我们去年曾报道过勒索软件的威胁,这种威胁在 2020 年继续肆虐。
点击此处阅读去年的文章:https://www.ez-net.com.cn/WpSwell/column/?p=2736
EZ-net 会进行内部安全审核,以防止对客户造成损害,如有任何疑问,请联系我们。
2020 年的损害。
在 2020 年 1 月至 11 月期间,有 200 多个国家和国际组织受到勒索软件的公开影响。攻击者加密或窃取关键数据或破坏业务系统运行,严重影响业务连续性的情况并不少见。例如,10 月份,一家德国软件公司的机密数据被名为 “Clop “的恶意软件窃取,攻击者将数据暴露在互联网的黑暗网站上。攻击者向该软件公司索要约 2300 万美元,作为停止发布数据的交换条件。据认为,还有更多的公司受到了影响,因为可以想象,在某些情况下,这些公司实际上已经支付了索要的钱款,但并没有公开披露。
2020 功能。
在 Wannacry 以及 2017 年全球爆发的 Wannacry 等其他攻击中,受害者电脑上显示的信息(威胁)主要是索要钱财,这是肢解型攻击的特点。相比之下,2020 年发现的许多攻击都是攻击者事先在威胁信息中创建了包含目标公司或组织名称的勒索软件,然后发起攻击。攻击者索要的金额也从 Wannacry 的几百美元增加到 2020 年的几百万到几千万美元,上述公司的情况就是如此。 攻击者越来越多地以公司和组织为攻击目标,因为他们能造成巨大的破坏,并能获得巨额资金。从攻击者的角度来看,肢解型攻击以不确定的人数为目标,在获取资金方面效率较低,换句话说,因为很难预测哪些受害者会支付多少钱,而且获取资金需要时间和精力。 另一方面,如果能够发出威胁,公司和组织更有可能支付钱款,因为他们害怕攻击的影响,更有可能支付钱款,尽管为攻击做准备需要时间和精力(如提前调查目标的信息技术环境),从而比分散攻击类型更有效地获取大笔钱款。
EZ-net 在实践中看到和应对的案例。
我们想与大家分享一个今年受到实际影响的客户案例。该客户在香港受到勒索软件攻击后联系了我们。攻击者索要 500,000 美元的赎金,要求客户不仅在香港受到感染,还要在上海、北京和其他有 VPN 连接的地区受到感染。然而,在重装系统和网络环境两周后,剩余 10% 的数据得以恢复,病毒也被彻底清除。在这个案例中,由于备份到位,对运行的影响微乎其微,但如果没有备份,正常运行就会完全中断,因此我们再次意识到备份的重要性。
……勒索软件是 “攻击者轻松赚钱的一种方式”。
近年来,勒索软件有能力修改自己的代码,以躲过基于签名的反病毒产品的检查。它们还越来越多地采用新的感染途径,如 “偷渡式下载 “和 “供应链攻击”,并利用这些方法绕过现有的安全措施。
从攻击者的角度来看,与其他方法相比,勒索软件被认为是一种 “轻松赚钱的方法”。近年来,有针对性的攻击变得越来越复杂和高明,有些攻击者一旦潜入,就会长期躲藏起来,仔细观察攻击目标的动向,然后再发动复杂的社会工程学攻击。
…大胆而简单的勒索软件作案手法。
勒索软件的作案手法大胆而简单,与这些更复杂的攻击相比,可以说是 “粗制滥造”。一旦进入用户设备,它就会迅速加密文件并显示赎金要求信息。不需要长时间的潜伏或情报收集活动。因此,即使是根据已渗透恶意软件的行为来检测威胁的安全产品,也很难检测到此类勒索软件的行为。
……任何人都可以轻易发起勒索软件攻击。
因此,近年来,勒索软件造成的损失持续增长。虽然在上述报告发布的 2018 年上半年,损失曾一度似乎大幅减少,但此后又开始增加,据报道,2019 年 12 月的平均赎金支付额已超过 8 万美元。
这是因为 “勒索软件即服务”(RaaS)服务在暗网上激增,勒索软件可以很容易地在暗网上创建,使任何人都有可能发起勒索软件攻击。攻击者不再需要自己开发勒索软件,而是可以通过使用以 SaaS 型云服务方式进行勒索软件攻击的 RaaS 服务,即使没有专业知识也能轻松实施攻击。
最近,不仅是攻击的数量,其 “质量 “也发生了很大变化。如上所述,勒索软件曾经非常单调,基本上只是 “加密数据并索要赎金”。虽然有些勒索软件的行为极其巧妙,但也确实有许多勒索软件非常粗糙。不过,即使是这样的勒索软件,也能通过向大量目标不加区分地传播而取得显著效果。
然而,最近的许多勒索软件攻击不仅加密数据并索要赎金,还会窃取数据本身和用户的 ID/密码信息,并在暗网上出售以牟利。这种组合式攻击是近期勒索软件攻击的一个特点,使其更可靠地牟利。
……备份和支付赎金并不总能有效打击勒索软件。
一般建议将 “数据备份 “作为防范勒索软件的措施。数据备份/恢复是恢复被自己加密的数据的唯一可靠手段。因此,确保每天进行备份是保护勒索软件的基本要素。
但是,这并不意味着即使感染了勒索软件,只要备份了数据就可以高枕无忧。备份只是多重防御措施中的 “最后一招”,只有在多重防御措施面前才能采取有效的应对措施。如果在紧急情况下,备份的数据无法恢复,或者一开始就没有做好备份,那么一切都会在眨眼之间化为乌有。
即使当初成功备份,最新数据的丢失率也会相当高,而且在恢复数据的过程中,系统中断在所难免。此外,近年来先进的勒索软件攻击会在攻击目标的网络中潜伏一段时间,侦察和分析环境,甚至在攻击过程中加密备份数据。因此,备份不应过于自信。
许多人可能认为,在最坏的情况下,他们可以支付赎金。但不用说,即使支付了赎金,也不能保证数据一定能恢复,事实上,有很多情况下数据并没有恢复。首先,一旦数据被加密,系统就会无法使用,在您考虑是否应该支付赎金以及数据是否可以恢复的同时,您的业务损失也在不断增加。这种停机时间通常会持续两周或更长时间,因此不难想象在此期间会损失多少业务。
……可以采取哪些勒索软件应对措施来防止损失。
那么,您究竟应该如何防范勒索软件呢?进行适当备份并定期测试是否能成功恢复,仍然是勒索软件保护的基础。在此过程中,建议考虑备份数据被加密的风险,并按照所谓的 “3-2-1 规则 “确保备份管理的安全性:三份数据副本、两份存储介质和一份异地副本。
网络钓鱼电子邮件仍然是勒索软件攻击的主要手段。因此,确保组织中的每个人都了解防范网络钓鱼电子邮件的措施也很重要,例如 “不要打开可疑电子邮件 “和 “不要点击可疑 URL 链接”。
在这些常规准备工作之后,可以通过部署最先进的端点安全产品来提高勒索软件防护的有效性,这些产品包含多种端点防御功能,如反病毒、下一代反病毒、针对利用 PowerShell 的无文件攻击的措施以及勒索软件检测。如果将这些产品作为一个整体来部署,就能提高其有效性。
查看以前的文章。
您在中国实施业务连续性计划(BCP)措施了吗? 第 1 部分.
