与黑客讨价还价,勒索攻击企业数据是重点攻击,有的勒索攻击直接中断企业业务,有的勒索攻击,企业已经做好数据备份,暂时没有中断业务存在,但它仍然被勒索。是什么原因?讨价还价作者在跟踪分析某流行勒索病毒家族样本时发现,某国外公司与黑客在暗网上“讨价还价”。黑客组织向该公司索要“封口费”,否则将在暗网上公布和出售该公司的数据。受害企业通过黑客提供的勒索信息找到了黑客组织。黑客直接索要150万美元,声称窃取了公司200G的数据,包括公司的会计、法律文件、财务、合同、私人信件等。如下图:黑客声称,如果不付钱,他们将在黑客论坛上发布和出售该公司的数据。这时受害者必须验证黑客是否真的窃取了公司的数据,所以受害者希望黑客提供被盗数据的相关证据,黑客向受害者提供了被盗数据的30%的信息树,如下图:黑客向受害者提供了相关的数据树信息,如下图:此时,受害者根据数据的有效性,随机找到了几个重要的文件,要求黑客提供这些文件,以验证他们是否确实被盗了,如下图:黑客将这些文件发送给了受害者,并通过了验证。企业的数据被盗,于是企业开始评估数据的价值,最终要求黑客组织只支付15万美元,如下图:经过一轮“讨价还价”,企业最终增加了赎金达到了20万美元,但是黑客还给出了90万美元的价值,就好像在菜市场买菜讨价还价一样。公司也在评估这些数据的价值,黑客会做出相应的让步,然后公司就涨价了。赎金被提高到22.5万美元,黑客也给出了相应的让步,变成了87.5万美元,如下图:这场与黑客组织的“讨价还价”就这样进行着,公司最终会付出多少是赎金?目前,他们愿意支付的赎金已从最初的15万美元上涨至22.5万美元,黑客也从最初的150万美元降至87.5万美元。Process...勒索病毒攻击其实对于勒索病毒攻击,正如笔者上一篇文章所提到的,业界存在两种误区:(1)反勒索病毒攻击不仅是反勒索病毒,还需要防御它是黑客组织的一套完整的攻击过程,以及出现在整个攻击链各个环节的各种不同功能的恶意软件和相关漏洞。(2)防勒索软件攻击不仅仅是备份企业数据,万事大吉。勒索攻击的关键不仅仅是企业在被勒索病毒攻击后能否拿到解密工具,解密数据,快速恢复业务,但在黑客入侵并安装恶意软件后,在这个潜伏期,企业的核心数据是否被黑客窃取,未来这些数据是否会在暗网上公开出售。关于这两个误区的更多细节,可以参考笔者的一篇文章《从HSE攻击事件漫谈针对勒索攻击防御的两大误区》。勒索软件攻击不等于勒索软件病毒。使用勒索病毒只是勒索攻击的一种手段。企业数据,之前有很多企业的数据被盗,黑客组织也会在暗网上出售,但这种方式似乎并不能给黑客组织带来立竿见影的收益。随着勒索软件的发展,勒索软件攻击已经成为一种手段。过去,一些黑客组织也迅速更新商业模式,开始通过公布核心数据来勒索企业支付“封口费”。这种方式似乎成为未来另一种勒索方式。总结无论是通过勒索病毒直接加密企业数据,还是长期通过各类恶意软件窃取企业核心数据,其实这两种勒索攻击的核心都是一样的,就是企业数据,所以保护好企业数据是防止勒索攻击的关键。数据安全一直是黑客攻击的重点,无论是过去、现在还是未来。黑客获利的关键是企业数据。获取企业数据的方式有很多种。有的是“内鬼”和“间谍”,有的是恶意软件窃取,有的是可以通过某些漏洞获取,但不管是哪种方式,勒索攻击实际上已经发展成了APT攻击模式,反勒索攻击是防御APTTargeted攻击,企业数据被黑客组织窃取或破坏,是勒索软件攻击的核心目标。事实上,黑客组织一直很活跃,暴露出来的永远只是冰山一角。作者一直致力于研究世界各地的各种恶意软件家族。近期出现了几种新型的勒索病毒和窃密木马,其功能非常强大。大家一致认为,恶意软件是与黑客组织最直接、最有效的沟通桥梁。通过研究各种恶意软件家族,您可以更深入地了解黑客组织在做什么?你想让我做什么?目标是什么?使用了什么攻击过程?黑客组织的运作模式是什么?他们接下来要做什么?通过对恶意软件的分析,还可以从样本中得到很多非常有价值的威胁情报信息。我常说做安全分析就像警察办案抓罪犯。只有通过技术分析,不断猜测犯罪分子的作案过程,才能做到知己知彼、知其然,才能抓获犯罪分子。前段时间看了国内上映的一部新电影《除暴》,其实它的核心是警察通过分析罪犯的作案手法来还原作案过程。电影中的警察凭借丰富的办案经验,不断分析罪犯的犯罪活动,知己知彼,还原甚至提前预知罪犯的下一步活动,最终找到罪犯,将罪犯抓获.
