勒索软件是当今所有组织的持续威胁。随着加强防御和制定应对网络攻击的战略计划,恶意行为者将发起更复杂的攻击,使防御变得更加困难。勒索软件通常旨在通过在网络中传播来削弱组织。这种威胁使一些组织损失了数百万美元。了解勒索软件攻击,例如它的工作原理、发起方式、响应方式以及降低风险的方式。什么是勒索软件,它是如何工作的?勒索软件是一种恶意软件,它对个人、组织或机构的关键数据、文件和操作系统进行加密,并要求支付赎金才能解密。这是一种网络操纵形式,恶意行为者发现易受攻击的漏洞并利用它们攻击组织,使他们无法访问其计算机、数据库、服务器、应用程序和文件。勒索软件以多种方式控制系统,例如网络钓鱼电子邮件或针对性攻击。一旦它获得了攻击向量并建立了对端点的控制,它将一直存在直到其任务完成。一旦勒索软件在系统中站稳脚跟,它就会将恶意二进制文件投放到系统中,然后系统会发现并加密数据文件,例如文档、PDF、多媒体文件和数据库存储。勒索软件还可能利用网络或服务器漏洞在其他系统中传播,并可能试图感染整个组织。当勒索软件攻击者掌握了组织的数据时,他们会试图勒索受害方支付所需的赎金来解密文件,否则将面临数据和潜在系统丢失的可怕后果。如果组织没有可靠及时的数据备份并拒绝支付赎金,他们唯一的选择就是损失时间和资源,并可能损害客户关系、品牌受损、股东诉讼和监管罚款。为什么勒索软件如此普遍?尽管增加勒索软件攻击可能性的原因有很多,但COVID-19无疑在导致勒索软件攻击显着增加方面发挥了重要作用。它迫使个人、企业和公共部门机构迅速转向数字技术以继续其业务运营。但即使没有COVID-19引入的漏洞,勒索软件也已成为一个日益严重的威胁。防御措施方面,勒索软件攻击的威胁占上风。以下是禁用复杂反技术以防止勒索软件攻击的一些因素:网络犯罪分子现在非常复杂,可以访问最新的资源、工具和技术。市场为网络犯罪分子提供了恶意软件工具包,即使是最不熟练的黑客也可以将其部署到受害者身上。勒索软件即服务(RaaS)勒索软件即服务(RaaS)是一种以固定价格作为服务提供的勒索软件分发模型。这是一项基于订阅的付费服务,可为恶意行为者提供部署勒索软件攻击所需的工具。这听起来可能有些离奇,但它是部署勒索软件攻击的一种有效且实用的方法。勒索软件即服务(RaaS)运营商与网络犯罪分子有关联,为他们提供必要的设备、工具、支付门户以接收赎金,并偶尔提供技术支持。勒索软件即服务(RaaS)提供商通过合同协议或按使用付费协议获得部分赎金利润。为什么抓到勒索软件罪犯这么难?网络罪犯经常使用比特币等加密货币进行货币交易。凭借其所有优势,加密货币无法追踪,这使它们对犯罪分子有利。金钱追踪是追踪犯罪和罪犯的最有效方法之一。由于加密货币提供的匿名性,法律机构很难追踪资金的流动。此外,勒索软件被设计为多态的,不留任何残留,并且可以轻松绕过传统的基于签名的保护。网络犯罪分子经常成群结队,这使得追踪攻击者变得更加困难。针对勒索软件的保护措施某些做法可以极大地帮助减轻勒索软件攻击。一些常见的做法包括:(1)数据备份定期备份关键数据是抵御勒索软件犯罪分子的第一步。为确保组织不会被锁定在其系统和数据文件之外,他们应该始终并经常将其数据的备份副本存储在外部硬盘驱动器或云存储上。万一被勒索软件感染,虽然可能需要很长时间,但您可以格式化电脑,通过备份上传所有数据文件。这样,就可以避免因索要赎金而造成的损失。虽然备份数据无法防止这些攻击,但它可以提供一定程度的保护。(2)保护备份网络犯罪分子也在制定策略来破坏、加密或删除备份系统。因此,仅仅依靠备份是不够的。许多组织使用特权访问解决方案来保护他们的备份,因此只有特定授权的个人才能访问或修改它。(3)安装和维护安全软件较旧的软件版本为网络参与者提供了易受攻击的访问点来控制系统。这就是为什么在您的组织中部署全面的安全软件以保护所有系统和软件至关重要。尽早并经常更新所有设备和软件。(4)安全上网的做法是指用户不点击不必要的链接,只回复合法的电子邮件。在大多数情况下,勒索软件通过网络钓鱼进入,诱使用户打开包含恶意软件或其他病毒的危险文件。