如何了解勒索軟件以及如何防范���?
2022年05月09日
勒索軟件如今成為對所有組織的持續(xù)威脅�����。當人們努力加強防御并制定應對網(wǎng)絡攻擊的戰(zhàn)略計劃時���,惡意行為者將會發(fā)起更復雜的攻擊�,從而增加了防御的難度���。
勒索軟件通常旨在通過在整個網(wǎng)絡中擴展來癱瘓組織。這種威脅使一些組織損失數(shù)百萬美元��。以下了解勒索軟件攻擊��,例如它是如何工作的��、是如何啟動的��、如何響應��,以及如何降低風險�。
什么是勒索軟件以及它是如何工作的?
勒索軟件是一種惡意軟件,它對個人���、組織或機構(gòu)的關(guān)鍵數(shù)據(jù)�、文件和操作系統(tǒng)進行加密���,并需要支付一筆贖金才能對其進行解密����。它是一種網(wǎng)絡操縱形式���,惡意行為者會在其中找到易受攻擊的漏洞并將其用于攻擊組織�����,從而使他們無法訪問其計算機�、數(shù)據(jù)庫��、服務器�����、應用程序和文件�。
勒索軟件通過多種方式控制系統(tǒng)�����,例如網(wǎng)絡釣魚電子郵件或有針對性的攻擊����。一旦它獲得了攻擊向量并在端點上建立了控制����,它將一直潛藏在那里,直到其任務完成�����。
勒索軟件在系統(tǒng)內(nèi)部建立據(jù)點后��,它會將惡意二進制文件放入系統(tǒng)�����,然后系統(tǒng)會發(fā)現(xiàn)并加密數(shù)據(jù)文件�,例如文檔���、PDF����、多媒體文件和數(shù)據(jù)庫存儲。勒索軟件還可能利用網(wǎng)絡或服務器漏洞在其他系統(tǒng)中傳播�����,并可能試圖感染整個組織���。
當勒索軟件攻擊者隨意支配組織的數(shù)據(jù)時����,他們試圖勒索受害方以支付所需的贖金來解密文件����,否則將面臨數(shù)據(jù)和潛在系統(tǒng)丟失的嚴重后果。如果組織沒有可靠及時的數(shù)據(jù)備份并拒絕支付贖金��,他們唯一的選擇就是承擔時間�����、資源的損失以及客戶關(guān)系的潛在損害�、品牌損害、股東訴訟和監(jiān)管罰款等后果���。
為什么勒索軟件如此普遍����?
雖然有許多原因增加了勒索軟件攻擊的可能性,但新冠疫情無疑在導致勒索軟件攻擊顯著增加方面發(fā)揮了重要作用�����。它迫使個人�、企業(yè)和公共部門機構(gòu)迅速轉(zhuǎn)向數(shù)字技術(shù)以繼續(xù)其業(yè)務運營。但是�����,即使沒有新冠疫情引入的漏洞�����,勒索軟件也已成為日益嚴重的威脅�����。
防御措施�,勒索軟件攻擊的威脅占上風�。以下是一些禁用復雜的反技術(shù)以防止勒索軟件攻擊的因素:
勒索軟件即服務(RaaS)
勒索軟件即服務(RaaS)是一種以固定價格作為服務提供的勒索軟件分發(fā)模型���。它是一項基于訂閱的付費服務,可為惡意人員提供部署勒索軟件攻擊所需的工具�。這聽起來像是超現(xiàn)實主義,但這是部署勒索軟件攻擊的一種高效且實用的方法�����。
勒索軟件即服務(RaaS)運營商與網(wǎng)絡犯罪分子有關(guān)聯(lián)�,為他們提供必要的設備、工具�����、支付門戶以接收贖金,以及偶爾的技術(shù)支持���。勒索軟件即服務(RaaS)提供商通過合同協(xié)議或按使用付費協(xié)議獲得部分贖金利潤�。
為什么很難抓住勒索軟件犯罪分子�����?
