如何了解勒索軟件以及如何防范��?
2022年05月09日
勒索軟件如今成為對(duì)所有組織的持續(xù)威脅����。當(dāng)人們努力加強(qiáng)防御并制定應(yīng)對(duì)網(wǎng)絡(luò)攻擊的戰(zhàn)略計(jì)劃時(shí)����,惡意行為者將會(huì)發(fā)起更復(fù)雜的攻擊,從而增加了防御的難度���。
勒索軟件通常旨在通過(guò)在整個(gè)網(wǎng)絡(luò)中擴(kuò)展來(lái)癱瘓組織�。這種威脅使一些組織損失數(shù)百萬(wàn)美元���。以下了解勒索軟件攻擊���,例如它是如何工作的、是如何啟動(dòng)的����、如何響應(yīng)����,以及如何降低風(fēng)險(xiǎn)�����。
什么是勒索軟件以及它是如何工作的�?
勒索軟件是一種惡意軟件��,它對(duì)個(gè)人�、組織或機(jī)構(gòu)的關(guān)鍵數(shù)據(jù)、文件和操作系統(tǒng)進(jìn)行加密��,并需要支付一筆贖金才能對(duì)其進(jìn)行解密�。它是一種網(wǎng)絡(luò)操縱形式,惡意行為者會(huì)在其中找到易受攻擊的漏洞并將其用于攻擊組織���,從而使他們無(wú)法訪(fǎng)問(wèn)其計(jì)算機(jī)�、數(shù)據(jù)庫(kù)�����、服務(wù)器、應(yīng)用程序和文件�����。
勒索軟件通過(guò)多種方式控制系統(tǒng)�����,例如網(wǎng)絡(luò)釣魚(yú)電子郵件或有針對(duì)性的攻擊�。一旦它獲得了攻擊向量并在端點(diǎn)上建立了控制,它將一直潛藏在那里����,直到其任務(wù)完成。
勒索軟件在系統(tǒng)內(nèi)部建立據(jù)點(diǎn)后��,它會(huì)將惡意二進(jìn)制文件放入系統(tǒng)�,然后系統(tǒng)會(huì)發(fā)現(xiàn)并加密數(shù)據(jù)文件,例如文檔����、PDF、多媒體文件和數(shù)據(jù)庫(kù)存儲(chǔ)����。勒索軟件還可能利用網(wǎng)絡(luò)或服務(wù)器漏洞在其他系統(tǒng)中傳播���,并可能試圖感染整個(gè)組織。
當(dāng)勒索軟件攻擊者隨意支配組織的數(shù)據(jù)時(shí)�,他們?cè)噲D勒索受害方以支付所需的贖金來(lái)解密文件,否則將面臨數(shù)據(jù)和潛在系統(tǒng)丟失的嚴(yán)重后果�。如果組織沒(méi)有可靠及時(shí)的數(shù)據(jù)備份并拒絕支付贖金,他們唯一的選擇就是承擔(dān)時(shí)間�����、資源的損失以及客戶(hù)關(guān)系的潛在損害���、品牌損害、股東訴訟和監(jiān)管罰款等后果����。
為什么勒索軟件如此普遍?
雖然有許多原因增加了勒索軟件攻擊的可能性�,但新冠疫情無(wú)疑在導(dǎo)致勒索軟件攻擊顯著增加方面發(fā)揮了重要作用。它迫使個(gè)人�����、企業(yè)和公共部門(mén)機(jī)構(gòu)迅速轉(zhuǎn)向數(shù)字技術(shù)以繼續(xù)其業(yè)務(wù)運(yùn)營(yíng)��。但是,即使沒(méi)有新冠疫情引入的漏洞�����,勒索軟件也已成為日益嚴(yán)重的威脅����。
防御措施,勒索軟件攻擊的威脅占上風(fēng)��。以下是一些禁用復(fù)雜的反技術(shù)以防止勒索軟件攻擊的因素:
勒索軟件即服務(wù)(RaaS)
勒索軟件即服務(wù)(RaaS)是一種以固定價(jià)格作為服務(wù)提供的勒索軟件分發(fā)模型�。它是一項(xiàng)基于訂閱的付費(fèi)服務(wù)�����,可為惡意人員提供部署勒索軟件攻擊所需的工具����。這聽(tīng)起來(lái)像是超現(xiàn)實(shí)主義�,但這是部署勒索軟件攻擊的一種高效且實(shí)用的方法。
勒索軟件即服務(wù)(RaaS)運(yùn)營(yíng)商與網(wǎng)絡(luò)犯罪分子有關(guān)聯(lián)�,為他們提供必要的設(shè)備、工具���、支付門(mén)戶(hù)以接收贖金�����,以及偶爾的技術(shù)支持。勒索軟件即服務(wù)(RaaS)提供商通過(guò)合同協(xié)議或按使用付費(fèi)協(xié)議獲得部分贖金利潤(rùn)��。
為什么很難抓住勒索軟件犯罪分子��?
