勒索软件已经成为企业和个人最有害的安全威胁
勒索软件已经成为对企业和个人最有害的安全威胁之一,并且被证明对实施勒索的犯罪分子是有利可图的。许多受害者只是选择支付赎金重新开始运行,特别是如果他们缺乏任何可行的方法来恢复他们的数据。但勒索软件运营商正变得越来越精明和大胆,导致受损企业的事件成本越来越高。
下图为2020年危害的勒索软件排名:
2020年,勒索软件的平均需求达到312493美元,几乎是2019年115123美元的三倍。去年最高需求达到3000万美元,高于前几年的1500万美元。此外,受害者支付的最高金额从2019年的500万美元飙升至2020年的1000万美元。
冠状病毒大流行为对医院和医疗设施的大胆攻击铺平了道路,这是去年最有针对性的领域。网络犯罪分子攻击这些类型的企业,因为他们知道,当他们试图对COVID-19进行研究并帮助受病毒折磨的患者时,他们不能失去对关键数据的访问。
双重勒索策略在2020年也获得了更大的吸引力。在这种类型的攻击中,犯罪分子威胁要公开泄露加密数据,除非支付赎金。因此,即使是拥有被盗数据备份的受害企业也可能更愿意支付赎金以避免暴露。目前至少有16种不同的勒索软件变种正在使用双重勒索阴谋。
许多攻击者已经从大量的“喷雾和祈祷”模式转移到更集中的“留下来玩”的方式。对于后者,黑客需要更多的时间来了解他们的受害者和网络后,最初的突破。
勒索软件运营商继续通过通常的方法破坏网络。其中包括网络钓鱼活动、使用薄弱或受损的远程桌面协议凭据以及利用软件漏洞。对于初始访问,许多依赖于商品恶意软件,如Dridex、Emotet和Trickbot。闯入网络后,攻击者通常使用PSExec和PowerShell等内置工具进行横向移动。
顶级勒索软件家族包括Ryuk、Maze(ChaCha)、Defray777、WastedLocker、GandCrab+REvil、NetWalker、DoppelPaymer、Dharma、Phobos和齐柏林飞艇。每个小组都有自己的战术和特长。例如,Ryuk利用祈祷活动打击政府机构、医疗机构和高科技企业。Maze对金融、运输和物流、电信和通信部门进行了更有针对性的攻击。
未来的勒索
索软件即服务模式,即人们将勒索软件的工作外包给罪犯雇佣,这种模式很可能会扩大。预计将有更多攻击者利用双重勒索策略。新的和更新的勒索软件变种将继续创建和部署。只要攻击者不断得到报酬,勒索软件的需求就会不断上升。
防范
企业应保持用户意识和电子邮件安全培训,并考虑如何识别和补救恶意电子邮件。各企业还应进行适当的补丁管理,并审查哪些服务可能暴露于互联网。远程桌面服务应该正确配置和保护,尽可能使用最小特权原则,并有适当的策略来检测与暴力攻击相关的模式。
有效的备份和恢复过程。各企业应继续备份其数据,并保持适当的恢复过程。勒索软件运营商将针对现场备份进行加密,因此企业应确保所有备份都安全地离线维护。恢复过程必须与关键利益相关者一起实施和演练,以便在发生勒索软件攻击时将停机时间和企业成本降至最低。
使用正确的安全控制。最有效的防范勒索软件的形式是端点安全、URL过滤或web保护、高级威胁预防(未知威胁/沙盒)和部署到所有企业环境和设备的反钓鱼解决方案。虽然这些技术不能保证预防,但它们将大幅度降低常见变异感染的风险,并提供权宜之计,允许一种技术在另一种技术可能无效的情况下提供一种强制措施。