網(wǎng)絡犯罪分子通常使用比特幣等加密貨幣進行貨幣交易�。憑借其所有優(yōu)點,加密貨幣無法追蹤�,這使其對犯罪分子有利。資金追蹤是追蹤犯罪和犯罪分子的最有效方法之一�����。由于加密貨幣提供匿名性����,法律機構(gòu)很難追蹤資金流動。
此外��,勒索軟件的設計是多態(tài)的����,不會留下任何殘留物,并且可以輕松繞過傳統(tǒng)的基于簽名的保護����。網(wǎng)絡犯罪分子通常成群結(jié)隊,這使得追蹤攻擊者變得更加困難����。
針對勒索軟件的保護措施
某些做法可以極大地幫助減輕勒索軟件攻擊。一些常見的做法包括:
(1) 數(shù)據(jù)備份
定期備份關(guān)鍵數(shù)據(jù)是防御勒索軟件犯罪分子的第一步�����。為確保組織不會被鎖定在其系統(tǒng)和數(shù)據(jù)文件之外�,他們應該始終并且經(jīng)常將數(shù)據(jù)備份副本存儲在外部硬盤驅(qū)動器或云存儲中。萬一被勒索軟件感染�,雖然可能需要很長時間,但可以對電腦進行格式化�,通過備份將數(shù)據(jù)文件全部完整上傳。這樣��,可以避免因贖金要求而造成的損失��。雖然備份數(shù)據(jù)不能阻止這些攻擊����,但它可以提供一定程度的保護����。
(2) 保護備份
網(wǎng)絡犯罪分子也在制定策略來破壞��、加密或刪除備份系統(tǒng)�。因此,僅僅依靠備份是不夠的�。許多組織使用特權(quán)訪問解決方案來保護他們的備份,因此只有某些獲得授權(quán)的人才能訪問或修改它�����。
(3) 安裝和維護安全軟件
較舊的軟件版本為網(wǎng)絡者提供了易受攻擊的接入點來控制系統(tǒng)����。這就是為什么在整個組織中配置全面的安全軟件以保護所有系統(tǒng)和軟件至關(guān)重要的原因。盡早并經(jīng)常更新所有設備和軟件����。
(4) 安全上網(wǎng)
這種做法意味著用戶不要點擊不必要的鏈接,只回復合法的電子郵件��。在大多數(shù)情況下��,勒索軟件通過網(wǎng)絡釣魚進入,誘使用戶打開包含惡意軟件或其他病毒的危險文件���。
(5) 采有安全網(wǎng)絡
不安全的公共Wi-Fi網(wǎng)絡也構(gòu)成威脅���,因為每個人都可以訪問它們����,包括惡意行為者。無論用戶身在何處��,安裝虛擬專用網(wǎng)絡(VPN)都可以提供安全的互聯(lián)網(wǎng)連接���。但是�,VPN無法防范設法進入內(nèi)部網(wǎng)絡的黑客���。
(6) 保持警惕
隨時了解最新的勒索軟件威脅并保持警惕�,以便企業(yè)能夠警惕潛在的攻擊��。此外�����,了解市場上可用的解密工具,如果企業(yè)成為勒索軟件的受害者���,這些工具將有所幫助�。
(7) 網(wǎng)絡安全意識計劃
許多員工可能不完全了解網(wǎng)絡安全的概念以及他們的某些活動將會增加網(wǎng)絡攻擊風險�����。因此���,企業(yè)需要定期進行演練��、模擬活動和培訓員工���,這樣他們就可以警惕網(wǎng)絡釣魚和其他社會工程攻擊。
如何在勒索軟件攻擊期間做出響應
在發(fā)生網(wǎng)絡攻擊時���,企業(yè)必須迅速采取行動以限制影響��。有一些緩解措施需要遵循:
(1) 隔離受攻擊設備以阻止傳播
當勒索軟件感染一個系統(tǒng)時����,它可能會造成中等程度的威脅��。然而,當災難蔓延到整個組織時����,就開始出現(xiàn)災難性事件。事件響應時間決定了造成損害的程度��。因此��,快速反應以隔離受感染的設備并將其與網(wǎng)絡��、服務器和其他設備斷開連接至關(guān)重要����。此外����,還應立即關(guān)閉無線連接(如藍牙、WiFi����、熱點等),以限制感染����。
(2) 評估損害
