2022年05月09日
勒索軟件如今成為對所有組織的持續(xù)威脅。當(dāng)人們努力加強防御并制定應(yīng)對網(wǎng)絡(luò)攻擊的戰(zhàn)略計劃時,惡意行為者將會發(fā)起更復(fù)雜的攻擊,從而增加了防御的難度。
勒索軟件通常旨在通過在整個網(wǎng)絡(luò)中擴展來癱瘓組織。這種威脅使一些組織損失數(shù)百萬美元。以下了解勒索軟件攻擊,例如它是如何工作的、是如何啟動的、如何響應(yīng),以及如何降低風(fēng)險。
什么是勒索軟件以及它是如何工作的?
勒索軟件是一種惡意軟件,它對個人、組織或機構(gòu)的關(guān)鍵數(shù)據(jù)、文件和操作系統(tǒng)進(jìn)行加密,并需要支付一筆贖金才能對其進(jìn)行解密。它是一種網(wǎng)絡(luò)操縱形式,惡意行為者會在其中找到易受攻擊的漏洞并將其用于攻擊組織,從而使他們無法訪問其計算機、數(shù)據(jù)庫、服務(wù)器、應(yīng)用程序和文件。
勒索軟件通過多種方式控制系統(tǒng),例如網(wǎng)絡(luò)釣魚電子郵件或有針對性的攻擊。一旦它獲得了攻擊向量并在端點上建立了控制,它將一直潛藏在那里,直到其任務(wù)完成。
勒索軟件在系統(tǒng)內(nèi)部建立據(jù)點后,它會將惡意二進(jìn)制文件放入系統(tǒng),然后系統(tǒng)會發(fā)現(xiàn)并加密數(shù)據(jù)文件,例如文檔、PDF、多媒體文件和數(shù)據(jù)庫存儲。勒索軟件還可能利用網(wǎng)絡(luò)或服務(wù)器漏洞在其他系統(tǒng)中傳播,并可能試圖感染整個組織。
當(dāng)勒索軟件攻擊者隨意支配組織的數(shù)據(jù)時,他們試圖勒索受害方以支付所需的贖金來解密文件,否則將面臨數(shù)據(jù)和潛在系統(tǒng)丟失的嚴(yán)重后果。如果組織沒有可靠及時的數(shù)據(jù)備份并拒絕支付贖金,他們唯一的選擇就是承擔(dān)時間、資源的損失以及客戶關(guān)系的潛在損害、品牌損害、股東訴訟和監(jiān)管罰款等后果。
為什么勒索軟件如此普遍?
雖然有許多原因增加了勒索軟件攻擊的可能性,但新冠疫情無疑在導(dǎo)致勒索軟件攻擊顯著增加方面發(fā)揮了重要作用。它迫使個人、企業(yè)和公共部門機構(gòu)迅速轉(zhuǎn)向數(shù)字技術(shù)以繼續(xù)其業(yè)務(wù)運營。但是,即使沒有新冠疫情引入的漏洞,勒索軟件也已成為日益嚴(yán)重的威脅。
防御措施,勒索軟件攻擊的威脅占上風(fēng)。以下是一些禁用復(fù)雜的反技術(shù)以防止勒索軟件攻擊的因素:
網(wǎng)絡(luò)犯罪分子現(xiàn)在非常老練,可以使用最新的資源、工具和技術(shù)。
市場為網(wǎng)絡(luò)犯罪分子提供惡意軟件工具包,即使是技術(shù)最低的黑客也能將其部署到受害者身上。
勒索軟件即服務(wù)(RaaS)
勒索軟件即服務(wù)(RaaS)是一種以固定價格作為服務(wù)提供的勒索軟件分發(fā)模型。它是一項基于訂閱的付費服務(wù),可為惡意人員提供部署勒索軟件攻擊所需的工具。這聽起來像是超現(xiàn)實主義,但這是部署勒索軟件攻擊的一種高效且實用的方法。
勒索軟件即服務(wù)(RaaS)運營商與網(wǎng)絡(luò)犯罪分子有關(guān)聯(lián),為他們提供必要的設(shè)備、工具、支付門戶以接收贖金,以及偶爾的技術(shù)支持。勒索軟件即服務(wù)(RaaS)提供商通過合同協(xié)議或按使用付費協(xié)議獲得部分贖金利潤。
為什么很難抓住勒索軟件犯罪分子?
