勒索软件如今成为对所有组织的持续威胁。当人们努力加强防御并制定应对网络攻击的战略计划时,恶意行为者将会发起更复杂的攻击,从而增加了防御的难度。
勒索软件通常旨在通过在整个网络中扩展来瘫痪组织。这种威胁使一些组织损失数百万美元。以下了解勒索软件攻击,例如它是如何工作的、是如何启动的、如何响应,以及如何降低风险。
什么是勒索软件以及它是如何工作的?
勒索软件是一种恶意软件,它对个人、组织或机构的关键数据、文件和操作系统进行加密,并需要支付一笔赎金才能对其进行解密。它是一种网络操纵形式,恶意行为者会在其中找到易受攻击的漏洞并将其用于攻击组织,从而使他们无法访问其计算机、数据库、服务器、应用程序和文件。
勒索软件通过多种方式控制系统,例如网络钓鱼电子邮件或有针对性的攻击。一旦它获得了攻击向量并在端点上建立了控制,它将一直潜藏在那里,直到其任务完成。
勒索软件在系统内部建立据点后,它会将恶意二进制文件放入系统,然后系统会发现并加密数据文件,例如文档、PDF、多媒体文件和数据库存储。勒索软件还可能利用网络或服务器漏洞在其他系统中传播,并可能试图感染整个组织。
当勒索软件攻击者随意支配组织的数据时,他们试图勒索受害方以支付所需的赎金来解密文件,否则将面临数据和潜在系统丢失的严重后果。如果组织没有可靠及时的数据备份并拒绝支付赎金,他们唯一的选择就是承担时间、资源的损失以及客户关系的潜在损害、品牌损害、股东诉讼和监管罚款等后果。
为什么勒索软件如此普遍?
虽然有许多原因增加了勒索软件攻击的可能性,但新冠疫情无疑在导致勒索软件攻击显著增加方面发挥了重要作用。它迫使个人、企业和公共部门机构迅速转向数字技术以继续其业务运营。但是,即使没有新冠疫情引入的漏洞,勒索软件也已成为日益严重的威胁。
防御措施,勒索软件攻击的威胁占上风。以下是一些禁用复杂的反技术以防止勒索软件攻击的因素:
网络犯罪分子现在非常老练,可以使用最新的资源、工具和技术。市场为网络犯罪分子提供恶意软件工具包,即使是技术最低的黑客也能将其部署到受害者身上。
勒索软件即服务(RaaS)
勒索软件即服务(RaaS)是一种以固定价格作为服务提供的勒索软件分发模型。它是一项基于订阅的付费服务,可为恶意人员提供部署勒索软件攻击所需的工具。这听起来像是超现实主义,但这是部署勒索软件攻击的一种高效且实用的方法。
勒索软件即服务(RaaS)运营商与网络犯罪分子有关联,为他们提供必要的设备、工具、支付门户以接收赎金,以及偶尔的技术支持。勒索软件即服务(RaaS)提供商通过合同协议或按使用付费协议获得部分赎金利润。
为什么很难抓住勒索软件犯罪分子?
网络犯罪分子通常使用比特币等加密货币进行货币交易。凭借其所有优点,加密货币无法追踪,这使其对犯罪分子有利。资金追踪是追踪犯罪和犯罪分子的最有效方法之一。由于加密货币提供匿名性,法律机构很难追踪资金流动。
此外,勒索软件的设计是多态的,不会留下任何残留物,并且可以轻松绕过传统的基于签名的保护。网络犯罪分子通常成群结队,这使得追踪攻击者变得更加困难。
针对勒索软件的保护措施
某些做法可以极大地帮助减轻勒索软件攻击。一些常见的做法包括:
(1) 数据备份
定期备份关键数据是防御勒索软件犯罪分子的第一步。为确保组织不会被锁定在其系统和数据文件之外,他们应该始终并且经常将数据备份副本存储在外部硬盘驱动器或云存储中。万一被勒索软件感染,虽然可能需要很长时间,但可以对电脑进行格式化,通过备份将数据文件全部完整上传。这样,可以避免因赎金要求而造成的损失。虽然备份数据不能阻止这些攻击,但它可以提供一定程度的保护。
(2) 保护备份
网络犯罪分子也在制定策略来破坏、加密或删除备份系统。因此,仅仅依靠备份是不够的。许多组织使用特权访问解决方案来保护他们的备份,因此只有某些获得授权的人才能访问或修改它。
(3) 安装和维护安全软件
较旧的软件版本为网络者提供了易受攻击的接入点来控制系统。这就是为什么在整个组织中配置全面的安全软件以保护所有系统和软件至关重要的原因。尽早并经常更新所有设备和软件。
(4) 安全上网
这种做法意味着用户不要点击不必要的链接,只回复合法的电子邮件。在大多数情况下,勒索软件通过网络钓鱼进入,诱使用户打开包含恶意软件或其他病毒的危险文件。
(5) 采有安全网络