網(wǎng)絡(luò)犯罪分子通常使用比特幣等加密貨幣進(jìn)行貨幣交易��。憑借其所有優(yōu)點(diǎn)����,加密貨幣無(wú)法追蹤��,這使其對(duì)犯罪分子有利��。資金追蹤是追蹤犯罪和犯罪分子的最有效方法之一��。由于加密貨幣提供匿名性�,法律機(jī)構(gòu)很難追蹤資金流動(dòng)��。
此外���,勒索軟件的設(shè)計(jì)是多態(tài)的����,不會(huì)留下任何殘留物�,并且可以輕松繞過(guò)傳統(tǒng)的基于簽名的保護(hù)。網(wǎng)絡(luò)犯罪分子通常成群結(jié)隊(duì)��,這使得追蹤攻擊者變得更加困難����。
針對(duì)勒索軟件的保護(hù)措施
某些做法可以極大地幫助減輕勒索軟件攻擊。一些常見(jiàn)的做法包括:
(1) 數(shù)據(jù)備份
定期備份關(guān)鍵數(shù)據(jù)是防御勒索軟件犯罪分子的第一步。為確保組織不會(huì)被鎖定在其系統(tǒng)和數(shù)據(jù)文件之外����,他們應(yīng)該始終并且經(jīng)常將數(shù)據(jù)備份副本存儲(chǔ)在外部硬盤(pán)驅(qū)動(dòng)器或云存儲(chǔ)中。萬(wàn)一被勒索軟件感染��,雖然可能需要很長(zhǎng)時(shí)間��,但可以對(duì)電腦進(jìn)行格式化�,通過(guò)備份將數(shù)據(jù)文件全部完整上傳。這樣�,可以避免因贖金要求而造成的損失。雖然備份數(shù)據(jù)不能阻止這些攻擊����,但它可以提供一定程度的保護(hù)。
(2) 保護(hù)備份
網(wǎng)絡(luò)犯罪分子也在制定策略來(lái)破壞���、加密或刪除備份系統(tǒng)��。因此,僅僅依靠備份是不夠的�。許多組織使用特權(quán)訪(fǎng)問(wèn)解決方案來(lái)保護(hù)他們的備份,因此只有某些獲得授權(quán)的人才能訪(fǎng)問(wèn)或修改它��。
(3) 安裝和維護(hù)安全軟件
較舊的軟件版本為網(wǎng)絡(luò)者提供了易受攻擊的接入點(diǎn)來(lái)控制系統(tǒng)。這就是為什么在整個(gè)組織中配置全面的安全軟件以保護(hù)所有系統(tǒng)和軟件至關(guān)重要的原因�����。盡早并經(jīng)常更新所有設(shè)備和軟件�����。
(4) 安全上網(wǎng)
這種做法意味著用戶(hù)不要點(diǎn)擊不必要的鏈接�,只回復(fù)合法的電子郵件。在大多數(shù)情況下�,勒索軟件通過(guò)網(wǎng)絡(luò)釣魚(yú)進(jìn)入,誘使用戶(hù)打開(kāi)包含惡意軟件或其他病毒的危險(xiǎn)文件��。
(5) 采有安全網(wǎng)絡(luò)
不安全的公共Wi-Fi網(wǎng)絡(luò)也構(gòu)成威脅��,因?yàn)槊總€(gè)人都可以訪(fǎng)問(wèn)它們��,包括惡意行為者���。無(wú)論用戶(hù)身在何處�,安裝虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)都可以提供安全的互聯(lián)網(wǎng)連接��。但是����,VPN無(wú)法防范設(shè)法進(jìn)入內(nèi)部網(wǎng)絡(luò)的黑客�。
(6) 保持警惕
隨時(shí)了解最新的勒索軟件威脅并保持警惕����,以便企業(yè)能夠警惕潛在的攻擊。此外�����,了解市場(chǎng)上可用的解密工具���,如果企業(yè)成為勒索軟件的受害者�����,這些工具將有所幫助�。
