根据恶意软件实验室Emsisoft发布的一份报告,2020年第一季度和第二季度勒索软件攻击的成功数量呈急剧下降趋势。在COVID-19危机期间,2020年1月至2020年4月期间,美国公共部门成功勒索软件攻击的次数有所减少,但这一趋势现在再次逆转。这可能部分是由于限制的解除和大量员工的回归。该研究还指出,自去年11月以来,包括DoppelPaymer、REvil/Sodinokibi和NetWalker在内的团体数量稳步增加,他们已经从简单地加密美国公共部门数据转向窃取和威胁公开泄露数据。对此,Emsisoft首席技术官FabianWosar警告称,“2020年不应继续重蹈2019年的覆辙。对人员、流程和IT进行适当投资将导致勒索软件事件的发生率显着降低,甚至如果是真的,如果发生勒索软件事件,其影响和破坏成本会低很多。黑客声誉+潜在利润=更多勒索软件勒索软件成功的商业模式和受害者支付的巨额利润使其人气持续飙升。vector直接从受害者那里赚取赎金。他们通过破坏受害者的在线环境来做到这一点,而数字货币(通常是比特币)提供的匿名性也使他们有可能获得报酬。此外,为外行人定制的解决方案,例如勒索软件-即服务(RaaS)和DIY(DIY)工具??包提供“开箱即用”的便利,利用这些工具发起攻击,进一步助长了勒索软件的增长。总之,与勒索软件相关的犯罪已经才刚刚开始,攻击者的潜在利润是巨大的,还有更多新的领域可以利用勒索软件的演变尽管绝大多数勒索软件仍然集中在关于文件加密(即加密文件并要求赎金解密),还有一些更高级的攻击策略,因为一些攻击者已经意识到文件成为“人质”只是一种赚钱的方式。攻击——无论是通过破坏、盗窃还是渗透——然后向受害者索要赎金以停止或恢复攻击很可能是恶意软件的未来。数据损坏文件和数据库损坏目前,最常见的勒索软件攻击类型是使用加密API的文件损坏(加密)。但是,我们也看到了针对MongoDB和MySQL等数据库的损坏攻击。由于数据库通常是组织最敏感数据所在的地方,因此对数据库的勒索软件攻击可能会进一步增加。请记住,加密只是腐败的一种形式。也可以是:完整的文件擦除;删除所有数据库表;任何数据篡改(例如,更改数据库记录)备份加密或完全擦除作为针对勒索软件的缓解技术,备份非常重要。然而,依赖备份并不理想——主要是因为需要花费大量时间来恢复和运行系统(显然,它们不能用作预防机制)。这种停机时间对员工和客户来说可能代价高昂——针对旧金山公共交通售票机的勒索软件就是一个例子。尽管如此,在勒索软件攻击已经发生后,备份仍然是一种很好的缓解措施。有备份的公司往往会选择拒绝支付赎金,也正因如此,一些针对备份的勒索软件攻击开始出现,目的是为了最大限度地索取赎金。如今,各种类型的勒索软件——包括WannaCry和CryptoLocker的新变种——会删除由MicrosoftWindows操作系统创建的卷影备份——这是MicrosoftWindows提供的一种轻松恢复的简单方法。在Mac上,攻击者从一开始就以备份为目标。研究人员发现,2015年第一个半功能Mac勒索软件已经使用MacOSX的自动备份过程TimeMachine瞄准磁盘。该机制很简单:加密备份数据以切断企业对勒索软件的控制,迫使他们支付赎金。攻击者越来越倾向于破坏备份。此外,像SamSam和Ryuk也是以备份为目标的勒索软件。11月,恶意行为者使用加密受害者计算机备份的SamSam恶意软件从包括医院在内的200多名受害者处勒索超过3000万美元。Ryuk使用删除影子卷和备份文件的脚本攻击了多个目标,包括洛杉矶时报和云托管提供商DataResolution。好消息是,今天,针对备份的勒索软件攻击大多是偶然的,而不是有针对性的。