original/teamt5-proactive-ransomware-containment-technology-effectively-defends-against-ransomware-attacks_CH_pic2_update.jpg)
_圖一、ThreatSonar Anti-Ransomware 人工智慧引擎_

 

## 雙重防護，即時自動阻斷

面對勒索軟體的加密攻擊階段，ThreatSonar Anti-Ransomware 亦提供雙重防護，分別為應用程式控制與勒索陷阱，ThreatSonar Anti-Ransomware 的獨家人工智慧引擎可以偵測出哪些應用程式應該開啟什麼類型檔案，例如文件檔案通常是由文書編輯程式所開啟，若有異常程式嘗試存取文件檔案，系統便會自動偵測並予以即時阻斷。另外 ThreatSonar Anti-Ransomware 也會佈下了許多偽裝的文件檔案，當作誘捕陷阱，當惡意程式試著開啟此類檔案，同樣的也會被偵測並強制中斷惡意程式繼續運行。

 

## 加密了! 檔案還原

ThreatSonar Anti-Ransomware除了能阻斷勒索軟體攻擊外，TeamT5的獨家技術，還可偵測駭客進行惡意破壞備份行為，有效保護重要文件資料，以確保企業成功還原檔案。

![202109_3.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1632815198/202109_3_2adafecde5.png)
_圖二、TeamT5 獨家技術有效確保企業成功還原檔案_

 

## 掌握情資，制敵機先

防駭跟防疫有許多共通之處，要對抗的都是「人」，使用單一解決方案通常效果有限，因為時間久了，就算有效果也會被繞過，譬如不能只單靠疫苗，因為病毒會持續變種，更何況駭客是人，他們也會適應與變化，不斷產生新的攻擊手法與技術。

TeamT5 掌握亞洲領先情資，持續研究與追蹤各大勒索軟體族群的最新手法，有效預測未來攻擊，透過充分掌握與不斷更新，TeamT5 最新一代 ThreatSonar Anti-Ransomware 將是您最佳的選擇，請即刻與我們聯絡。

> 連絡免費諮詢：[https://teamt5.org/tw/request-information/](https://teamt5.org/tw/request-information/)

 

# 參考資料 

[1] https://www.afcea.org/content/sponsored-81-ransomware-statistics-data-trends-and-facts-2021

[2] https://www.varonis.com/blog/ransomware-statistics-2021

[3] https://blog.chainalysis.com/reports/ransomware-update-may-2021/

有效抵禦勒索軟體攻擊，唯有「全面防堵」

初期のランサムウェアは通常トロイの木馬ウイルスを通じて不特定多数に向けて任意に拡散され、インターネット上からファイルをダウンロードした際に侵入するかシステムのセキュリティホールを通じて被害者の PC に侵入するものであった。過去多数の被害者は一般ユーザーであり、一般的な対応方法は黙って約一千ドルの身代金を支払うことで PC の暗号化を解除していた。ネットワークの脅威攻撃状況の変化に伴い、脅威攻撃のターゲットは個人から企業に、攻撃手法もランダムな侵入からターゲットを定めた侵入へと変化した。これが標的型のランサムウェア攻撃である。


## ランサムウェア攻撃は2019年に爆発的に増加し、これまでに鈍化した形跡はない

近年、攻撃の状況は顕著に変化し標的型のランサムウェア（targeted ransomware）が出現した。攻撃を行う時にターゲットを定め、その多くは大企業である。通常、ハッカーは侵入後すぐに単体の PC を暗号化するのではなく、システムにアクセスする最高権限を取得しようとする。そしてランサムウェアを企業内のすべての PC にインストールし、時間が来るとすべてに対し暗号化を行い、企業の機能を麻痺させる。1回の身代金要求金額は5千万ドルにも及ぶ（14億台湾元に相当）。

暗号通貨の流行に伴い、ハッカーグループも違法なキャッシュフローの追跡調査から逃れるために暗号通貨センターを利用するようになった。それと同時にこの行動はますます猛威を振るい、米国政府がランサムウェアに対抗措置を取ることを決定するまでに至った。その中で暗号通貨の監視を強化することは対抗策の目標の一つと見なされ、更にこの数年で伝播した違法なサービスとしてのランサムウェア（Ransomware as a Service、略称 RaaS）というビジネスモデルの出現により、更に多くの犯罪グループによる恐喝攻撃の実行を招いている。

今年5月、ブロックチェーン研究機構 Chainalysis が発行した「2021年におけるランサムウェアの重大インシデントレポート」によると、2019年はランサムウェア攻撃が急激に増加した重要な指標であり、2019年第1四半期には平均6千ドルであった身代金の平均金額は、2021年第1四半期までに5万4千ドルに達し驚くべき成長を見せている。特にハッカーグループがターゲットとするハイテクノロジー産業においては、例えば2021年に REvil が Acer と Quanta Computer への侵入に相次いで成功し、ハッカーは5千万ドルの身代金支払いを要求した。最終的に企業が支払うかどうかは別としても、巨額の身代金額がもはや状態化している。

