根据最新的Sophos报告,勒索软件试图通过滥用受信任的合法程序来覆盖过去的安全控制,然后利用内部系统加密最大数量的文件并禁用备份和恢复程序,直到IT安全团队赶上。勒索软件的主要模式勒索软件通常以三种方式之一传播:作为勒索软件即服务(RaaS),在暗网上作为分发包出售(例如Sodinokibi);或通过自动主动攻击者,攻击者在自动扫描网络以搜索受保护程度较低的弱系统后手动部署勒索软件。CryptographicCodeSigningRansomware使用购买或窃取的合法数字证书的加密代码签名勒索软件试图说服某些安全软件该代码是可信的并且不需要分析。特权提升使用现成的漏洞利用(例如EternalBlue)提升访问权限来提升特权。这允许攻击者安装程序,例如远程访问工具RAT,以及查看、更改或删除数据,创建具有完全用户权限的新帐户,以及禁用安全软件。跨网络横向移动和狩猎攻击者可以在一小时内创建脚本,在网络端点和服务器上复制和执行勒索软件。为了加快攻击速度,勒索软件可能会优先处理远程/共享驱动器上的数据,首先针对较小的文件大小,然后同时运行多个加密过程。远程攻击的威胁是文件服务器本身通常没有感染勒索软件。相反,威胁通常在一个或多个受感染的端点上运行,滥用特权用户帐户,有时通过远程桌面协议(RDP)或针对托管服务提供商(MSP)常用的远程监控和管理(RMM)解决方案来远程攻击文档。管理客户的IT基础设施和/或最终用户系统。文件加密和重命名文件加密方法有很多种,包括简单地覆盖文件,但大多数都伴随着删除备份或原始副本,阻碍了恢复过程。勒索软件攻击的演变“勒索软件的创建者非常了解安全软件的工作原理,并相应地调整了他们的攻击。一切都是为了避免检测,同时恶意软件尽可能快地加密尽可能多的文档,如果不无可能,数据也很难恢复。”在某些情况下,大部分攻击发生在晚上,此时IT团队正在家里睡觉。当受害人发现发生了什么事时,为时已晚。“拥有强大的安全控制、到位的治理和对所有端点、网络和系统的响应以及及时将软件更新安装到最新版本至关重要。
