勒索軟件的風(fēng)險(xiǎn)正在影響企業(yè)的核心業(yè)務(wù)��。數(shù)據(jù)安全治理供應(yīng)商N(yùn)etwrix公司高級(jí)副總裁Jeff Warren指出��,認(rèn)識(shí)到勒索軟件運(yùn)營(yíng)商越來(lái)越成功的關(guān)鍵因素,并了解如何準(zhǔn)備有效的縱深防御策略�,這一點(diǎn)很重要。
(資料圖)
很多企業(yè)經(jīng)常以錯(cuò)誤的眼光看待勒索軟件攻擊者����,認(rèn)為它只是一些為了盈利而暴露漏洞的居心不良者。事實(shí)上�,勒索軟件如今已經(jīng)成為一個(gè)蓬勃發(fā)展的行業(yè):在2022年��,勒索軟件涉及了所有違規(guī)行為的25%�����。根據(jù)調(diào)查�,勒索軟件攻擊造成的平均損失達(dá)到了驚人的454萬(wàn)美元��。因此�,網(wǎng)絡(luò)安全專(zhuān)業(yè)人員需要確切地了解勒索軟件攻擊成功的原因以及如何防御這種攻擊���。
以下探討勒索軟件運(yùn)營(yíng)商越來(lái)越成功的四個(gè)關(guān)鍵因素�����,并以Lockbit 3.0為例進(jìn)行說(shuō)明����。然后�����,它解釋了有效的深度防御策略的關(guān)鍵組成部分��,以減輕企業(yè)的風(fēng)險(xiǎn)。
勒索軟件攻擊越來(lái)越成功的四個(gè)要素
以下是勒索軟件威脅增長(zhǎng)的四個(gè)關(guān)鍵因素:
(1)勒索軟件即服務(wù)(RaaS)
一些勒索軟件組織已經(jīng)成功地采用了軟件即服務(wù)(SaaS)模式�����,創(chuàng)建了一個(gè)強(qiáng)大的RaaS市場(chǎng)�����。他們提供執(zhí)行勒索軟件攻擊的復(fù)雜工具����,并從每次支付的贖金中賺取一定比例的傭金,從而創(chuàng)建了一個(gè)RaaS銷(xiāo)售團(tuán)隊(duì)��。這種模式催生了一些最具破壞性的勒索軟件�,包括Lockbit 3.0。
(2)基本方法仍然有效
勒索軟件攻擊者知道“如果沒(méi)有壞�,就不要修復(fù)它”的規(guī)則。許多勒索軟件技術(shù)多年來(lái)一直保持不變����,因?yàn)樗鼈兒苡行АL貏e是�����,常見(jiàn)的漏洞仍然是勒索軟件初始滲透的主要途徑?����!暗顷懖U(kuò)展”過(guò)程的下一步是橫向移動(dòng)���,升級(jí)權(quán)限并實(shí)現(xiàn)持久性�����,然后最終加密數(shù)據(jù)(并可能威脅泄漏數(shù)據(jù))以勒索贖金�����。在勒索軟件攻擊初始階段,網(wǎng)絡(luò)犯罪分子可能需要花費(fèi)數(shù)天或數(shù)周的時(shí)間來(lái)了解受害者環(huán)境的拓?fù)浣Y(jié)構(gòu)和安全基礎(chǔ)設(shè)施���,當(dāng)他們準(zhǔn)備好部署階段時(shí)�,現(xiàn)代勒索軟件可能在幾分鐘內(nèi)像野火一樣蔓延����。
(3)更多的人為操作
在勒索軟件的早期,攻擊的成功率很低��。網(wǎng)絡(luò)犯罪分子越來(lái)越多地在勒索軟件攻擊之前的階段運(yùn)用他們的知識(shí)和洞察力,使他們能夠成功地攻擊三分之一的目標(biāo)�。
(4)雙重勒索和三重勒索
就像任何聰明的商人一樣,勒索軟件的參與者和他們的同伙已經(jīng)找到使其“收入”最大化的方法�。一旦他們?cè)L問(wèn)并加密受害者的關(guān)鍵數(shù)據(jù),他們就可以進(jìn)行勒索����。首先,勒索軟件攻擊者將要求為解密密鑰支付贖金����。接下來(lái),如果沒(méi)有支付贖金��,勒索者可能會(huì)威脅出售或泄露受害者的敏感數(shù)據(jù)����。最后,他們可能會(huì)向其他可能受到數(shù)據(jù)泄露影響的受害者的客戶(hù)或合作伙伴尋求賠償����。三重勒索已經(jīng)成為勒索軟件商業(yè)模式中越來(lái)越有利可圖的組成部分,擁有廣泛第三方網(wǎng)絡(luò)的企業(yè)正成為被高度關(guān)注的目標(biāo)�。
LockBit 3.0示例
自從2019年推出以來(lái),LockBit一直是最具破壞性和最多產(chǎn)的勒索軟件之一����。它通常用于勒索軟件攻擊提供關(guān)鍵服務(wù)的目標(biāo)���,包括衛(wèi)生系統(tǒng)和醫(yī)院,阻止用戶(hù)訪問(wèn)重要系統(tǒng)和數(shù)據(jù)���,并要求支付贖金����。
LockBit操作者使用受損的服務(wù)器��,發(fā)送網(wǎng)絡(luò)釣魚(yú)電子郵件或強(qiáng)制使用不安全的RDP或VPN憑據(jù)滲透到受害企業(yè)�����。
