近幾年，網絡勒索活動越發猖獗，勒索軟體組織不停改變策略與運行方式，以增加受害者支付贖金的概率，如 Mespinoza 勒索軟體。資安公司 Palo Alto Networks 近日針對 Mespinoza 勒索集團（也稱為PYSA）進行了分析，以進一步了解此組織，發現此組織一樣是先利用遠端桌面協定（Remote Desktop Protocol, RDP）來入侵受害者的系統，並利用各種開源工具來搜刮系統內的資料。

Palo Alto 指出，Mespinoza在入侵後，會先尋找洩露後對受害者影響最大的得到敏感文件，且會稱受害者為「合作夥伴」，表示受害者是為其勒索集團提供運營資金的商業夥伴。而 Mespinoza 本身使用的數據洩露王之戰包括了屬於教育、製造、零售、醫療、政府、高科技、運輸和物流、工程和社會服務等行業的 187 個受害組織的數據。而其中佔比最多的受害國家為美國，共55%。其餘則分佈在 20 多個國家，包括加拿大、巴西、英國、意大利、西班牙、法國、德國、南非和澳大利亞。

Palo Alto 也指出，Mespinoza 也是以遠端桌面協定（Remote Desktop Protocol，RDP）作為一開始攻進受害者系統的媒介。根據 Kapersky 的報告， 2020年2月至3月間全球針對 RDP 的攻擊在僅僅 1 個月內就從 9,310 萬暴增至 2.774 億，增加了197%。而截至 2021 年 2 月，針對 RDP 的暴力破解攻擊則激增至 3.775 億次。

從上述數量中我們不難發現，RDP 攻擊已是現今企業不得不面對的重要資安課題，因為隨著 WFH 遠端工作的盛行，類似 RDP，針對遠端工作的漏洞進行突破，這樣的攻擊手法已十分常見，對此，企業應定期為自家公司進行弱點掃描，檢查自家公司在遠端連線上是否存在安全隱憂，並配合弱點追蹤管理系統，實施完整的弱點管理流程，以避免駭客的入侵，也可以減少被勒索病毒感染的機會。

弱點掃描就像是為身體做健康檢查，定期的健康檢查是非常重要的，而弱點管理則是根據健康檢查報告，針對身體有病症的地方進行治療，因此弱點掃描與弱點管理是相輔相成，缺一不可的，只有在掃描結束後，正視掃描結果上的數據，才能真正地做到資安防護上的防患於未然。

參考資料：
https://www.zdnet.com/article/this-ransomware-gang-hunts-for-evidence-of-crime-to-pressure-victims-into-paying-a-ransom/
https://unit42.paloaltonetworks.com/gasket-and-magicsocks-tools-install-mespinoza-ransomware/
https://www.gushiciku.cn/pl/gYTX/zh-tw