![teamt5-proactive-ransomware-containment-technology-effectively-defends-against-ransomware-attacks_JP_pic1](https://uploads.teamt5.org/upload/original/teamt5-proactive-ransomware-containment-technology-effectively-defends-against-ransomware-attacks_JP_pic1.JPG)
_表1. 各四半期の平均身代金支払額。資料の引用元は [Chainalysis Insights](https://blog.chainalysis.com/reports/ransomware-update-may-2021/)。_

 

## ハッカー攻撃の防御は感染症予防と同じく「全面防御」しかない

一般企業のソフト・ハードウェアのネットワーク環境の多くはオフィス業務の用途のために設定されたものであり、外部からのネットワーク攻撃に対抗するために配置されたものではないが、ハッカーたちが使用するツールは攻撃目的のために作られたものであり、通常企業がハッカーに標的にされると、その攻撃は侵入に成功するまで持続的に行われ企業に対して恐喝行為を行うため、防止するのが非常に困難である。内外システムにどのように防護壁を築くかが、企業の考慮すべき防御ポイントとなる。TeamT5 杜浦數位安全は、企業は「全面防御」の観念を必ず備え、企業内部に幾重にも重なる防護の関門を設け、すべてのステージにおいて効果的な予防、検知、遮断措置を行うことを推奨している。そこで、TeamT5 は企業が「全面防御」の観念に向けてセキュリティ対策を実施することを推奨する。仮に一部の防御層が侵入を受けても他の防護システムが迅速に防御をカバーすることで企業の持続的な運営を保持するのである。したがって「全面防御」の観念は隔離と観察、症状のモニタリング、拡散の阻止、陽性確定者を隔離する等の感染症対策と同様、どれも欠けてはならない。

 

## 独自の人工知能エンジン、新しいプログラムの監視

TeamT5 最新の ThreatSonar Anti-Ransomware の脅威の鑑識分析と対応プラットフォームによるソリューションは、APT（Advanced Persistent Threat、発展した持続的な攻撃）の悪意ある脅威識別と防御機能に加え、ランサムウェア攻撃に対する全面的な防御ソリューションを追加している。この方案は当社独自の人工知能エンジンに基づき、疑わしいあるいは新しいプログラムを判断し、隔離と権限制限の方式によってゼロトラスト（zero trust）から開始し、新しいプログラムに対する信頼度を次第に引き上げていくものである。これは COVID-19 の入国者に対する感染症対策が必ず14日間の隔離期間を設ける事と同じで、第一線で防衛ラインを敷き企業の関門を厳しくチェックすることである。

![teamt5-proactive-ransomware-containment-technology-effectively-defends-against-ransomware-attacks_JP_pic2](https://uploads.teamt5.org/upload/original/teamt5-proactive-ransomware-containment-technology-effectively-defends-against-ransomware-attacks_JP_pic2.JPG)
_図1. ThreatSonar Anti-Ransomware 人工知能エンジン_

 

## 二重の防護、即時自動遮断

ランサムウェアの暗号化攻撃段階に対し、ThreatSonar Anti-Ransomware はアプリケーションの制御とトラップによる二重防護も提供している。

ThreatSonar EDR の独自の人工知能エンジンは、各アプリケーションがどのようなタイプのファイルを実行するべきかを検知する。例えばドキュメントファイルは通常ドキュメント編集プログラムによって実行されるが、もし異常なプログラムがドキュメントファイルにアクセスを試みようとした場合、システムが自動で検知し、リアルタイムで遮断することが可能である。また、ThreatSonar Anti-Ransomware も多数のダミードキュメントファイルを配置しておびき寄せトラップの役割を果たしている。悪意のあるプログラムがこれらのファイルを実行しようとすると、同様にそれを検知し強制的に悪意のあるプログラムの動作を中断させる。

 

## 暗号化された！ファイルの復元

ThreatSonar Anti-Ransomware はランサムウェアの攻撃を遮断する以外にも、TeamT5 の独自技術により、ハッカーが悪意を持ってバックアップを破壊する動作を検知し、重要なファイルデータを効果的に保護することで、企業によるファイルの正常な復元を実現することができる。

![teamt5-proactive-ransomware-containment-technology-effectively-defends-against-ransomware-attacks_JP_pic3](https://uploads.teamt5.org/upload/original/teamt5-proactive-ransomware-containment-technology-effectively-defends-against-ransomware-attacks_JP_pic3.JPG)
_図2. TeamT5 の独自技術が企業のファイル復元を効果的に実現_

 

