前言此前,HSE遭到勒索病毒的严重攻击。爱尔兰的医疗服务系统是该国公费医疗系统。上周五被迫关闭其IT系统,作为防止威胁扩散的预防措施。该事件导致该国许多医院的服务被取消和中断。幸运的是,正在进行的冠状病毒疫苗接种活动没有受到影响。此次勒索软件攻击勒索金额高达2000万美元。我想和大家分享一下我得到的一些信息,谈谈目前业界在勒索软件攻击防御上的两大误区。同时,针对这两大误区,笔者也分享了自己在应对勒索病毒攻击方面的一些安全经验,供大家参考学习。攻击事件笔者通过监控某恶意软件分享平台获取了该攻击事件的样本,并在暗网上发现了该勒索病毒的聊天记录。2021年5月14日,该勒索黑客组织对HSE发起勒索攻击。事后,受害者联系了自称ContiLocker团队的勒索黑客组织,从HSE获取了多达700GB的重要数据,包括患者信息和员工信息。信息、合同、财务报表、工资单等,如下所示,HSE需要支付高达1999.9万美元的赎金。同时,为了让受害者相信自己已经获得了HSE的重要数据,黑客提供了一些相关数据进行下载验证。在接下来的几天里,黑客组织一直在催促受害者支付赎金。威胁下周一(2021年5月24日)在暗网上出售或发布被盗数据,如下图:2021年5月20日,黑客免费向受害者分发解密工具,如下图:作者下载这个勒索病毒的解密工具确实可以解密。解密工具的名称前缀使用了受害者的身份信息,如下图:2021年5月14日,爱尔兰总理在新闻发布会上表示,他们将在不支付任何赎金的情况下,在收到解密工具后,向黑客发送给黑客组织的法院命令消息。根据FBI调查,Conti勒索软件在过去一年中攻击了美国至少16家医疗保健和紧急服务机构,影响全球400多家组织,其中290家位于美国。对于该勒索病毒的部分攻击过程,此前国外安全厂商也分享过该勒索病毒的溯源分析案例。黑客攻击的大致过程如下:详细报道链接:https://thedfirreport.com/2021/05/12/conti-ransomware/两大误区笔者看过一些业内分享的勒索软件防御直播视频,而现在业界对勒索软件攻击的防御可能存在两大误区,这也可能是由于对勒索软件的研究和认识不够深入。误区一:现在认为勒索软件攻击的不多,支付赎金的公司也不多。事实上,就近期曝光的几起勒索病毒案件而言,支付的赎金高达数亿美元。可以看出,支付赎金的公司还有很多,有的公司选择偷偷付钱,外界并不知道。误区二:只有单一产品才能防御勒索病毒?零信任反勒索软件?现在的勒索病毒攻击主要是针对性攻击,而不是以前单一的勒索病毒传播方式。如果你还没有搞清楚勒索病毒的攻击方式,这些勒索病毒是怎么进来的,企业的数据是怎么丢失的,你可以想当然地认为用一个产品或者一个新概念就可以防范。勒索软件是认知上的一个鸿沟。另外,现在不仅仅是反勒索病毒那么简单,黑客利用了一套完整的攻击流程,使用了各种不同的恶意软件,其中很多已经在企业中潜伏了数周或数月。在窃取企业重要数据后,最后利用勒索软件对数据进行加密。这种成熟的攻击方式不是某款产品能够防御和解决的。需要的是一套完整的解决方案。同时,还要和黑客比拼速度。在黑客发动勒索软件攻击之前,也就是在攻击环节的中期,快速捕获威胁,进而消除威胁,防止黑客进一步攻击。这不是简单的某个产品或者某个概念去捍卫。勒索软件的重点是防御。目前,大多数勒索软件无法解密。很多人说,如果做好数据备份,是不是就可以防御勒索病毒,高枕无忧了,再也不用担心勒索病毒了?确实,数据备份可以在一定程度上有效防御勒索软件。即使勒索病毒没有解密工具,企业的重要业务也不会停止,利用备份数据可以快速恢复业务,但勒索病毒黑客组织早已不仅仅是最初简单使用某个勒索病毒病毒进行加密攻击,但已经采用“窃密+勒索”相结合的双重攻击方式,先窃取企业重要数据,最后通过勒索病毒对企业数据进行加密,使得当企业重要数据丢失时企业被泄露,虽然企业数据有备份,但仍可能被黑客“勒索”支付赎金,因为勒索攻击已经发展成为另一种新的双重威胁模式。从这个角度来说,企业的数据是没有备份的。想要快速恢复业务,只能乖乖交钱解密,恢复业务。就算你的企业数据有备份,解密也不需要付费吗?就像这次爱尔兰医疗机构HSE一样,黑客免费为HSE提供了勒索软件解密工具,那么HSE是不是不用付费呢?如果这个黑客组织真的从这个医疗机构窃取了多达700G的客户数据,如果这些数据是客户的隐私数据,如果其中还包含一些重要人物的隐私数据,如果这些数据被公开,损失可能不仅是那2000万美元。已经不重要了,这就是为什么黑客免费为HSE受害者提供解密工具的原因。