勒索金額再創(chuàng)新高,企業(yè)應(yīng)如何防范?
今年上半年的數(shù)據(jù)表明,勒索軟件活動(dòng)和贖金金額有望創(chuàng)下歷史新高。
Check Point Research在《2023 年年中安全報(bào)告》中指出,今年上半年,隨著新的勒索軟件團(tuán)伙不斷涌現(xiàn),勒索軟件攻擊態(tài)勢(shì)持續(xù)升級(jí)。
區(qū)塊鏈分析公司Chainaanalysis的報(bào)告顯示,勒索軟件是2023年迄今為止唯一呈上升趨勢(shì)的基于加密貨幣的犯罪形式,勒索贖金有望創(chuàng)下新的紀(jì)錄。
截至6月份,勒索軟件攻擊者已勒索至少4.491億美元,累計(jì)收入已達(dá)到2022年總收入的90%。
勒索攻擊已經(jīng)成為了互聯(lián)網(wǎng)世界的頑疾,近年來(lái)幾乎所有國(guó)家的政府、金融、教育、醫(yī)療、制造、交通、能源等行業(yè)均受勒索攻擊影響。
在面對(duì)新型勒索軟件攻擊時(shí),大多數(shù)企業(yè)組織會(huì)處于極度弱勢(shì),根本難以招架。
勒索攻擊呈五大趨勢(shì)
日前,安全服務(wù)商Heimdal Security的安全研究人員分析了近一年來(lái)的勒索攻擊典型案例后發(fā)現(xiàn),各大勒索攻擊團(tuán)伙一直在不斷改進(jìn)攻擊手法和模式,使得新一代勒索軟件攻擊變得更加復(fù)雜和更有針對(duì)性。
關(guān)基設(shè)施勒索攻擊仍在繼續(xù)
“勒索軟件團(tuán)伙破壞了至少860個(gè)關(guān)鍵基礎(chǔ)設(shè)施組織的網(wǎng)絡(luò)。”這一數(shù)據(jù)出自美FBI在今年一季度發(fā)布的2022年的互聯(lián)網(wǎng)犯罪報(bào)告。媒體報(bào)道指出,該數(shù)據(jù)僅限于“投訴數(shù)據(jù)”,實(shí)際數(shù)量可能更高。
安全機(jī)構(gòu)統(tǒng)計(jì)了2022年發(fā)生的600起勒索軟件攻擊事件稱,針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊翻了一倍。
針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊要更具威脅性,這些企業(yè)可能的妥協(xié)(傾向于贖金支付)一方面來(lái)自于數(shù)據(jù)的重要性,更重要的是對(duì)企業(yè)核心生產(chǎn)連續(xù)性的威脅。
勒索軟件組織優(yōu)先考慮數(shù)據(jù)泄露
通常企業(yè)在遭受勒索軟件攻擊之后,支付贖金并不是他們的第一選擇,F(xiàn)在,勒索組織將視野轉(zhuǎn)向數(shù)據(jù),并威脅企業(yè)如不支付贖金就會(huì)泄露數(shù)據(jù),從而主動(dòng)挑起企業(yè)安全違規(guī)事件。
勒索軟件組織越來(lái)越多地針對(duì)數(shù)據(jù)泄露,而不再是過(guò)去的系統(tǒng)不可用性。
這方面有多家安全組織的報(bào)告都支撐了這一點(diǎn),如在2022年勒索軟件贖金支付下降了約40%,這一點(diǎn)也出自于企業(yè)已經(jīng)投資于更強(qiáng)的安全性和更好的備份。