網(wǎng)絡(luò)犯罪分子通常使用比特幣等加密貨幣進(jìn)行貨幣交易。憑借其所有優(yōu)點,加密貨幣無法追蹤,這使其對犯罪分子有利。資金追蹤是追蹤犯罪和犯罪分子的最有效方法之一。由于加密貨幣提供匿名性,法律機構(gòu)很難追蹤資金流動。
此外,勒索軟件的設(shè)計是多態(tài)的,不會留下任何殘留物,并且可以輕松繞過傳統(tǒng)的基于簽名的保護(hù)。網(wǎng)絡(luò)犯罪分子通常成群結(jié)隊,這使得追蹤攻擊者變得更加困難。
針對勒索軟件的保護(hù)措施
某些做法可以極大地幫助減輕勒索軟件攻擊。一些常見的做法包括:
(1) 數(shù)據(jù)備份
定期備份關(guān)鍵數(shù)據(jù)是防御勒索軟件犯罪分子的第一步。為確保組織不會被鎖定在其系統(tǒng)和數(shù)據(jù)文件之外,他們應(yīng)該始終并且經(jīng)常將數(shù)據(jù)備份副本存儲在外部硬盤驅(qū)動器或云存儲中。萬一被勒索軟件感染,雖然可能需要很長時間,但可以對電腦進(jìn)行格式化,通過備份將數(shù)據(jù)文件全部完整上傳。這樣,可以避免因贖金要求而造成的損失。雖然備份數(shù)據(jù)不能阻止這些攻擊,但它可以提供一定程度的保護(hù)。
(2) 保護(hù)備份
網(wǎng)絡(luò)犯罪分子也在制定策略來破壞、加密或刪除備份系統(tǒng)。因此,僅僅依靠備份是不夠的。許多組織使用特權(quán)訪問解決方案來保護(hù)他們的備份,因此只有某些獲得授權(quán)的人才能訪問或修改它。
(3) 安裝和維護(hù)安全軟件
較舊的軟件版本為網(wǎng)絡(luò)者提供了易受攻擊的接入點來控制系統(tǒng)。這就是為什么在整個組織中配置全面的安全軟件以保護(hù)所有系統(tǒng)和軟件至關(guān)重要的原因。盡早并經(jīng)常更新所有設(shè)備和軟件。
(4) 安全上網(wǎng)
這種做法意味著用戶不要點擊不必要的鏈接,只回復(fù)合法的電子郵件。在大多數(shù)情況下,勒索軟件通過網(wǎng)絡(luò)釣魚進(jìn)入,誘使用戶打開包含惡意軟件或其他病毒的危險文件。
(5) 采有安全網(wǎng)絡(luò)
不安全的公共Wi-Fi網(wǎng)絡(luò)也構(gòu)成威脅,因為每個人都可以訪問它們,包括惡意行為者。無論用戶身在何處,安裝虛擬專用網(wǎng)絡(luò)(VPN)都可以提供安全的互聯(lián)網(wǎng)連接。但是,VPN無法防范設(shè)法進(jìn)入內(nèi)部網(wǎng)絡(luò)的黑客。
(6) 保持警惕
隨時了解最新的勒索軟件威脅并保持警惕,以便企業(yè)能夠警惕潛在的攻擊。此外,了解市場上可用的解密工具,如果企業(yè)成為勒索軟件的受害者,這些工具將有所幫助。
(7) 網(wǎng)絡(luò)安全意識計劃
許多員工可能不完全了解網(wǎng)絡(luò)安全的概念以及他們的某些活動將會增加網(wǎng)絡(luò)攻擊風(fēng)險。因此,企業(yè)需要定期進(jìn)行演練、模擬活動和培訓(xùn)員工,這樣他們就可以警惕網(wǎng)絡(luò)釣魚和其他社會工程攻擊。
如何在勒索軟件攻擊期間做出響應(yīng)
在發(fā)生網(wǎng)絡(luò)攻擊時,企業(yè)必須迅速采取行動以限制影響。有一些緩解措施需要遵循:
(1) 隔離受攻擊設(shè)備以阻止傳播
當(dāng)勒索軟件感染一個系統(tǒng)時,它可能會造成中等程度的威脅。然而,當(dāng)災(zāi)難蔓延到整個組織時,就開始出現(xiàn)災(zāi)難性事件。事件響應(yīng)時間決定了造成損害的程度。因此,快速反應(yīng)以隔離受感染的設(shè)備并將其與網(wǎng)絡(luò)、服務(wù)器和其他設(shè)備斷開連接至關(guān)重要。此外,還應(yīng)立即關(guān)閉無線連接(如藍(lán)牙、WiFi、熱點等),以限制感染。
(2) 評估損害