(7) 網(wǎng)絡(luò)安全意識(shí)計(jì)劃
許多員工可能不完全了解網(wǎng)絡(luò)安全的概念以及他們的某些活動(dòng)將會(huì)增加網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)�。因此,企業(yè)需要定期進(jìn)行演練���、模擬活動(dòng)和培訓(xùn)員工�����,這樣他們就可以警惕網(wǎng)絡(luò)釣魚(yú)和其他社會(huì)工程攻擊����。
如何在勒索軟件攻擊期間做出響應(yīng)
在發(fā)生網(wǎng)絡(luò)攻擊時(shí)�,企業(yè)必須迅速采取行動(dòng)以限制影響。有一些緩解措施需要遵循:
(1) 隔離受攻擊設(shè)備以阻止傳播
當(dāng)勒索軟件感染一個(gè)系統(tǒng)時(shí)�����,它可能會(huì)造成中等程度的威脅��。然而�����,當(dāng)災(zāi)難蔓延到整個(gè)組織時(shí)�����,就開(kāi)始出現(xiàn)災(zāi)難性事件��。事件響應(yīng)時(shí)間決定了造成損害的程度��。因此����,快速反應(yīng)以隔離受感染的設(shè)備并將其與網(wǎng)絡(luò)�����、服務(wù)器和其他設(shè)備斷開(kāi)連接至關(guān)重要��。此外�,還應(yīng)立即關(guān)閉無(wú)線(xiàn)連接(如藍(lán)牙��、WiFi���、熱點(diǎn)等)����,以限制感染�。
(2) 評(píng)估損害
由于勒索軟件可能已存在于其他設(shè)備中,因此建議評(píng)估所有數(shù)據(jù)文件和任何可疑活動(dòng)�����。例如����,最近使用奇怪?jǐn)U展名加密的文件����、具有奇怪文件名的報(bào)告或用戶(hù)無(wú)法打開(kāi)的文件����。一旦發(fā)現(xiàn)受感染的文件�����,將它們與網(wǎng)絡(luò)斷開(kāi)連接以控制感染���。
評(píng)估的目標(biāo)是全面報(bào)告所有潛在的攻擊媒介����、端點(diǎn)設(shè)備����、存儲(chǔ)等,以便采取適當(dāng)?shù)谋Wo(hù)措施��。鎖定所有文件共享將停止正在進(jìn)行的加密行為�����,以防止其進(jìn)一步傳播。
(3) 識(shí)別零號(hào)病人
零號(hào)病人是傳染源����,通常是網(wǎng)絡(luò)犯罪分子首先針對(duì)的設(shè)備或系統(tǒng),勒索軟件感染通過(guò)這些設(shè)備進(jìn)入環(huán)境����。在找到零號(hào)病人之前,遏制感染的行動(dòng)將繼續(xù)進(jìn)行�。企業(yè)要獲得可見(jiàn)性,需要檢查反惡意軟件和其他監(jiān)控平臺(tái)發(fā)出的任何警報(bào)��。
由于網(wǎng)絡(luò)釣魚(yú)電子郵件和惡意附件通常會(huì)發(fā)起攻擊����,因此需要向員工詢(xún)問(wèn)他們可能收到和打開(kāi)的任何可疑電子郵件。還需要仔細(xì)查看文件屬性�,這將提供有關(guān)入口點(diǎn)的線(xiàn)索。
(4) 識(shí)別勒索軟件變種
在深入研究安全防御之前���,了解可能會(huì)攻擊系統(tǒng)的勒索軟件變種會(huì)有所幫助�。有多種工具可以?huà)呙杓用芪募?�,并提供?duì)所涉及變體的深入了解。企業(yè)需要進(jìn)行研究以更好地了解它�����,并提醒所有員工注意其行為和跡象���,以識(shí)別他們是否已成為攻擊目標(biāo)��。
