勒索軟件為政企事業單位帶來的影響已有目共睹,自WannaCry事件以來,勒索軟件無疑是近年來政企事業單位最關注的安全威脅之一。而更糟糕的是,
網絡犯罪團伙已開發新的敲詐勒索模式:除了加密,還竊取文件數據,並以此脅迫受害者支付贖金,否則公開或出售被盜數據。勒索軟件攻擊新趨勢:不交贖金則公開數據
過去,勒索軟件一般是加密受害者的數據,以此要求受害者支付贖金來換取解密密鑰從而達到勒索的目的。在勒索軟件日益肆虐的情況下,除了加強網絡的防禦能力,不少企事業單位採用數據備份來緩解勒索軟件的壓力,通過備份數據恢復業務,從而拒絕交贖金。
而當下的一些新型勒索軟件在進行攻擊時會先竊取受害者的私密數據,如果受害者不支付贖金,攻擊者會公開或出售這些被盜數據。這無疑給受害者新增數據外洩的壓力,受害者繳納贖金的概率大幅提高。
最早開啟該新模式的是Maze勒索軟件。據bleepingcomputer報道,在2019年11月下旬, Maze勒索軟件加密了Allied Universal(大型安全人員配置公司)的許多計算機,要求其支付300個比特幣(約合230萬美元)來解密整個網絡,並表示在加密之前已經竊取了受害者的文件,以此來進一步脅迫受害者支付贖金。
由於Allied Universal拒絕支付贖金,Maze勒索軟件運營商在俄羅斯黑客和惡意軟件論壇上發佈帖子,內容中包含Allied Universal的漏洞信息和指向洩露數據的鏈接。並威脅稱:“我們給他們(Allied Universal)2周時間,到時如果還沒收到贖金,將把竊取的剩餘90%的數據分發給WikiLeaks”。
▲Maze運營商利用竊密數據公開威脅受害者
隨後Sodinokibi、DoppelPaymer等多個勒索軟件紛紛效仿。
2020年1月份,Sodinokibi勒索軟件團伙直接對外公開知名企業肯尼思·科爾(Kenneth Cole)的員工和財務信息的一些信息,聲稱竊取了70,000多份包含財務和工作數據的文檔,以及超過60,000條公司客戶記錄。Sodinokibi團伙要求支付贖金,並威脅要公開包含完整轉儲的被盜數據。
2020年2月份,DoppelPaymer勒索軟件團伙更是直接建立“Dopple Leaks”網站專門用來發布已加密且未支付贖金的受害者被盜文件,包括PEMEX(墨西哥國家石油公司)在內的多家單位均被髮布到網站上。
勒索軟件“升級”帶來的影響
從黑客的角度看,過去的勒索攻擊,並非百分百受益。少部分受害者可通過備份數據進行業務恢復。此外,受害者即使支付贖金也未必能獲得真正的解密密鑰,在無法恢復文件的不確定性中,很多受害者決定不支付贖金。
而加密並竊取數據這種新的勒索攻擊方式,使得黑客獲益的概率更高。一方面,受害者基於數據洩露壓力繳納贖金的概率更高;另一方面,黑客即使收取不到贖金,通過販賣數據,也能獲得不低的收益。
因此,信服君認為,未來主流勒索團伙很可能選擇這種新的勒索攻擊方式,並且在這一領域持續創新,攻擊方式和手段將會變得更加複雜。帶竊密功能的勒索攻擊將趨於增長,並且成為未來的流行趨勢。
在這種新的勒索攻擊趨勢下,政企事業單位則面臨著更大的勒索攻擊防範壓力。單位一旦被攻擊成功,除了勒索導致的經濟損失,還面臨著機密和敏感文件被公開導致的業務經濟損失、商譽損害、法律訴訟等風險。
防範建議
面對新型勒索軟件攻擊,企業的應對之道無疑是建立更完善的防禦能力,防止攻擊者完成整個攻擊過程。
因此,信服君建議用戶採用“立體防護”的方法:在網絡層面,進行多層防護措施,在惡意軟件傳播到系統造成真正損害之前將其阻止。在系統層面,用戶可假設惡意軟件已經滲透到企業系統的某一層級,然後相應地採取有效措施予以限制其可能帶來的進階影響並加快安全響應速度。
1、在網絡層面防止惡意軟件傳播,建議使用綜合型安全網關,並配置對應的安全策略
(1)限制通過網絡的文件類型;
(2)設置惡意URL過濾,阻止已知為惡意的網站;
(3)做好文件檢測,檢查某些協議中的內容是否存在惡意軟件;
(4)啟用IPS漏洞防禦功能,截斷病毒的漏洞傳輸通道;
(5)啟用IPS賬號爆破防禦,對RDP爆破進行攔截,防止病毒通過賬號攻擊進入企業網絡。
2、在系統層面阻止惡意軟件運行
假定惡意軟件感染了用戶的設備,此時應該採取措施防止惡意軟件運行。對於每種設備類型和操作系統,所採取的手段也會有所不同,但通常應該使用設備級安全功能,例如:
(1)考慮使用防病毒軟件,並保持軟件為最新;
(2)在辦公套件中禁用或者約束宏,例如禁用或者限制其它腳本環境(例如PowerShell)、避免使用可移動存儲,以保護系統免受惡意Office宏的攻擊;
(3)儘快安裝安全更新,以修復產品中可被利用的漏洞;
(4)如果可以的話,啟動對操作系統、應用程序和固件的自動更新;
(5)使用最新版本的操作系統和應用程序以利用最新的安全功能;
(6)配置基於主機的防火牆和網絡防火牆,默認情況下不允許入站連接。
閱讀更多 深信服科技 的文章