數(shù)據(jù)備份、針對(duì)業(yè)務(wù)系統(tǒng)做好容災(zāi)建設(shè),是安全企業(yè)在對(duì)應(yīng)勒索攻擊的后期兜底建議,有一部分企業(yè)認(rèn)識(shí)到了這一點(diǎn),他們就可以有勇氣在受到勒索之后不支付贖金,利用安全系統(tǒng)來(lái)恢復(fù)業(yè)務(wù)或數(shù)據(jù)。但如果勒索組織威脅泄露數(shù)據(jù),留給企業(yè)在安全與合規(guī)之間的問題就有些麻煩了。
勒索軟件受害者可能很快面臨后續(xù)攻擊
根據(jù)Akamai公司的研究報(bào)告,一旦受到勒索軟件的攻擊,企業(yè)很快就會(huì)面臨第二次攻擊的更高風(fēng)險(xiǎn)。報(bào)告稱,事實(shí)上,被多個(gè)勒索軟件組織攻擊的受害者在前三個(gè)月內(nèi)遭受后續(xù)攻擊的可能性幾乎是遭遇第一次攻擊之后的六倍。
該報(bào)告警告說(shuō),遭受勒索軟攻擊并支付贖金也不能保證企業(yè)的安全,與其相反,它增加了被同一個(gè)或多個(gè)勒索軟件組織再次攻擊的可能性。
如果受害企業(yè)沒有關(guān)閉其外圍的漏洞/修復(fù)攻擊者第一次破壞其網(wǎng)絡(luò)時(shí)濫用的漏洞,那么很可能會(huì)再次被利用。
此外,如果受害者選擇支付贖金,他們可能會(huì)被同一組織和其他人視為潛在的目標(biāo)。
勒索軟件智能化
隨著人工智能和機(jī)器學(xué)習(xí)技術(shù)不斷完善,攻擊者也開始利用這些創(chuàng)新技術(shù)使勒索軟件攻擊更具針對(duì)性和復(fù)雜性。
研究人員發(fā)現(xiàn),勒索軟件組織開始使用人工智能技術(shù)來(lái)識(shí)別漏洞、撰寫逼真的網(wǎng)絡(luò)釣魚郵件,并根據(jù)防御措施實(shí)時(shí)調(diào)整攻擊策略,這對(duì)勒索軟件防護(hù)工作構(gòu)成了重大挑戰(zhàn)。
由于勒索軟件的智能化程度正在迅速增長(zhǎng),組織也需要及時(shí)關(guān)注更先進(jìn)、更智能的網(wǎng)絡(luò)安全措施,同時(shí)加強(qiáng)員工安全意識(shí)培訓(xùn),以防范這種日益嚴(yán)峻的威脅。
攻擊并不常見的應(yīng)用系統(tǒng)
任何泄露事件都可能帶來(lái)災(zāi)難,因此在面對(duì)新型勒索軟件攻擊時(shí),任何攻擊途徑都不能被忽視。
在新型勒索軟件攻擊模式下,攻擊者會(huì)更加重視一些沒有備份的業(yè)務(wù)系統(tǒng),或者一些并不常見的應(yīng)用,這些看上去的“小應(yīng)用”往往會(huì)給組織帶來(lái)大威脅。
佐治亞理工學(xué)院的安全研究人員已經(jīng)驗(yàn)證,勒索軟件攻擊可以通過(guò)屢試不爽的已知漏洞利用代碼部署到程序邏輯控制器(PLC)中。
遺憾的是,這類設(shè)備的重建或更換成本過(guò)高,新型勒索軟件組織正是瞅準(zhǔn)了這一點(diǎn)以勒索受害者。
企業(yè)應(yīng)如何防范勒索攻擊?