BoozAllenHamilton首席技术官DavidLavinder表示,根据勒索软件的不同,它通常会在系统中搜寻特定文件类型,因此如果它遇到带有扩展名的备份文件,它肯定会对其进行加密。数据渗漏这样,数据渗漏就像一个未开发的“金矿”等待着恶意行为者。以Vault7-中情局网络武器的泄露文件为例,然后由维基解密发布,让我们假设攻击者的目标是金钱,那么你认为哪种攻击形式-破坏或渗漏,对黑客来说最有效?有利可图的可能性包括:加密数据并要求付款以解密(腐败);窃取数据并试图在暗网上出售(渗漏);窃取数据并要求付款以防止数据泄露(渗漏);答案可能是渗出。暴露私有数据最能吓到数据所有者。这也可能是勒索软件流行率持续飙升的原因。财务记录、医疗记录、国家行为者数据、正在申请的专利或任何其他敏感数据的暴露是一个重大威胁。如果他们能回到过去,你认为Netflix会选择支付赎金来阻止《女子监狱》(女子监狱是新黑人)剧集的泄露吗?或者雅虎高管可能会同意支付费用以阻止发生10亿用户帐户泄露事件?显然,我们永远无法确定支付赎金是否能从黑客手中完好无损地取回你的数据(毕竟他们是恶意的),但不支付赎金最终肯定会导致你的数据被公开或被黑客出售.需要注意的是,我们不鼓励您选择支付赎金!我们要做的是不断完善自己的流程,形成更牢固、更严密的保护网。今天,我们已经看到了此类攻击的例子(窃取文件或数据库,然后索要赎金),例如开创这种攻击模式的Maze勒索软件。2019年11月,Maze勒索软件对AlliedUniversal的多台电脑进行加密,要求其支付300比特币(约合230万美元)解密全网,并称受害人的文件在加密前已被盗取,以此为由用于进一步胁迫受害人支付赎金。随后,Sodinokibi、DoppelPaymer等勒索软件也纷纷效仿。2020年1月,Sodinokibi勒索软件背后的运营者窃取了美国时装公司KennethCole的大量数据,并威胁要支付赎金或释放包括完整转储在内的被盗数据。在拒绝支付赎金后,Sodinokibi运营商于3月发布了下载链接,其中包含从美国时装公司KennethCole窃取的数据。8月,Sodinokibi入侵了美国烈酒和葡萄酒行业最大的公司之一Brown-Forman的网络,窃取了超过1TB的数据。2020年3月,DoppelPayme勒索软件入侵了VisserPrecision(汽车和航空航天行业定制零件制造商,客户包括SpaceX、特斯拉、波音、霍尼韦尔等)的计算机并对其文件进行加密,要求VisserPrecision支付3月底前交赎金,否则机密文件内容将在网上公布。拒绝付款后,DoppelPaymer将机密数据公开在网上。据报道,泄露的信息包括洛克希德-马丁公司设计的军事装备的详细信息(例如反迫击炮防御系统中的天线规格)、账单和付款表格、供应商信息、数据分析报告和法律文件。还包括Visser与Tesla和SpaceX之间的保密协议。虽然此类攻击已经出现,但它们显然只是冰山一角。数据泄露有可能继续成为巨大的赚钱工具。备份,不可忽视的一道防线个人或公司),防病毒解决方案无法有效阻止此类攻击。对于这种形式的攻击,备份无疑是一种有效的缓解手段。定期备份数据的企业在检测到勒索软件攻击时,有机会快速恢复数据并将损失降至最低。在某些特殊情况下,NotPetya等大型勒索软件模仿Petya勒索软件提出类似的勒索要求。在这种情况下,即使受害者支付了赎金,数据也无法恢复,因此良好的备份/恢复能力就显得尤为重要。由于良好的备份非常有效,勒索软件攻击者现在将目标锁定在备份过程和工具上。因此,备份作为遇到数据加密和勒索时的最后一道防线和控制手段,同样需要得到保护。您可以通过采取一些基本的预防措施来保护您的备份和系统免受这些新的勒索软件策略的侵害:1.