2020年5月12日是WannaCry勒索软件攻击三周年。据估计,WannaCry攻击已影响全球150个国家/地区的数十万网络终端,总损失高达40亿美元。WannaCry勒索软件本身使用NSA开发的两个独立漏洞来感染网络端点并在整个网络中传播。利用美国国家安全局开发的ShadowBrokers攻击组织在线泄露的DoublePulsar后门工具,将受感染网络上的WannaCry勒索病毒勒索软件自身的一个副本安装并在终端上执行。然后,它使用EternalBlue漏洞(ShadowBrokers泄露的另一个NSA工具)加密并感染其他网络端点的数据,该漏洞滥用了在未打补丁的MicrosoftWindows操作系统中实现SMBv1协议时的一个漏洞,最终想出了一个勒索程序消息,要求比特币解密加密数据。WannaCry攻击,连同其他一些浮出水面或专门针对新泄露的NSA漏洞的勒索软件攻击,被一些网络安全从业者称为2017年的网络安全灾难。这场网络安全灾难以及勒索软件攻击的不断出现,证明了一般网络攻击,尤其是勒索软件的破坏性潜力。当您考虑到勒索软件攻击还损害了英国的国民健康服务,导致挽救生命的手术和其他治疗被延迟甚至取消,从而导致生命损失时,损害的可能性变得惊人。自这种特殊类型的恶意软件广泛传播以来,2017年的“地狱之夏”被广泛认为是短历史上最大的勒索软件爆发浪潮。然而,2017年勒索软件攻击造成的破坏只是一个非常可疑的进化链中的最新一个。在过去的三年中,攻击者一直在不断升级和现代化这些大规模杀伤性武器,以最大限度地增加他们自己的金钱收益并造成更广泛的破坏。这方面的一个例子是勒索软件即服务(RaaS)或勒索软件附属程序的兴起。在过去几年的许多案例和变体中,实际的攻击者(即附属公司)不需要具备任何类型的深厚技术技能,就能传播网络钓鱼电子邮件或诱使人们双击它们。在文件中,有一个特别的例子值得特别注意。GandCrab勒索软件于2018年初首次出现,为攻击者提供了“流量销售、垃圾邮件和永久安装的渠道”。除了类似的RaaS服务产品外,GandCrab的创建者承诺专注于性能、灵活性和可靠性,同时为参与者提供持续的产品支持和更新,以及技术支持。GandCrab在流通的大约一年时间里,一直在不断更新和维护,努力使其规避机制越来越先进,以尽量减少不同安全解决方案检测和防御的机会。机会,GandCrab的创建者宣布终止联盟计划。在他们的通知中,他们声称在一年内赚了1.5亿美元。因此,官方的GandCrab附属计划声称已为其各种参与者赚取超过20亿美元,受害者数以万计,包括组织和个人。据估计,该项目几乎占据了全球RaaS市场的一半。然而,即使在GandCrab的官方程序终止后,RaaS和GandCrab的现代变体仍在运行。在勒索软件受害者无法支付赎金的情况下,GandCrab勒索软件附属程序广告泄露或发布来自受感染组织的敏感数据的另一个示例。与过去的勒索软件不同,这些变体会在加密任何数据之前将数据从受感染的网络端点泄露到攻击者控制的服务器。泄露的数据随后被用作另一种威胁,有时甚至是更有效的威胁,以确保受害者支付赎金。该技术旨在处理许多情况,在这些情况下,由于随时可用的备份和结构良好的业务连续性计划,组织能够从看似毁灭性的攻击中恢复过来。公共数据泄露的威胁包括对私人数据、敏感知识产权、财务信息甚至用户凭据在线发布供全世界查看的声誉、业务和监管的恐惧和潜在损害。出现勒索软件威胁的第三个例子集中在运营技术(OT)网络和设备以及工业控制系统(ICS)上。最后一个勒索软件家族一直以全世界的工业和医疗部门为目标,自COVID-19大流行开始以来,案件数量急剧增加。目标是打击未打补丁的系统,这些系统要么是由于遗留软件控制的工业系统无法在现代操作系统上运行,要么是过于敏感而无法承受大多数补丁和重启周期,这些威胁很少能有效防御。在许多情况下,由于系统的高灵敏度,被击中的系统完全无法使用。因此,他们可能遭受的任何停机时间,更不用说由于勒索软件攻击而导致的完全锁定,对大多数组织来说都是灾难性的,导致他们愿意几乎立即支付赎金。与一些研究预测相反,勒索软件似乎会继续存在。每当勒索软件案例减少,或其他更普遍的威胁似乎增加时,新的创新技术和服务似乎就会出现。也就是说,勒索软件攻击是可以减轻的,并且可以通过久经考验的方法将潜在损害降到最低:不要下载不受信任的文件或附件,也不要点击任何未经验证的链接。定期备份个人和公司计算机,包括关键网络端点和服务器。实施结构化、高效的补丁管理和软件更新程序,并在所有可能的操作系统和第三方软件上实施。考虑对未打补丁的网络端点和极其敏感的数据资产实施完全隔离,以最大限度地降低这些资产被破坏或受损的风险。如果可能,请不要支付赎金。向攻击者支付费用使他们更加贪婪,主要是为了让勒索软件市场对威胁行为者更具吸引力。需要注意的是,在很多情况下支付赎金并不能保证恢复锁定的文件。在某些情况下,甚至可以使用特殊的恢复工具来恢复数据。使用网络端点安全解决方案保护您的网络端点。