HSE现在需要做的可能是要求安全专家对企业进行完整的溯源分析,确认是否有多达700G的客户数据泄露。也许黑客只是窃取了一小部分数据,并没有像黑客所说的那样,多达700G的企业数据被盗。HSE本应邀请专业的安全应急专家团队对这些问题进行相应的评估。最后发现,黑客可能并没有窃取那么多数据,而且可能已经窃取了。数据不是很重要,不是公司的核心数据。(猜测)这可能是爱尔兰总理拒绝支付赎金的原因,或者是怕以后会有更多的公司被勒索和攻击,给国家造成更大的损失,所以拒绝支付赎金,至于之后会不会支付赎金,可能也不得而知。很多企业在被勒索后选择赔钱,其实有两个原因。一个原因是为了快速恢复业务,另一个原因是为了防止公司数据泄露而被迫支付赎金。数据泄露的风险价值可能远大于勒索病毒勒索赎金,但在支付赎金后,黑客是否会泄露这些数据,或将这些企业的重要数据转卖到暗网渠道,我们只能拭目以待。这些黑客是在“偷窃”,不管他们说“武德”。此前,由于支付赎金的企业过多,部分企业在中招后选择默默支付赎金,导致越来越多的黑客组织,甚至一些成熟的黑客组织开始使用勒索软件进行攻击,并迅速获利。例如,Lazarus之前使用勒索软件发起勒索软件攻击。未来,这种APT+勒索软件的针对性攻击方式应该会成为勒索软件网络犯罪活动的主流趋势。为什么这些被勒索软件攻击的公司最终会支付赎金?或许是上面提到的两个原因。事实上,勒索软件黑客组织一直在改变我的攻击方式和勒索软件运行模式。一开始只是简单的使用了一些简单的攻击手段,使用勒索病毒对勒索进行加密。后来通过各种复杂的攻击流程,进入企业窃取企业重要数据,最后回到企业。利用勒索病毒攻击,随着勒索病毒黑客组织的发展,现在又多了一种勒索病毒运行方式,就是下面这种利用DDOS三重勒索的攻击方式。勒索软件攻击呈现出定向化趋势。企业备份数据固然非常重要,但仅仅通过备份数据来防范勒索软件等网络犯罪黑客攻击是远远不够的。”,发展到后来的“勒索+窃密”,最近一些勒索软件黑客组织也使用DDOS攻击受害者的企业,迫使受害者支付赎金,如下图:这似乎是另一种“勒索”方式,以及未来勒索病毒攻击还会有更多新的表现形式,单纯的防御勒索病毒攻击已经不能满足企业的需求,防御勒索病毒攻击的关键是需要更快、更及时地发现企业。网络中存在各种潜在的黑客组织攻击,及时阻断这些潜在的攻击,从而防止黑客的进一步攻击,保护企业的数据资产。企业的数据是企业的核心资产。目前,黑客主要使用两种手段:获利手段:(1)窃取(2)敲诈勒索,未来黑客组织将结合这两种手段对ent发起攻击企业,会产生更多的“敲诈勒索”攻击运营模式,或许是因为“敲诈勒索”能带来更直接的收入。很多朋友会问我某个勒索病毒是怎么进来的?某种勒索软件病毒是如何传播的?某勒索软件攻击的攻击方式是什么?事实上,每一次勒索病毒攻击都需要专业的安全团队对企业进行深度分析和溯源,这并不是一项简单的工作。这是一项非常复杂和繁琐的工作,需要具有足够安全分析经验的安全专家。这些分析和追溯任务无法通过人工智能或自动化来完成。专业的安全分析师必须对招聘的企业环境进行详细的分析和溯源。勒索软件攻击现在已经使用了类似APT的攻击方式,每一次攻击的背后都可能是一次完整的、有预谋的针对性攻击。这种攻击的溯源是人与人之间的对抗。高端成熟的黑客组织会删除所有系统日志、残留文件和其他入侵痕迹,这进一步增加了专业安全分析师的溯源和分析难度。可能需要收集更多数据以更好地追溯源头。针对以上两个误区:勒索软件黑客组织的攻击越来越多,黑客组织不断寻找下一个攻击目标,很多企业选择支付赎金,这也从侧面导致了更多的勒索软件攻击。防御勒索软件攻击并不是防御单个勒索软件样本。这种防御已经演变为防御APT攻击等高端攻击。黑客在攻击链的不同阶段使用不同类型的恶意软件和漏洞,需要一套完整的安全防御方案和完备的防御体系。同时,需要更多专业的安全分析师分析企业中潜在的威胁活动,及时发现企业中的潜在威胁,中断中断后被勒索的风险。现在的黑客组织一般都是在进入企业后潜伏在企业内部。在几天、几周、几个月甚至更长的时间里,谁能在这段时间内更早地发现企业潜在的安全威胁,就可以有效地防止企业被黑客勒索病毒攻击的可能性。总结未来几年,勒索软件仍将是企业面临的最大威胁之一。这种攻击的背后是一个完整的攻击过程。黑客在不同的攻击阶段会使用多种攻击手段。同时,在攻击过程中会利用各种恶意软件和相关漏洞,不再像以前那样使用单一的攻击手段,变成了非常复杂的攻击活动。反勒索攻击实际上变成了反APT攻击,勒索黑客组织也在不断更新“勒索”运作模式,未来可能还会出现更多新的“勒索”模式。