LockBit之所以脫穎而出��,是因?yàn)樗亲畛晒Φ睦账鬈浖捶?wù)(RaaS)之一�����。美國(guó)司法部聲稱(chēng)����,LockBit成員至少賺取了1億美元以上,這為贖金要求打開(kāi)了一個(gè)新的窗口��。一個(gè)勒索軟件團(tuán)隊(duì)開(kāi)發(fā)惡意軟件���,并將代碼授權(quán)給實(shí)施攻擊的分支機(jī)構(gòu)����。由于LockBit利潤(rùn)豐厚���,它的開(kāi)發(fā)人員像一個(gè)復(fù)雜的商業(yè)軟件企業(yè)一樣運(yùn)作�,改進(jìn)其功能�����,修復(fù)錯(cuò)誤���,提高其效率�����。
LockBit 3.0于2022年7月首次被發(fā)現(xiàn)�。到2022年第三季度末,最近觀察到的針對(duì)工業(yè)企業(yè)和基礎(chǔ)設(shè)施的勒索軟件攻擊中有三分之一與此有關(guān)����。這次發(fā)布的一個(gè)關(guān)鍵改進(jìn)是,它使受害者的數(shù)據(jù)以一種易于搜索的形式免費(fèi)提供���。該公司還推出了一項(xiàng)漏洞賞金計(jì)劃��,向發(fā)現(xiàn)并提交漏洞報(bào)告的安全研究人員提供高達(dá)100萬(wàn)美元的獎(jiǎng)勵(lì)��。
如何降低勒索軟件攻擊的風(fēng)險(xiǎn)
就像硬幣的兩面一樣:如果企業(yè)想要減少勒索軟件攻擊的成功幾率�,也想最大限度地減少攻擊成功之后可能造成的傷害�。因此,需要一種分層安全和縱深防御的方法�����。以下是主要組成部分:
(1)提高員工安全意識(shí):只有當(dāng)員工至少了解安全要點(diǎn)時(shí)�,安全計(jì)劃才會(huì)起作用。因此���,投資于定期、有效的教育和培訓(xùn)至關(guān)重要���。
(2)清點(diǎn)數(shù)據(jù):為了降低失去對(duì)關(guān)鍵數(shù)據(jù)的訪問(wèn)權(quán)限的風(fēng)險(xiǎn)��,企業(yè)必須知道他們存儲(chǔ)的數(shù)據(jù)類(lèi)型����,并根據(jù)其價(jià)值對(duì)其進(jìn)行保護(hù)。因?yàn)椴豢赡鼙Wo(hù)所有的數(shù)據(jù)�����,所以專(zhuān)注于保護(hù)重要的數(shù)據(jù)���。
(3)采用零權(quán)限方法:為了減少攻擊面����,只有在需要的時(shí)候�����,并且只有在驗(yàn)證了請(qǐng)求的有效性之后�����,才應(yīng)授予對(duì)敏感數(shù)據(jù)的訪問(wèn)權(quán)限�����。
(4)注意可疑活動(dòng):數(shù)據(jù)加密和泄露需要時(shí)間。在網(wǎng)絡(luò)攻擊的早期階段檢測(cè)異常用戶(hù)行為對(duì)于最大限度地減少損害至關(guān)重要��。
(5)記錄和測(cè)試事件響應(yīng)計(jì)劃(IRP):企業(yè)必須制定并實(shí)踐對(duì)正在進(jìn)行的攻擊做出快速適當(dāng)反應(yīng)的步驟���,包括誰(shuí)應(yīng)對(duì)什么負(fù)責(zé)�����。在理想情況下��,實(shí)現(xiàn)可以立即采取行動(dòng)的自動(dòng)化控制�,例如���,終止用戶(hù)會(huì)話�����、加密或復(fù)制大量數(shù)據(jù)�����。
(6)確保企業(yè)擁有可靠的備份和有效的恢復(fù):為了最大限度地減少業(yè)務(wù)中斷��,IT團(tuán)隊(duì)必須能夠快速恢復(fù)最重要的數(shù)據(jù)和服務(wù)�。他們將需要存儲(chǔ)在惡意軟件無(wú)法觸及的最新備份�����,并需要在勒索軟件攻擊期間修改或刪除哪些文件的詳細(xì)信息��,以減少恢復(fù)工作的范圍����。
勒索軟件的風(fēng)險(xiǎn)正在影響各行業(yè)組織。雖然數(shù)字化轉(zhuǎn)型和基礎(chǔ)設(shè)施現(xiàn)代化仍然是重中之重�����,但這些目標(biāo)通常需要根據(jù)維護(hù)安全性和業(yè)務(wù)連續(xù)性的需要進(jìn)行修改��。勒索軟件預(yù)防是任何風(fēng)險(xiǎn)緩解策略的關(guān)鍵部分����。
事實(shí)上,沒(méi)有任何企業(yè)愿意在支付高額贖金或因拒絕支付而遭受?chē)?yán)重?fù)p害之間做出選擇�。因此,他們應(yīng)該采取多層次的方法��,強(qiáng)調(diào)防止勒索病毒攻擊,并為最壞的情況做好準(zhǔn)備�。