使用额外的副本和第三方工具来补充Windows备份为了防止勒索软件删除或加密本地备份文件,安全专家建议建议使用其他备份或第三方工具或不属于Windows默认配置的其他工具。这样,恶意软件就不知道删除备份的确切位置。如果员工感染了某些东西,它可以被删除并从备份中恢复。2.隔离备份受感染系统与其备份之间的障碍越多,勒索软件就越难进入。一个常见的错误是用户使用与其他地方相同的身份验证方法进行备份。这样,如果您的用户帐户受到威胁,攻击者要做的第一件事就是提升他们的权限,一旦您的备份系统使用相同的身份验证,他们就可以轻松接管一切。使用不同密码的单独身份验证系统会使此步骤更加困难。3、在多个位置保留多个备份副本(321原则)为实现全面的数据保护,建议企业对重要文件保留三份不同的副本,至少使用两种不同的备份方式,其中至少一种需要将它们放置异地:3份数据备份:有的公司可能会觉得3份数据备份有点过分,但假设数据故障是一个独立的事件,同时丢失3份数据的概率是1一百万,不仅仅是百分之一的备份,大大提高了可靠性。拥有两个以上备份的另一个原因是将主副本和备份存储在不同的地方。存储在2个不同的介质上:存储在2个不同的介质上可以确保不会因使用同一设备存储数据而导致相同的故障。由于同一存储方案的不同硬盘可能会连续出现故障,因此建议至少将数据存储在两种存储介质中,并且介质需要位于不同的地方。1备份存储在远程位置:所有硬拷贝备份都可能因火灾等事故而损坏。近年来流行的一种存储方式是将数据存储在云端。这个选项是必须的。4.重要的事情说三遍:测试,测试,测试你的备份是毫无价值的,除非它们能够可靠快速地恢复。许多公司受到攻击只是为了发现他们的备份无法使用或过程过于繁琐而无法恢复。如果备份程序无法以足够的粒度执行备份或未备份目标数据,则拥有备份的企业也可能被迫支付赎金。例如,阿拉巴马州的蒙哥马利县被迫支付500万美元的赎金以最终恢复数据,因为数据备份无法恢复被勒索软件加密的文件。测试恢复过程包括确定数据丢失窗口。如果一个企业每周进行一次完整备份,它可能会丢失一周的数据,因为它需要从以前的备份中恢复。每日或每小时备份可以大大提高保护级别。更精细的备份和勒索软件的早期检测都是防止丢失的关键。我们做的不仅仅是备份。今天,随着技术的不断发展,一些勒索软件会被故意放慢速度,或者在加密之前一直处于休眠状态,这两者都意味着很难知道从备份中可以做什么。什么时间点恢复。此外,预计勒索软件会继续寻找更好的方法来隐藏自己,从而使恢复更加困难。我们最近还没有看到像WannaCry和Petya这样的大规模全球攻击,但一旦出现,势必会造成极大的破坏。对付勒索软件绝非易事,除了基本的备份工作外,以下建议将帮助您在面对勒索软件攻击时将损失降至最低并防止攻击:使用“开箱即用”警报系统进行数据审计和监控——主要用于事件发生后的取证和事件响应;启用实时阻止-仅针对威胁警报,有时为时已晚。实时拦截可以进一步防止攻击。除了实时拦截之外,隔离系统被入侵的用户/主机的能力也是一个巨大的优势;使用欺骗技术——对付勒索软件最有效的方法之一是植入数据诱饵,供黑客窃取/破坏,然后在它访问数据时发出警报/阻止。欺骗黑客并将其用于他们的优势;执行定期发现和扫描程序——识别敏感数据在网络中的位置;实施内部威胁和用户和实体行为分析(UEBA)技术——寻找针对数据访问行为的异常,尤其是那些有权访问它的人,包括粗心、威胁甚至恶意的内部人员;部署以数据为中心的整体解决方案-使用具有单一控制台的解决方案来集中保护并获取有关文件、数据库、Web和其他勒索软件攻击的信息。勒索病毒攻击愈演愈烈,防护之路必将任重而道远。面临重压的企业和组织必须全面完善防御体系,更好地应对更加严峻的挑战。
