在本周的RSA2020大会上,FBI特工JoelDeCapua分享了与勒索软件相关的话题。FBI通过私人分享或VirusTotal等渠道收集比特币钱包和赎金记录,统计受害者在过去六年中支付了多少赎金。据DeCapua称,在2013年1月10日至2019年7月11日期间,向勒索软件攻击者支付了价值约1.4435亿美元的比特币,而这一损失不包括与攻击相关的运营成本。相反,它是纯粹的赎金支付。通过分析收到赎金的勒索软件家族,Ryuk以6126万美元的总赎金收入脱颖而出。位居第二的是Crosis/Dharma,收入为2448万美元,紧随其后的是Bitpaymer,收入为804万美元。需要注意的是,在过去六年的全球范围内,因勒索攻击而实际支付的赎金一定远远超过了FBI计算的数字,因为有大量的赎金记录和无法获取的加密货币钱包。其次,很多公司对敲诈勒索攻击都严格保密,以免影响股价。JoelDeCapua在RSA2020的演讲实录:https://v.qq.com/x/page/b30739kvjg6.htmlFBI提供勒索软件防御技巧在DeCapua的分享中,他还提供了一些企业如何防御勒索软件攻击的建议。1.RDP占网络入侵的70%-80%DeCapua指出,Windows远程桌面协议(RDP)是攻击者在部署勒索软件之前获取网络访问权限的最常用方法。70%-80%的勒索软件以RDP作为初始立足点。因此,如果在企业中使用RDP,建议使用NetworkLevelAuthentication(NLA),要求客户端在真正连接到远程桌面服务器之前通过网络进行身份验证,可以有效提高安全性。帐户使用独特且复杂的密码。如果可能,将所有RDP服务放在VPN后面,这样它们就不能在Internet上公开访问。2.提防钓鱼攻击。DeCapua特别提到,除了通过RDP网络入侵外,勒索病毒还会经常利用钓鱼或远程代码执行漏洞。所有用户都必须警惕带有附件的陌生电子邮件,这些电子邮件要求您启用内容或启用编辑,并且在未与IT或系统管理员交谈之前不要授予权限。网络钓鱼越来越难以检测,也越来越复杂,尤其是现在攻击者正试图破解同事的帐户并使用它们来对其他员工进行网络钓鱼。因此,请始终警惕任何带有附件的电子邮件,如果您不能100%确定它们是否安全,请在打开前通过电话联系发件人或联系您的系统管理员。3、及时更新软件和操作系统。在每个月的第二个星期二,Microsoft将发布其软件和Windows的安全更新。在更新发布后不久就披露POC漏洞是很常见的,这对管理员和研究人员来说非常重要。人是有用的,但也可能被攻击者利用。因此,尽快安装这些更新非常重要,尤其是面向公众的服务(如RDP、Exchange等)。4.使用复杂密码大家都知道需要使用不同的复杂密码来保证每个登录账号的唯一性。不幸的是,并不是每个人都认真对待这个建议,并且在每个网站上仍然使用相同的密码。这意味着,如果其中一个网站遭到黑客攻击,您暴露的凭据可能会被用于对其他网站进行撞库攻击,甚至可能用于Web登录。推荐使用密码管理器来管理复杂的密码,可以有效提高每个账号的安全性。5.监控你的网络DeCapua表示,企业中不可避免地会有人遭受网络钓鱼、黑客攻击或其他形式的网络入侵,因此时刻监控网络是否存在可疑活动非常重要。“你无法阻止入侵,但当攻击者横向移动并试图提升他们的特权时,它就会变得显而易见,”DeCapua说。企业需要网络监控工具和入侵检测系统来检测其网络和流量中的可疑活动。6.有一个应急计划和备份如果发生了意外,那么你最好有一个好的应急计划和备份。无论您如何努力保护您的计算机和网络,总会有人点击错误的东西,或者服务器会以某种方式暴露。因此,请始终确保您每晚都有一个经过测试且有效的文件版本控制备份例程,包括无法通过云访问的离线备份。典型的勒索软件攻击者还以受害者的基于云的备份服务为目标,并在加密之前删除所有备份。因此,保持一个不能被入侵者擦除的离线备份是非常重要的。
