鉴于"勒索软件"在新闻文章中出现的频率,可能需要退后一步,实际考虑该术语的含义。任何恶意软件或攻击,最终从受害者勒索赎金通常被称为勒索软件。一般的想法是加密受害者的数据,并承诺提供解密所需的密钥,以换取已付的赎金。
但也有非常不同类型的攻击,都被称为"勒索软件"。让我们从剖析它们开始。
商品勒索软件
这种类型的勒索软件在自动驾驶仪上运行。虽然攻击者可能会制作一个独特的网络钓鱼活动,将恶意软件传送到特定目标,但一旦恶意软件进入系统,它就会完全自动化地执行其任务。对于这种类型的勒索软件,要求的赎金通常相当温和,其商业模式基于感染数千个系统,并期望一定比例的受害者支付。
在本勒索软件的早期版本(想想加密锁定器),每个成功的感染导致单个系统上的文件被加密。某些版本还无意中加密了系统已安装的网络驱动器上的文件。
下一个进化步骤是恶意软件搜索网络驱动器,系统用户有权访问但尚未安装的网络驱动器, 并加密它们。在此步骤中,攻击者的理想目标从支付赎金以恢复家庭照片的个人转移到将支付一个或多个赎金以恢复业务关键文件的组织。进化的理由是明确的:通过加密更多的东西,支付赎金的可能性增加,因为这些加密文件中的一个或多个可能包含受害者不能没有的东西。
商品勒索软件的最后进化步骤来自于将其与蠕虫相结合。此术语是指自我复制恶意软件,它首先感染一个系统,然后快速感染相邻系统,然后感染其邻居,等等。这样做的效果是欺骗单个网络钓鱼受害者,让勒索软件进入受害者的系统,并从那里迅速感染受害者组织中的数千个系统,而不需要这些系统的用户也落入骗子之列。
人工操作勒索软件
与其商品兄弟不同,这种攻击包括更复杂和更有针对性的攻击,最终导致对巨额赎金的需求。
目标攻击通常从组织中的初始立足点开始,需要采取许多步骤才能实现其目标。许多步骤是手动的,因为它们必须适应目标环境的细节和攻击者对目标组织的具体目标。大多数进行此类攻击的团体都使用一系列工具,但特定攻击的需求可能会扩大该工具链。
人工操作的勒索软件攻击通常需要数周时间才能成功。大部分时间用于在目标组织网络的各个部分放置所有攻击部件。在为攻击选择的小时,所有攻击件同时通过加密以前确定的所有有价值的数据开始行动。
随着组织越来越善于进行备份(并确保它们能够实际恢复备份),又出现了另一个进化步骤:有价值的数据将被渗透并加密到位。支付,或者您的数据副本变得毫无用处,您的数据将被公开。
商品和人工操作的勒索软件都有一个共同的挑战:如何确保受害者支付赎金将导致数据被解锁(而不是泄露):第二,支付给该组织的资金不会用于更应受谴责的目的(如果受害者知道可能资助恐怖袭击,他们不太可能支付赎金)。
这就是勒索软件"品牌"发挥作用的地方。如果您听说带有 X 品牌勒索软件的人支付了赎金,并且仍然丢失了他们的数据,那么您支付赎金的可能性就更小了。每个勒索软件组实际上都有积极的旋转 P.R. 策略,并雇佣了一个客户成功团队,以确保他们的"客户"在支付赎金时具有积极的体验。
最近的商业模式演变也发生了,黑暗面(击中殖民管道)和其他人为操作勒索软件的菌株的帮派已经转移到特许经营模式。加盟商提供工具、行动手册和其他攻击基础设施,而加盟商则利用这些服务实施攻击,将已付赎金的一定比例转发给特许经营者。
如何阻止勒索软件攻击
现有的商品勒索软件攻击通常可以在进入时被阻止(通过及时的妥协指标,或以威胁情报源提供 IoCs)。绕过预防措施的新商品勒索软件的范围往往有限,因此一个好的备份/恢复方案将起到作用。
包含更毒和快速移动的商品勒索软件更加困难 - 微细分,零信任,最低特权和其他政策驱动的控制可以帮助遏制疫情。
人为操作的勒索软件攻击与其他有针对性的网络攻击非常相似,因为许多防范这些攻击的对策都是一样的。这意味着后卫的成功不在于规范性政策、硬化配置或某种保护性控制阈值。虽然在一点上是有用的,但一个足够有动力的攻击者最终会克服这些。
相反,针对人工操作的勒索软件的最佳防御将是强大的可见性和强大的威胁狩猎和调查纪律的组合,目的是在恶意活动发展到没有回报的地步之前发现恶意活动。有利的一面是,这种方法也将提高你的弹性的东西,如太阳能风供应链黑客。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。