(5)不安全的公共Wi-Fi网络也构成威胁,因为每个人都可以访问它们,包括恶意行为者。无论用户身在何处,安装虚拟专用网络(VPN)都可以提供安全的互联网连接。但是,VPN无法防止设法访问内部网络的黑客。(6)保持警惕随时了解最新的勒索软件威胁并保持警惕,以便企业对潜在的攻击保持警惕。此外,请注意市场上可用的解密工具,如果企业成为勒索软件的受害者,这些工具将有所帮助。(7)网络安全意识计划许多员工可能没有完全理解网络安全的概念,他们的一些活动会增加网络攻击的风险。因此,企业需要定期进行演习、模拟活动并培训员工,以便他们能够警惕网络钓鱼和其他社会工程攻击。如何在勒索软件攻击期间做出响应在发生网络攻击时,企业必须迅速采取行动以限制影响。有一些缓解措施可供遵循:(1)隔离受感染的设备以阻止传播当勒索软件感染系统时,它会构成中等威胁。然而,当灾难蔓延到整个组织时,灾难性事件就开始了。事件响应时间决定了损害的程度。因此,快速响应以将受感染设备与网络、服务器和其他设备隔离并断开连接至关重要。此外,应立即关闭无线连接(如蓝牙、WiFi、热点等)以限制感染。(2)评估损害由于勒索软件可能已经存在于其他设备中,因此建议评估所有数据文件和任何可疑活动。例如,最近加密的具有奇怪扩展名的文件、具有奇怪文件名的报告或用户无法打开的文件。一旦发现受感染的文件,请将它们与网络断开连接以遏制感染。评估的目标是全面报告所有潜在的攻击向量、端点设备、存储等,以便采取适当的保护措施。锁定所有文件共享将停止正在进行的加密,防止其进一步传播。(3)识别零号病人零号病人是感染源,通常是网络犯罪分子首先瞄准的设备或系统,勒索软件感染通过这些设备或系统进入环境。控制感染的行动将继续进行,直到找到零号病人。获得可见性需要检查来自反恶意软件和其他监控平台的任何警报。由于网络钓鱼电子邮件和恶意附件经常发起攻击,因此值得向员工询问他们可能收到和打开的任何可疑电子邮件。您还需要仔细查看文件属性,这将提供有关入口点的线索。(4)识别勒索软件变种在深入研究安全防御之前,了解可能攻击您系统的勒索软件变种是很有帮助的。有多种工具可以扫描加密文件并深入了解所涉及的变体。企业需要进行研究以更好地了解它,并提醒所有员工注意他们的行为和迹象,以确定他们是否已成为攻击目标。(五)向执法机关举报网络攻击行为属于违法行为,应尽快向执法机关举报,接受监督。执法部门需要及时准确的详细信息,以便进行彻底调查。(6)恢复数据备份在采取所有预防措施之后,是时候继续响应过程了。正确快速地执行上述步骤将提供完整且无感染的备份。下一步是使用反恶意软件来消除勒索软件,以防止进一步传播。一旦删除了所有勒索软件的痕迹,就可以使用备份来恢复系统数据。(7)考虑其他解密选项许多企业发现自己没有可行的备份,要么是因为他们受到勒索软件的危害,要么是因为他们未能及时备份数据。在任何一种情况下,即使没有备份,使用解密工具重新访问数据的机会也很小。有几个可用的密钥和应用程序可以解密被勒索软件锁定的数据。然而,这是一个漫长的过程,运气好的话,锁定的数据可能会在几天内恢复。没有可行的备份,没有解密工具的帮助,情况变得非常困难,损失可能是巨大的,并且由于必须处理损失并在重建过程中投入大量时间,因此从头开始重建并不容易、资源和成本。为什么支付赎金不明智?数周或数月的处理数据恢复的漫长而复杂的过程可能会稀释资源的价值。这就是为什么一些企业选择支付赎金的原因。然而,这不是一个明智的决定,原因如下:即使支付了赎金,也不能保证黑客会发送解密密钥。支付赎金后商家被骗的例子很多。当按照犯罪分子的规则行事时,不能保证他们会按照交易规则行事。通常,一旦支付了所要求的赎金,网络犯罪分子就会索要更多的钱。他们知道解决勒索软件攻击的紧迫性和意愿,让受害者任其摆布。即使犯罪分子停止交易并向受害人提供解密密钥,也不能保证密钥一定有效,尤其是在损坏严重到无法修复的情况下。如果支付了赎金,企业也可能会经历另一次赎金攻击,因为其他网络犯罪分子发现自己很容易成为猎物。支付赎金会鼓励犯罪活动,并使勒索软件成为一种可行的商业模式。如果受害者拒绝支付赎金,网络犯罪分子将不得不寻找其他创收方式。