(5) 向執(zhí)法部門(mén)構(gòu)報(bào)告
網(wǎng)絡(luò)攻擊是一種違法行為,應(yīng)盡快提請(qǐng)執(zhí)行部門(mén)進(jìn)行監(jiān)管����。執(zhí)法部門(mén)需要及時(shí)準(zhǔn)確的詳細(xì)信息,以便他們可以進(jìn)行徹底的調(diào)查�。
(6) 恢復(fù)數(shù)據(jù)備份
在采取所有預(yù)防措施之后,現(xiàn)在是繼續(xù)響應(yīng)過(guò)程的時(shí)候了���。正確快速地實(shí)施上述步驟�����,將提供完整且無(wú)感染的備份�。下一步是使用反惡意軟件來(lái)消除勒索軟件以防止進(jìn)一步傳播����。一旦清除了勒索軟件的所有痕跡���,就可以使用備份恢復(fù)系統(tǒng)數(shù)據(jù)。
(7) 考慮其他解密選項(xiàng)
許多企業(yè)發(fā)現(xiàn)自己沒(méi)有可行的備份�����,或者是因?yàn)橐驯焕账鬈浖茐?�,或者是因?yàn)樗麄兾茨芗皶r(shí)備份數(shù)據(jù)�。而在任何一種情況下,即使沒(méi)有備份�,使用解密工具重新獲得對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限的機(jī)會(huì)也很小。有幾種可用的密鑰和應(yīng)用程序可以解密被勒索軟件鎖定的數(shù)據(jù)���。但是����,這是一個(gè)漫長(zhǎng)的過(guò)程���,如果運(yùn)氣好的話(huà)��,被鎖定的數(shù)據(jù)可能會(huì)在幾天內(nèi)恢復(fù)�����。
如果沒(méi)有可行的備份���,也沒(méi)有解密工具的幫助�,情況就會(huì)變得非常困難�����,面臨的損失可能是巨大的����,而從頭開(kāi)始重建并不容易�,因?yàn)楸仨毺幚頁(yè)p失以及在重建過(guò)程投入大量的時(shí)間、資源和費(fèi)用���。
為什么支付贖金并不明智�����?
數(shù)周或數(shù)月處理數(shù)據(jù)恢復(fù)的漫長(zhǎng)而復(fù)雜的過(guò)程可能會(huì)稀釋資源的價(jià)值��。這就是一些企業(yè)選擇支付贖金的原因�����。然而這不是一個(gè)明智的決定�����,其原因如下:
即使支付了贖金�,也不能保證黑客會(huì)發(fā)送解密密鑰。有很多企業(yè)在支付贖金后被欺詐的例子�����。而當(dāng)按照罪犯的規(guī)則行事時(shí)����,并不能保證他們會(huì)遵守交易規(guī)則。
在通常情況下����,一旦支付了所要求的贖金,網(wǎng)絡(luò)犯罪分子就會(huì)索要更多錢(qián)財(cái)�����。他們知道解決勒索攻擊的緊迫性和意愿����,而受害者只能任由他們擺布���。
即使不法分子停止交易并向受害者提供解密密鑰,也不能保證該密鑰會(huì)起作用���,尤其是在損壞嚴(yán)重且無(wú)法修復(fù)的情況下�。
如果支付贖金����,企業(yè)也可能遭遇另外的勒索攻擊,因?yàn)槠渌木W(wǎng)絡(luò)犯罪份子發(fā)現(xiàn)他們很容易成為犧牲品�����。
支付贖金會(huì)鼓勵(lì)犯罪活動(dòng)�,并使勒索軟件成為一種可行的商業(yè)模式�。如果受害者拒絕支付贖金,網(wǎng)絡(luò)犯罪分子將不得不尋找其他的創(chuàng)收方式��。