目前活躍在市面上的勒索攻擊病毒種類繁多,極高頻率的變種使得基于病毒特征庫(kù)的傳統(tǒng)殺毒軟件在應(yīng)對(duì)海量新型勒索病毒時(shí),毫無(wú)用武之地。
要防范勒索病毒攻擊,需要從勒索病毒本身出發(fā),深度剖析勒索病毒的普遍性特點(diǎn),有針對(duì)性地進(jìn)行干預(yù)和防范。
其實(shí),勒索病毒行為具有高度趨同性,整個(gè)勒索殺傷鏈涉及:感染準(zhǔn)備、遍歷加密、破壞勒索三個(gè)環(huán)節(jié)。
感染準(zhǔn)備階段主要行為是漏洞利用、自身模塊釋放、進(jìn)程中止和服務(wù)清除;遍歷加密階段主要行為是文件遍歷、數(shù)據(jù)加密;破壞勒索階段主要行為是刪除系統(tǒng)備份、彈出勒索通知。
摸清楚了勒索病毒殺傷鏈的典型行為特征,接下來(lái)就能有效應(yīng)對(duì)勒索病毒,企業(yè)可以從檢測(cè)、防護(hù)、恢復(fù)三個(gè)階段來(lái)應(yīng)對(duì)勒索病毒。
勒索行為監(jiān)測(cè)
勒索病毒的磁盤遍歷、進(jìn)程終止、文件加密、回收站清空等行為,實(shí)際上都是在調(diào)用操作系統(tǒng)底層驅(qū)動(dòng)的高危指令。
所以防勒索系統(tǒng)安裝操作系統(tǒng)后,會(huì)接管操作系統(tǒng)底層的進(jìn)程、文件、磁盤、網(wǎng)絡(luò)驅(qū)動(dòng),勒索病毒在執(zhí)行高危指令調(diào)用時(shí),必然優(yōu)先被防勒索系統(tǒng)感知。
防勒索系統(tǒng)內(nèi)置惡意行為監(jiān)測(cè)引擎,通過(guò)規(guī)則樹的匹配來(lái)識(shí)別惡意破壞行為,進(jìn)而實(shí)現(xiàn)對(duì)勒索病毒的攔截和阻斷。
關(guān)鍵業(yè)務(wù)保護(hù)
勒索病毒加密文件前,會(huì)優(yōu)先終止業(yè)務(wù)進(jìn)程,以解除文件占用,便于文件加密或刪除操作。所以防勒索系統(tǒng)安裝到操作系統(tǒng)后,會(huì)接管操作系統(tǒng)進(jìn)程驅(qū)動(dòng)。
當(dāng)有進(jìn)程終止或線程退出指令時(shí),防勒索系統(tǒng)會(huì)對(duì)指令來(lái)源和指令類型進(jìn)行判斷。
如果是不可信的進(jìn)程發(fā)起的跨進(jìn)程、跨地址空間的指令行為,防勒索系統(tǒng)將會(huì)對(duì)指令操作進(jìn)行攔截,從而避免勒索病毒對(duì)關(guān)鍵業(yè)務(wù)進(jìn)程的破壞,在保障業(yè)務(wù)連續(xù)性的同時(shí),保持關(guān)鍵應(yīng)用對(duì)數(shù)據(jù)文件的持續(xù)占用,進(jìn)而確保數(shù)據(jù)文件不會(huì)被加密勒索。
勒索病毒誘捕
勒索病毒在遍歷文件時(shí),會(huì)優(yōu)先檢索系統(tǒng)常規(guī)路徑,如桌面、文檔路徑、磁盤根目錄等,然后破壞這些文件。
防勒索系統(tǒng)安裝后在系統(tǒng)中投放誘餌文件,并持續(xù)監(jiān)控對(duì)誘餌文件的操作,由于正常應(yīng)用一般不會(huì)訪問誘餌文件,因此對(duì)誘餌文件的操作基本上可以判定為勒索病毒,防勒索系統(tǒng)會(huì)直接殺死可疑進(jìn)程并置于隔離區(qū)。
核心數(shù)據(jù)保護(hù)
未安裝防勒索系統(tǒng)時(shí),無(wú)論是正常的應(yīng)用如word、數(shù)據(jù)庫(kù)服務(wù),還是勒索病毒,對(duì)應(yīng)用數(shù)據(jù)的讀寫都是不受限制的,勒索病毒隨意的對(duì)數(shù)據(jù)文件進(jìn)行加密寫入,致使用戶無(wú)法正常使用數(shù)據(jù)文件。
安裝防勒索系統(tǒng)后,通過(guò)內(nèi)置規(guī)則及動(dòng)態(tài)識(shí)別技術(shù),可以很方便地建立可信應(yīng)用與應(yīng)用數(shù)據(jù)間的訪問關(guān)系模型。
