勒索软件近年来发展迅速, 对组织来说,它已经变得极具破坏性和昂贵. 人们对勒索软件攻击有很多误解, 通常是由于澳门赌场官方下载未能适应威胁集团策略的变化, 技术和程序(TTPs). 随着威胁组织不断发展,变得更加高效和有利可图,ttp也会迅速变化.
勒索软件攻击经常成为媒体的头条新闻. In 2022, 79%的受访组织报告遭受过勒索软件攻击, 在这些澳门赌场官方下载中, 四分之三的受访者表示,他们在财务或运营上受到了这些攻击的影响.1 但早期的勒索软件主要针对单个终端用户的机器. 从那以后,它演变成了大规模的网络范围内的数据加密工作. 事实上, 加密过程只是威胁组织提高盈利能力和赎金支付频率的多管齐下方法的一部分, 最终目标通常是什么. 超过90%的威胁组织是出于经济动机,并试图产生利润和投资回报(ROI)。.
加密过程只是威胁组织提高盈利能力和赎金支付频率的多管齐下方法的一部分, 最终目标通常是什么.
为了更好地打击勒索软件,有必要研究一下这些变化和一些常见的误解.
威胁组织不值得信任
不久前, 如果有人决定支付赎金, 在这样做之后,它们可能不会收到解密密钥. 然而,今天,支付赎金的人通常会收到密钥. 这是一个悄无声息的转变,持续了好几年. 在这种转变发生之前,简单的加密过程可能被认为是命中注定的. 今天,勒索软件和威胁行为者的攻击比他们错过的要多. 通常,他们可以加密大部分数据,而且速度很快.
就在几年前, 一个威胁组织要在网络中移动好几个月, 查找数据源, 监控流量并开始加密过程. 快进到今天,从攻击到加密的平均时间是4.5天.2
在勒索软件攻击的早期, 威胁组织偶尔会移动到域控制器并获得对活动目录的访问权. 这给了他们通往王国的钥匙,并对受害者组织产生了有害的影响. 今天, 由于活动目录安全性和配置较差, 威胁组织通常可以迅速提升他们的凭据和自己的活动目录.
此外,许多现代后入侵勒索软件攻击包括三重勒索组件. 攻击者不仅加密数据, 但他们也会泄露数据(包括机密数据),他们可能会向媒体通报勒索软件的情况,或者将数据上传到包括暗网在内的网站上. 如果不支付赎金,攻击者还可能威胁要发动分布式拒绝服务(DDoS)攻击. 在许多情况下,他们会试图指名道姓,羞辱受害者,让他们支付大笔款项. 这种三重勒索方法在增加支付给威胁组织的频率和金额的同时摧毁了一个组织.
威胁组织无组织
在勒索软件的早期,攻击不像今天这样有针对性. 很多攻击都是通过邮件中发送的恶意链接和统一资源定位器(url)进行随机攻击. 如今,威胁组织以组织为目标. 勒索软件最大的变化之一是,现代勒索软件攻击组织利用复杂的商业实践来应用其交易. 在勒索软件的早期,很少或根本没有使用商业策略. 现代威胁组织根据合理的业务策略和ROI进行更改. 在某些情况下,威胁组织与其他威胁组织合作来执行攻击的生命周期. 一个威胁组织可能具有渗透网络和维护持久性的专业知识, 而另一组则擅长数据泄露和快速加密. 因此,今天的威胁组织更加组织化和专业化. 他们在做能产生利润的事情上更老练、更有效率. 他们改变经营策略以提高盈利能力.
应用程序和系统软件漏洞现在是更常见的攻击媒介. 对于面向internet的系统上的漏洞尤其如此. 世界各地的威胁组织不断扫描任何面向互联网的东西,以寻找已知或未知的漏洞. 一些威胁组织投资购买有关零日漏洞的信息(通常在暗网上). 威胁组织可能会研究和制定策略,在减少因犯罪而被捕的风险的同时,发展和变得更加复杂和有利可图.
备份数据提供完整的保护
另一个常见的误解是,如果你有好的备份, 没有加密, 如果受到攻击,你是不会支付赎金的. 了解备份策略的关键事实是很重要的. 即使备份受到保护,执行恢复需要多长时间? 组织通常需要几周或几个月的时间来执行完整的恢复. 在恢复期间,组织可能会遭受重大的业务损失. 事实上,这是勒索软件攻击最昂贵的方面. 在勒索软件攻击期间,由于无法正常开展业务而累积的损失是迄今为止勒索软件攻击最重要的方面.
在勒索软件攻击期间,由于无法正常开展业务而累积的损失是迄今为止勒索软件攻击最重要的方面.
解密密钥是打开一切的钥匙
一个不被普遍理解的考虑是,即使支付了赎金,受害者也收到了解密其数据的密钥, 解密需要时间,并且通常不会成功地解密所有内容. 只有29%的受害者能够恢复他们所有的加密数据.3 这将导致大量数据无法使用,从而可能产生极端的后果. 勒索软件攻击造成的不仅仅是金钱损失. 在2019年的美国, 由于勒索软件,764家医疗保健部门的组织被迫暂时停止运营. 同年, 113个美国政府机构和1个,233所美国大学和学区成为勒索软件的目标.4 这些攻击可能对依赖受影响服务的公民的生活产生重大影响 可能是致命的.
勒索软件攻击已经完成
80%的被勒索软件攻击的组织在最初的攻击后都会出现反复的情况.5 除非受害组织能够确定攻击是如何发生的并缩小差距,否则预计会在初始攻击后重新进入。. 填补缺口可能意味着补上缺失的补片, 纠正错误配置, 以更好的安全性保护端点,例如托管检测和响应(MDR)/扩展检测和响应(XDR)产品, 增加了增强的多因素身份验证(MFA)协议, 或者需要对终端用户进行更多的教育,以防范恶意链接和电子邮件.
结论
随着勒索软件攻击变得越来越有利可图,威胁组织也在不断发展, 与这些攻击相关的风险仍然是组织中最重要的风险来源之一,也是每个人都关心的问题. 没有人能完全免受现代入侵后的勒索软件攻击. 所有组织都应该为不可避免的攻击风险做好准备,并建立防御机制, 策略, 剧本和相应的修复计划. 首先要了解现代勒索软件,避免陷入误解的陷阱.
尾注
1 汉斯莱,B.; “2022年威胁状态:一年回顾,《澳门赌场官方软件》,2022年10月4日
2 凯斯勒克.; “密码学概论, 2022年11月2日
3 卡巴斯基。”超过一半的勒索软件受害者支付了赎金,但只有四分之一的人看到他们的全部数据被归还, 2021年3月30日
4 Kochovski,.; “2022年及以后的勒索软件统计、趋势和事实《澳门赌场官方软件》,2022年11月14日
5 防火墙.安全博客,"什么是重复勒索软件攻击?”
帕特里克·巴内特, CISA, CISM, CEH, CISSP, PCI QSA, PCIP
是Secureworks的事件响应首席顾问吗. 他拥有超过30年的网络安全专业经验,专门从事网络工程,专注于安全. 在以前的角色中, 他曾担任首席信息安全官(CISO)和首席信息官(CIO),并曾在一家大型金融澳门赌场官方下载担任副总裁. Barnett热衷于看到网络安全得到正确的处理,并致力于帮助组织制定适当的政策, 响应任何大小的安全事件的过程和机制.