## インテリジェンスを把握し、機先を制する

ハッキングの防御と感染症対策には多くの共通点がある。対抗するのはすべて「人」であり、例えばワクチンだけに頼ることは不可能であり、ウイルスは持続的に変化を続けるように、単一のソリューションだけではその効果には限りがあり、時間が経過すると効果があったとしても回避されてしまう。ましてやハッカーは人であり、彼らも適応と変化を続け、絶えず新たな攻撃手法と技術を生み出しているのである。

TeamT5 はアジアにおいてインテリジェンスをリードし、各ランサムウェアグループの最新手法の研究と追跡を続け、将来の攻撃を効果的に予測している。完全な掌握と継続的なアップデートにより、TeamT5 の最新の ThreatSonar Anti-Ransomware はあなたにとって最良の選択となり得る。すぐに業務窓口と連絡を取ってほしい。

> お問い合わせ先：[https://teamt5.org/jp/request-information/](https://teamt5.org/jp/request-information/)

 

# 参考文献

[1] https://www.afcea.org/content/sponsored-81-ransomware-statistics-data-trends-and-facts-2021

[2] https://www.varonis.com/blog/ransomware-statistics-2021

[3] https://blog.chainalysis.com/reports/ransomware-update-may-2021/

ランサムウェア攻撃を防ぐ効果的な方法は「全面防御」のみ

Products & Services

Ransomware targets enterprises and causes great damages. It not only interferes with enterprises’ daily operation, but also brings brand damage.

Based on TeamT5 incident response team’s professional experience, we suggest enterprises 2 levels of measures. By doing so, you’re able to effectively control the damage and bring business back to normal soon.

##Technology Level
Enterprises’ internal team or vendors should take below measures in order to lower the impacts of ransomware attacks.

1. Team should isolate the attack source in order to control damages.
2. Team should collect related comprehensive info of the attack / incident. It’ll help the team to investigate the process of the incident and patch the system vulnerabilities.
3. Team can hire cybersecurity experts to conduct effective recovery measures. It’ll help enterprises & organizations’ operations go back to the right track. 


##Management Level
Enterprises’ management team (or partners) should take below measures in order to better respond to invisible impacts (e.g. negative brand image).

1. To evaluate and calculate damages brought by the attack / incident.
2. To consider paying the ransom. However, some experts advise enterprises & organizations should neither negotiate with the attackers nor pay the ransom.
3. To work on public relations in order to lower the negative impact on brand image.


 
 

>With solid technical background and frontline expertise, TeamT5’s incident response team provides an in-depth investigation and response to real-world cyber-attacks. We identify and research the intruder attacks, the impact and technical cause of the incidents, and recommend solutions or workarounds to assist our clients in recovery and remediation.

If you have needs for incident response, please contact us: https://teamt5.org/tw/request-information/

How to Deal with Ransomware Attacks?

勒索軟體(ransomware，又稱勒索病毒) 針對企業和各類組織的攻擊事件頻傳，不僅影響日常營運，更造成鉅額損失。

根據 TeamT5 杜浦數位安全的資安事件應變團隊(incident response team)的專業經驗，宜採取2大層面的應變措施，有效控制損害，盡早恢復正常營運。

##層面1: 技術面
由公司內、外的技術團隊進行下列措施，妥善處理勒索軟體事件:
1.隔離感染來源，控制損害層面
2.收集具體事件資料，詳細調查事件發生經過，堵住系統漏洞
3.由專家進行有效復原措施，協助企業持續營運

##層面2: 管理面
由公司管理團隊(或與協力團隊)進行下列措施，妥善應對勒索軟體事件帶來的無形衝擊、品牌影響:
1.評估與計算事件帶來的損害
2.談判勒索贖金，雖然同時部分專家也會提出不談判、不支付贖金的建議
3.經營對外關係，降低對品牌形象的負面衝擊
 
 
![how-to-response-ransomware-attacks_pic1.png](https://uploads.teamt5.org/upload/original/how-to-response-ransomware-attacks_pic1.png)
 
 

>TeamT5 杜浦數位安全團隊長期研究與解析駭客族群入侵行為，具備第一線國內外資安事件處理的豐富經驗。當資安事件發生，我們可快速完成受駭現場與歷史軌跡的綜整分析，發掘攻擊者的入侵過程與手法，提供事件處理的深入分析及建議，協助您復原與改善資安環境。

若您有資安事件處理、應變的需求，歡迎填寫諮詢表單: https://teamt5.org/tw/request-information/

 
 
首圖來源: [StockAI[(https://www.stockai.com/)

杜浦數位安全與東吳大學合作助全台首個「網路勒索攻擊應變小組」成立

Related Post

有效抵禦勒索軟體攻擊，唯有「全面防堵」

如何應變勒索軟體攻擊?

杜浦數位安全與東吳大學合作 助全台首個「網路勒索攻擊應變小組」 成立

Related Post

有效抵禦勒索軟體攻擊，唯有「全面防堵」

如何應變勒索軟體攻擊?

杜浦數位安全與東吳大學合作助全台首個「網路勒索攻擊應變小組」成立