勒索软件是一种远程数字恶意软件,其特点是破坏力大、经济影响大,影响范围广泛,从尖端太空科技公司到羊毛行业再到工业环境。.最近,勒索软件将数据加密与数据泄露相结合,以增加其对受害者的影响。Mandiant情报研究表明,关键区域的防御和操作可以让组织在受到攻击之前阻止勒索软件攻击。MandiantIntelligence审查了2017年至2019年的数十起勒索软件事件调查。通过这项研究,从初始入侵向量、停留时间和勒索软件部署中确定了一些共同特征。还发现了攻击者在利润最大化方面的创新(图1)。所有事件都影响了北美、欧洲、亚太地区和中东几乎所有行业的组织,包括金融服务、化学材料、法律和专业服务、地方政府和医疗保健。这些事件让我们更好地了解勒索软件趋势,但这些数据只是所有活动的一个样本。例如,勒索软件事件从2017年到2019年增加了860%。这些事件大多是被黑客攻击后被感染和勒索,攻击者利用黑客攻击和勒索的策略来增加支付赎金的可能性。GANDCRAB、globeimparter等勒索软件立即被执行的事件也有观察到,但大多数受害者受害时间较长,勒索软件受害后才被部署。1.常见的初始感染向量多起勒索软件事件中的几种初始感染向量:包括RDP、带有恶意链接或网络钓鱼的电子邮件,以及下载恶意软件进行后续处理。2017年观察到更频繁的RDP,并在2018年和2019年有所减少。这些攻击媒介说明了勒索软件进入受害者环境的各种方式,并非所有方式都需要用户交互。(1)RDP或其他远程访问最常见的攻击媒介之一是通过远程桌面协议(RDP)登录受害者的系统。RDP登录是勒索软件感染前的第一个证据。目标系统可能使用默认或弱凭证,攻击者通过其他未被发现的恶意活动获取有效凭证,攻击者通过暴力破解获取登录凭证,或者从其他组织和个人购买RDP访问权限。(2)网络钓鱼链接和附件大量勒索软件案例与网络钓鱼有关,这些活动中出现了几个恶意软件家族以获取经济利益:TRICKBOT、EMOTET和Factedamyy。(3)恶意文件下载感染几种勒索软件感染可以追溯到受害者访问恶意网站引起的DRIDEX感染。受感染的网络基础设施于2019年10月被发现,该基础设施服务于FAKEUPDATES、DRIDEX等恶意文件。2.感染时间大多数勒索软件部署发生在感染后三天或更长时间,从第一次检测到恶意活动到检测到恶意活动之间经过的天数勒索软件的部署时间从0到299天不等(图2)。停留时间范围高,基本上是第一次访问和勒索软件部署之间有一个时间间隔。在75%的事件中,从最初的恶意活动到部署勒索软件需要三天或更长时间。表明许多组织如果能够快速检测、遏制和补救,就可以避免勒索软件感染造成的重大损害。几项调查发现有证据表明勒索软件已安装在受害机器上,但尚未成功执行。3.部署时间勒索软件通常在下班后部署。在审查的76%的事件中,勒索软件是在周末或上午8:00之前和下午6:00之后执行的,如图3和图4所示。一些攻击者可能会故意选择在下班后、周??末或期间部署勒索软件假期,以最大限度地发挥其作用。在其他情况下,攻击者将勒索软件部署与用户操作相关联。例如,在2019年针对零售和服务公司的攻击中,攻击者创建了ActiveDirectory组策略,可以根据用户登录和注销触发勒索软件。4、建议企业需要使用邮件和主机安全产品来防范和检测常见的恶意软件,如TRICKBOT、DRIDEX和EMOTET。快速遏制和补救感染,防止攻击者跟进或出售访问权限。审核网络边界和防火墙规则以识别任何无法访问Internet的系统。禁用RDP和其他协议,启用多重身份验证,尤其是对于可通过Internet访问的连接。对未设置多因素机制的用户强制执行多因素身份验证并禁止单因素身份验证。定期对所有员工进行反钓鱼培训。尽可能实施网络分段,以防止潜在的感染传播。备份关键数据,确保业务连续性;必要时存储在异地,备份通常成为攻击者的目标。将本地管理员帐户限制为特定的登录类型。使用LAPS解决方案为每个系统生成唯一的本地管理员密码。不要在内存中存储明文密码。考虑勒索软件感染网络保险。