由于勒索軟件可能已存在于其他設備中�,因此建議評估所有數(shù)據(jù)文件和任何可疑活動�。例如,最近使用奇怪擴展名加密的文件����、具有奇怪文件名的報告或用戶無法打開的文件。一旦發(fā)現(xiàn)受感染的文件��,將它們與網(wǎng)絡斷開連接以控制感染����。
評估的目標是全面報告所有潛在的攻擊媒介、端點設備����、存儲等,以便采取適當?shù)谋Wo措施���。鎖定所有文件共享將停止正在進行的加密行為���,以防止其進一步傳播。
(3) 識別零號病人
零號病人是傳染源��,通常是網(wǎng)絡犯罪分子首先針對的設備或系統(tǒng)��,勒索軟件感染通過這些設備進入環(huán)境。在找到零號病人之前���,遏制感染的行動將繼續(xù)進行�����。企業(yè)要獲得可見性�,需要檢查反惡意軟件和其他監(jiān)控平臺發(fā)出的任何警報����。
由于網(wǎng)絡釣魚電子郵件和惡意附件通常會發(fā)起攻擊,因此需要向員工詢問他們可能收到和打開的任何可疑電子郵件�。還需要仔細查看文件屬性�,這將提供有關(guān)入口點的線索。
(4) 識別勒索軟件變種
在深入研究安全防御之前�����,了解可能會攻擊系統(tǒng)的勒索軟件變種會有所幫助���。有多種工具可以掃描加密文件��,并提供對所涉及變體的深入了解�����。企業(yè)需要進行研究以更好地了解它�����,并提醒所有員工注意其行為和跡象�����,以識別他們是否已成為攻擊目標���。
(5) 向執(zhí)法部門構(gòu)報告
網(wǎng)絡攻擊是一種違法行為��,應盡快提請執(zhí)行部門進行監(jiān)管�����。執(zhí)法部門需要及時準確的詳細信息��,以便他們可以進行徹底的調(diào)查���。
(6) 恢復數(shù)據(jù)備份
在采取所有預防措施之后,現(xiàn)在是繼續(xù)響應過程的時候了�。正確快速地實施上述步驟���,將提供完整且無感染的備份。下一步是使用反惡意軟件來消除勒索軟件以防止進一步傳播���。一旦清除了勒索軟件的所有痕跡���,就可以使用備份恢復系統(tǒng)數(shù)據(jù)。
(7) 考慮其他解密選項
許多企業(yè)發(fā)現(xiàn)自己沒有可行的備份�,或者是因為已被勒索軟件破壞,或者是因為他們未能及時備份數(shù)據(jù)�����。而在任何一種情況下���,即使沒有備份,使用解密工具重新獲得對數(shù)據(jù)的訪問權(quán)限的機會也很小����。有幾種可用的密鑰和應用程序可以解密被勒索軟件鎖定的數(shù)據(jù)。但是����,這是一個漫長的過程�,如果運氣好的話����,被鎖定的數(shù)據(jù)可能會在幾天內(nèi)恢復。
如果沒有可行的備份�����,也沒有解密工具的幫助�,情況就會變得非常困難,面臨的損失可能是巨大的�,而從頭開始重建并不容易,因為必須處理損失以及在重建過程投入大量的時間����、資源和費用。
為什么支付贖金并不明智���?
數(shù)周或數(shù)月處理數(shù)據(jù)恢復的漫長而復雜的過程可能會稀釋資源的價值�。這就是一些企業(yè)選擇支付贖金的原因���。然而這不是一個明智的決定��,其原因如下:
即使支付了贖金�,也不能保證黑客會發(fā)送解密密鑰。有很多企業(yè)在支付贖金后被欺詐的例子����。而當按照罪犯的規(guī)則行事時,并不能保證他們會遵守交易規(guī)則�。
在通常情況下,一旦支付了所要求的贖金��,網(wǎng)絡犯罪分子就會索要更多錢財�。他們知道解決勒索攻擊的緊迫性和意愿,而受害者只能任由他們擺布�����。
即使不法分子停止交易并向受害者提供解密密鑰����,也不能保證該密鑰會起作用,尤其是在損壞嚴重且無法修復的情況下����。
如果支付贖金��,企業(yè)也可能遭遇另外的勒索攻擊,因為其他的網(wǎng)絡犯罪份子發(fā)現(xiàn)他們很容易成為犧牲品�����。
支付贖金會鼓勵犯罪活動��,并使勒索軟件成為一種可行的商業(yè)模式�。如果受害者拒絕支付贖金,網(wǎng)絡犯罪分子將不得不尋找其他的創(chuàng)收方式���。
