近年来,勒索病毒的威胁已经相当普遍,为了预测和制定安全防护策略,有必要对其原理进行深入分析。好消息是,在上周的一篇文章中,卡巴斯基分享了其对SecureList网站上各种勒索软件的调查,并揭示了一些常见的攻击模式。(来自:卡巴斯基)卡巴斯基重点介绍了八款活跃的勒索软件,并指出幕后黑帮为他们选择了极为相似的运作方式。据悉,该报告对Conti/Ryuk、Pysa、Clop(TA505)、Hive、Lockbit2.0、RagnarLocker、BlackByte和BlackCat的策略、技术和程序(TTP)进行了深入分析。参考文章中分享的框图,分析/数字取证专家和其他安全专业人员可以使用它来实施更有效的识别和攻击策略。据VentureBeat统计,上述8个勒索软件团伙在去年对美国、英国和德国各行业的500多家组织进行了攻击。从卡巴斯基列出的几十个步骤来看,每一种勒索软件的攻击模式都是独一无二的。例如,几乎所有的勒索软件团伙都喜欢从外部远程服务器进行攻击,只有一半仍然使用钓鱼手段。此外,所有团伙都倾向于支持WMI、命令和脚本解释器、应用层协议、Web协议、签名二进制执行等目标。最近的勒索软件受害者包括QNAP、ASUStor和NVIDIA。6月初,富士康在墨西哥的工厂也遭到了Lockbit2.0的攻击。防止系统恢复或加密最有影响力的数据仍然是相当普遍的做法。然而,一些不太受欢迎的策略也涉及BITS作业。并从密码存储或通过Web浏览器获取帐户凭据。