不安全的公共Wi-Fi网络也构成威胁,因为每个人都可以访问它们,包括恶意行为者。无论用户身在何处,安装虚拟专用网络(VPN)都可以提供安全的互联网连接。但是,VPN无法防范设法进入内部网络的黑客。
(6) 保持警惕
随时了解最新的勒索软件威胁并保持警惕,以便企业能够警惕潜在的攻击。此外,了解市场上可用的解密工具,如果企业成为勒索软件的受害者,这些工具将有所帮助。
(7) 网络安全意识计划
许多员工可能不完全了解网络安全的概念以及他们的某些活动将会增加网络攻击风险。因此,企业需要定期进行演练、模拟活动和培训员工,这样他们就可以警惕网络钓鱼和其他社会工程攻击。
如何在勒索软件攻击期间做出响应
在发生网络攻击时,企业必须迅速采取行动以限制影响。有一些缓解措施需要遵循:
(1) 隔离受攻击设备以阻止传播
当勒索软件感染一个系统时,它可能会造成中等程度的威胁。然而,当灾难蔓延到整个组织时,就开始出现灾难性事件。事件响应时间决定了造成损害的程度。因此,快速反应以隔离受感染的设备并将其与网络、服务器和其他设备断开连接至关重要。此外,还应立即关闭无线连接(如蓝牙、WiFi、热点等),以限制感染。
(2) 评估损害
由于勒索软件可能已存在于其他设备中,因此建议评估所有数据文件和任何可疑活动。例如,最近使用奇怪扩展名加密的文件、具有奇怪文件名的报告或用户无法打开的文件。一旦发现受感染的文件,将它们与网络断开连接以控制感染。
评估的目标是全面报告所有潜在的攻击媒介、端点设备、存储等,以便采取适当的保护措施。锁定所有文件共享将停止正在进行的加密行为,以防止其进一步传播。
(3) 识别零号病人
零号病人是传染源,通常是网络犯罪分子首先针对的设备或系统,勒索软件感染通过这些设备进入环境。在找到零号病人之前,遏制感染的行动将继续进行。企业要获得可见性,需要检查反恶意软件和其他监控平台发出的任何警报。
由于网络钓鱼电子邮件和恶意附件通常会发起攻击,因此需要向员工询问他们可能收到和打开的任何可疑电子邮件。还需要仔细查看文件属性,这将提供有关入口点的线索。
(4) 识别勒索软件变种
在深入研究安全防御之前,了解可能会攻击系统的勒索软件变种会有所帮助。有多种工具可以扫描加密文件,并提供对所涉及变体的深入了解。企业需要进行研究以更好地了解它,并提醒所有员工注意其行为和迹象,以识别他们是否已成为攻击目标。
(5) 向执法部门构报告
网络攻击是一种违法行为,应尽快提请执行部门进行监管。执法部门需要及时准确的详细信息,以便他们可以进行彻底的调查。
(6) 恢复数据备份
在采取所有预防措施之后,现在是继续响应过程的时候了。正确快速地实施上述步骤,将提供完整且无感染的备份。下一步是使用反恶意软件来消除勒索软件以防止进一步传播。一旦清除了勒索软件的所有痕迹,就可以使用备份恢复系统数据。
(7) 考虑其他解密选项
许多企业发现自己没有可行的备份,或者是因为已被勒索软件破坏,或者是因为他们未能及时备份数据。而在任何一种情况下,即使没有备份,使用解密工具重新获得对数据的访问权限的机会也很小。有几种可用的密钥和应用程序可以解密被勒索软件锁定的数据。但是,这是一个漫长的过程,如果运气好的话,被锁定的数据可能会在几天内恢复。
如果没有可行的备份,也没有解密工具的帮助,情况就会变得非常困难,面临的损失可能是巨大的,而从头开始重建并不容易,因为必须处理损失以及在重建过程投入大量的时间、资源和费用。
为什么支付赎金并不明智?
数周或数月处理数据恢复的漫长而复杂的过程可能会稀释资源的价值。这就是一些企业选择支付赎金的原因。然而这不是一个明智的决定,其原因如下:
即使支付了赎金,也不能保证黑客会发送解密密钥。有很多企业在支付赎金后被欺诈的例子。而当按照罪犯的规则行事时,并不能保证他们会遵守交易规则。在通常情况下,一旦支付了所要求的赎金,网络犯罪分子就会索要更多钱财。他们知道解决勒索攻击的紧迫性和意愿,而受害者只能任由他们摆布。即使不法分子停止交易并向受害者提供解密密钥,也不能保证该密钥会起作用,尤其是在损坏严重且无法修复的情况下。
如果支付赎金,企业也可能遭遇另外的勒索攻击,因为其他的网络犯罪份子发现他们很容易成为牺牲品。
支付赎金会鼓励犯罪活动,并使勒索软件成为一种可行的商业模式。如果受害者拒绝支付赎金,网络犯罪分子将不得不寻找其他的创收方式。