因?yàn)槔账鞑《静辉诳尚艖?yīng)用列表內(nèi),不具備應(yīng)用數(shù)據(jù)的訪問權(quán)限,所以勒索病毒嘗試加密系統(tǒng)中文檔、數(shù)據(jù)庫(kù)、工程文件、音視頻等數(shù)據(jù)文件時(shí),將會(huì)被攔截阻斷。
核心數(shù)據(jù)保護(hù)功能一方面可避免應(yīng)用數(shù)據(jù)被惡意加密,防范典型的文件加密勒索行為,另一方面還可以防范雙重勒索中文件信息泄露的勒索行為。
數(shù)據(jù)智能備份
備份恢復(fù)技術(shù)用于對(duì)抗勒索病毒很有效,因?yàn)橛捎谡`操作、安全策略配置不當(dāng)可能導(dǎo)致檢測(cè)、防護(hù)能力被繞過(guò),所以還需要備份恢復(fù)能力做技術(shù)兜底。
防勒索系統(tǒng)安裝后,任何文件的操作均會(huì)觸發(fā)防勒索的安全檢查,可信應(yīng)用文件操作放行,非可信應(yīng)用文件操作將觸發(fā)備份動(dòng)作。
在備份入庫(kù)前,防勒索系統(tǒng)會(huì)檢查入庫(kù)數(shù)據(jù)的安全性,通過(guò)文件名、后綴名、信息熵、方差值完成文件是否被勒索加密的判斷。
這是因?yàn)楸焕账鞑《炯用艿奈募䲡?huì)被修改文件名、后綴名,文件的熵值和方差值會(huì)發(fā)生顯著變化,基于防勒索系統(tǒng)可識(shí)別被勒索加密的文件,已經(jīng)被勒索加密的文件將直接丟棄,并對(duì)操作該文件的進(jìn)程進(jìn)行終止和隔離操作,被識(shí)別為正常的數(shù)據(jù)文件則經(jīng)過(guò)重復(fù)檢查后進(jìn)入備份區(qū)。
此外,防勒索系統(tǒng)的備份機(jī)制并非是全盤備份,而是經(jīng)過(guò)巧妙設(shè)計(jì)的按需觸發(fā),既可以實(shí)現(xiàn)勒索病毒的精準(zhǔn)防范,又能確保最小的系統(tǒng)資源消耗。
結(jié)語(yǔ)
未來(lái)的勒索軟件攻擊還將持續(xù)演進(jìn),并且增長(zhǎng)速度也會(huì)更快,攻擊的目標(biāo)和形勢(shì)不斷變化,防御對(duì)抗將是長(zhǎng)期性的。
為了共同抵抗這項(xiàng)威脅,還需要全行業(yè)攜手合作、推動(dòng)創(chuàng)新,共同應(yīng)對(duì)勒索攻擊的挑戰(zhàn),才能保障企業(yè)的安全和穩(wěn)定發(fā)展,打贏這場(chǎng)持久戰(zhàn)。
相關(guān)閱讀
比勒索病毒更可怕的,是勒索即軟件服務(wù)RaaS模式的興起
勒索病毒呈現(xiàn)七大趨勢(shì)
勒索軟件一次次破防,我們拿什么“守城”?
【科技云報(bào)道原創(chuàng)】
轉(zhuǎn)載請(qǐng)注明“科技云報(bào)道”并附本文鏈接
原文標(biāo)題 : 勒索金額再創(chuàng)新高,企業(yè)應(yīng)如何防范?
發(fā)表評(píng)論
請(qǐng)輸入評(píng)論內(nèi)容...
請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字
圖片新聞
最新活動(dòng)更多
-
12月19日立即報(bào)名>> 【線下會(huì)議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會(huì)
-
精彩回顧立即查看>> 2024中國(guó)國(guó)際工業(yè)博覽會(huì)維科網(wǎng)·激光VIP企業(yè)展臺(tái)直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會(huì)暨展覽會(huì)
-
精彩回顧立即查看>> 【線下會(huì)議】全數(shù)會(huì)2024電子元器件展覽會(huì)
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
編輯推薦
- 高級(jí)軟件工程師 廣東省/深圳市
- 自動(dòng)化高級(jí)工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級(jí)銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市