勒索軟件的風(fēng)險正在影響企業(yè)的核心業(yè)務(wù)。數(shù)據(jù)安全治理供應(yīng)商Netwrix公司高級副總裁Jeff Warren指出,認(rèn)識到勒索軟件運營商越來越成功的關(guān)鍵因素���,并了解如何準(zhǔn)備有效的縱深防御策略�,這一點很重要�����。
(資料圖)
很多企業(yè)經(jīng)常以錯誤的眼光看待勒索軟件攻擊者��,認(rèn)為它只是一些為了盈利而暴露漏洞的居心不良者����。事實上,勒索軟件如今已經(jīng)成為一個蓬勃發(fā)展的行業(yè):在2022年����,勒索軟件涉及了所有違規(guī)行為的25%。根據(jù)調(diào)查�,勒索軟件攻擊造成的平均損失達(dá)到了驚人的454萬美元。因此���,網(wǎng)絡(luò)安全專業(yè)人員需要確切地了解勒索軟件攻擊成功的原因以及如何防御這種攻擊����。
以下探討勒索軟件運營商越來越成功的四個關(guān)鍵因素,并以Lockbit 3.0為例進(jìn)行說明�。然后,它解釋了有效的深度防御策略的關(guān)鍵組成部分��,以減輕企業(yè)的風(fēng)險�����。
勒索軟件攻擊越來越成功的四個要素
以下是勒索軟件威脅增長的四個關(guān)鍵因素:
(1)勒索軟件即服務(wù)(RaaS)
一些勒索軟件組織已經(jīng)成功地采用了軟件即服務(wù)(SaaS)模式����,創(chuàng)建了一個強大的RaaS市場。他們提供執(zhí)行勒索軟件攻擊的復(fù)雜工具�����,并從每次支付的贖金中賺取一定比例的傭金�,從而創(chuàng)建了一個RaaS銷售團隊。這種模式催生了一些最具破壞性的勒索軟件����,包括Lockbit 3.0�。
(2)基本方法仍然有效
勒索軟件攻擊者知道“如果沒有壞,就不要修復(fù)它”的規(guī)則��。許多勒索軟件技術(shù)多年來一直保持不變,因為它們很有效��。特別是���,常見的漏洞仍然是勒索軟件初始滲透的主要途徑���。“登陸并擴展”過程的下一步是橫向移動�����,升級權(quán)限并實現(xiàn)持久性�����,然后最終加密數(shù)據(jù)(并可能威脅泄漏數(shù)據(jù))以勒索贖金��。在勒索軟件攻擊初始階段�����,網(wǎng)絡(luò)犯罪分子可能需要花費數(shù)天或數(shù)周的時間來了解受害者環(huán)境的拓?fù)浣Y(jié)構(gòu)和安全基礎(chǔ)設(shè)施��,當(dāng)他們準(zhǔn)備好部署階段時,現(xiàn)代勒索軟件可能在幾分鐘內(nèi)像野火一樣蔓延����。
(3)更多的人為操作
在勒索軟件的早期,攻擊的成功率很低�����。網(wǎng)絡(luò)犯罪分子越來越多地在勒索軟件攻擊之前的階段運用他們的知識和洞察力�����,使他們能夠成功地攻擊三分之一的目標(biāo)�����。
(4)雙重勒索和三重勒索
就像任何聰明的商人一樣���,勒索軟件的參與者和他們的同伙已經(jīng)找到使其“收入”最大化的方法�����。一旦他們訪問并加密受害者的關(guān)鍵數(shù)據(jù)�,他們就可以進(jìn)行勒索����。首先,勒索軟件攻擊者將要求為解密密鑰支付贖金����。接下來,如果沒有支付贖金����,勒索者可能會威脅出售或泄露受害者的敏感數(shù)據(jù)。最后��,他們可能會向其他可能受到數(shù)據(jù)泄露影響的受害者的客戶或合作伙伴尋求賠償�����。三重勒索已經(jīng)成為勒索軟件商業(yè)模式中越來越有利可圖的組成部分����,擁有廣泛第三方網(wǎng)絡(luò)的企業(yè)正成為被高度關(guān)注的目標(biāo)。
LockBit 3.0示例
自從2019年推出以來����,LockBit一直是最具破壞性和最多產(chǎn)的勒索軟件之一。它通常用于勒索軟件攻擊提供關(guān)鍵服務(wù)的目標(biāo)����,包括衛(wèi)生系統(tǒng)和醫(yī)院����,阻止用戶訪問重要系統(tǒng)和數(shù)據(jù)�,并要求支付贖金。
LockBit操作者使用受損的服務(wù)器�,發(fā)送網(wǎng)絡(luò)釣魚電子郵件或強制使用不安全的RDP或VPN憑據(jù)滲透到受害企業(yè)。
LockBit之所以脫穎而出�,是因為它是最成功的勒索軟件即服務(wù)(RaaS)之一。美國司法部聲稱�,LockBit成員至少賺取了1億美元以上,這為贖金要求打開了一個新的窗口��。一個勒索軟件團隊開發(fā)惡意軟件�,并將代碼授權(quán)給實施攻擊的分支機構(gòu)。由于LockBit利潤豐厚����,它的開發(fā)人員像一個復(fù)雜的商業(yè)軟件企業(yè)一樣運作,改進(jìn)其功能���,修復(fù)錯誤��,提高其效率�����。
LockBit 3.0于2022年7月首次被發(fā)現(xiàn)��。到2022年第三季度末��,最近觀察到的針對工業(yè)企業(yè)和基礎(chