被勒索软件攻击并加密关键数据可能还不是最糟糕的。近日,反病毒公司Emsisoft发现了多起“双重加密勒索”案例,受害者的数据先后被多个勒索软件加密,或者数据被同一个勒索软件加密两次。大多数勒索软件组织没有道德底线和“契约精神”。许多受害者支付了赎金,恢复营业后,勒索组织又卷土重来。此外,现在越来越多的勒索软件采用“双重勒索”策略。攻击者会在加密目标系统的数据之前窃取数据。因此,即使受害者有备份数据,勒索软件仍然可以利用泄露的数据作为赎金。如果说“双重勒索”只是为了确保受害企业支付赎金,那么勒索团伙的最新策略——“双重加密”就更加令人发指了:勒索黑客会对受害者的数据进行两次加密,索要两次赎金。此前业界观察到的两起加密勒索软件攻击往往是“意外事件”,通常是由两个单独行动的勒索软件团伙碰巧同时攻击同一受害者造成的。“双重加密”是单个勒索软件团伙蓄意攻击受害者的方式。根据反病毒公司Emsisoft的一份报告,该公司发现了数十起“双重加密”勒索软件攻击,其中勒索软件团伙故意组合使用两种类型的勒索软件。Emsisoft威胁分析师BrettCallow表示:“这些勒索软件组织一直在努力找出最佳的勒索策略,以用最少的努力赚取最多的钱。”双重加密攻击的受害者发现,他们为解密而支付的数据仍然是加密的。”卡洛说,一些受害者立即收到了两份赎金通知,这意味着在这些攻击中,黑客希望他们的受害者知道他们正在被双重加密。然而,在某些情况下,受害者在支付移除第一层加密后才会看到第二张赎金票据,需要再次付款才能解锁第二层加密。“即使在标准的单层加密勒索软件案例中,数据恢复也常常是一场噩梦,更糟糕的是,这些天我们看到越来越多的双重加密攻击,我们认为企业正在考虑他们的勒索软件,”Callow说。您在回复时应该意识到这一点。“Emsisoft已经确定了两种截然不同的双重加密勒索策略。首先,黑客使用勒索软件A加密数据,然后使用勒索软件B重新加密数据。另一种策略是所谓的“并行加密”攻击,攻击者加密一些带有勒索软件A的企业数据和部分带有勒索软件B的数据。在这种情况下,虽然数据只被加密一次,但受害者将需要“购买”两个解密密钥才能解锁所有内容。研究人员还注意到,在并行加密中攻击时,攻击者会尝试使用两种看起来尽可能相似的勒索软件,使事件响应者更难弄清楚发生了什么。勒索软件团伙通常从收益共享模型(RaaS)开始,在该模型中,一小群人开发和维护一系列勒索软件,然后将其攻击基础设施出租给执行特定攻击的“成员”。卡洛指出,双重加密适合这种模式,其中“成员”直接进行攻击的rs”可以与两家勒索软件开发商和运营商分享收益。此前,行业报告显示支付赎金的风险非常高,因为只有8%的企业在支付赎金后可以获得所有数据的解密密钥,而双重加密攻击“双重赎金”增加了这种风险,并且它也意味着企业备份和恢复数据的能力比以往任何时候都更加重要。但Callow指出:“虽然从备份中恢复数据是一个漫长而复杂的过程,但双重加密不会使它变得更复杂。如果你决定从备份中重建,你就是在重新开始,不管有多少旧数据被加密的次数。“双重加密攻击对勒索软件受害者构成了新的威胁,他们最初没有足够的备份,或者不想花时间从头开始重建他们的系统。但是,如果发现更多的受害者不愿意为双重加密攻击“买单”,那么攻击者可能会选择新的策略。【本文为专栏作者“安全牛”原创文章,转载请通过安全牛(微信♂id:gooann-sectv)获得授权】点此阅读更多作者好文