由于勒索軟件可能已存在于其他設(shè)備中,因此建議評估所有數(shù)據(jù)文件和任何可疑活動。例如,最近使用奇怪?jǐn)U展名加密的文件、具有奇怪文件名的報告或用戶無法打開的文件。一旦發(fā)現(xiàn)受感染的文件,將它們與網(wǎng)絡(luò)斷開連接以控制感染。
評估的目標(biāo)是全面報告所有潛在的攻擊媒介、端點設(shè)備、存儲等,以便采取適當(dāng)?shù)谋Wo(hù)措施。鎖定所有文件共享將停止正在進(jìn)行的加密行為,以防止其進(jìn)一步傳播。
(3) 識別零號病人
零號病人是傳染源,通常是網(wǎng)絡(luò)犯罪分子首先針對的設(shè)備或系統(tǒng),勒索軟件感染通過這些設(shè)備進(jìn)入環(huán)境。在找到零號病人之前,遏制感染的行動將繼續(xù)進(jìn)行。企業(yè)要獲得可見性,需要檢查反惡意軟件和其他監(jiān)控平臺發(fā)出的任何警報。
由于網(wǎng)絡(luò)釣魚電子郵件和惡意附件通常會發(fā)起攻擊,因此需要向員工詢問他們可能收到和打開的任何可疑電子郵件。還需要仔細(xì)查看文件屬性,這將提供有關(guān)入口點的線索。
(4) 識別勒索軟件變種
在深入研究安全防御之前,了解可能會攻擊系統(tǒng)的勒索軟件變種會有所幫助。有多種工具可以掃描加密文件,并提供對所涉及變體的深入了解。企業(yè)需要進(jìn)行研究以更好地了解它,并提醒所有員工注意其行為和跡象,以識別他們是否已成為攻擊目標(biāo)。
(5) 向執(zhí)法部門構(gòu)報告
網(wǎng)絡(luò)攻擊是一種違法行為,應(yīng)盡快提請執(zhí)行部門進(jìn)行監(jiān)管。執(zhí)法部門需要及時準(zhǔn)確的詳細(xì)信息,以便他們可以進(jìn)行徹底的調(diào)查。
(6) 恢復(fù)數(shù)據(jù)備份
在采取所有預(yù)防措施之后,現(xiàn)在是繼續(xù)響應(yīng)過程的時候了。正確快速地實施上述步驟,將提供完整且無感染的備份。下一步是使用反惡意軟件來消除勒索軟件以防止進(jìn)一步傳播。一旦清除了勒索軟件的所有痕跡,就可以使用備份恢復(fù)系統(tǒng)數(shù)據(jù)。
(7) 考慮其他解密選項
許多企業(yè)發(fā)現(xiàn)自己沒有可行的備份,或者是因為已被勒索軟件破壞,或者是因為他們未能及時備份數(shù)據(jù)。而在任何一種情況下,即使沒有備份,使用解密工具重新獲得對數(shù)據(jù)的訪問權(quán)限的機會也很小。有幾種可用的密鑰和應(yīng)用程序可以解密被勒索軟件鎖定的數(shù)據(jù)。但是,這是一個漫長的過程,如果運氣好的話,被鎖定的數(shù)據(jù)可能會在幾天內(nèi)恢復(fù)。
如果沒有可行的備份,也沒有解密工具的幫助,情況就會變得非常困難,面臨的損失可能是巨大的,而從頭開始重建并不容易,因為必須處理損失以及在重建過程投入大量的時間、資源和費用。
為什么支付贖金并不明智?
數(shù)周或數(shù)月處理數(shù)據(jù)恢復(fù)的漫長而復(fù)雜的過程可能會稀釋資源的價值。這就是一些企業(yè)選擇支付贖金的原因。然而這不是一個明智的決定,其原因如下:
即使支付了贖金,也不能保證黑客會發(fā)送解密密鑰。有很多企業(yè)在支付贖金后被欺詐的例子。而當(dāng)按照罪犯的規(guī)則行事時,并不能保證他們會遵守交易規(guī)則。
在通常情況下,一旦支付了所要求的贖金,網(wǎng)絡(luò)犯罪分子就會索要更多錢財。他們知道解決勒索攻擊的緊迫性和意愿,而受害者只能任由他們擺布。
即使不法分子停止交易并向受害者提供解密密鑰,也不能保證該密鑰會起作用,尤其是在損壞嚴(yán)重且無法修復(fù)的情況下。
如果支付贖金,企業(yè)也可能遭遇另外的勒索攻擊,因為其他的網(wǎng)絡(luò)犯罪份子發(fā)現(xiàn)他們很容易成為犧牲品。
支付贖金會鼓勵犯罪活動,并使勒索軟件成為一種可行的商業(yè)模式。如果受害者拒絕支付贖金,網(wǎng)絡(luò)犯罪分子將不得不尋找其他的創(chuàng)收方式。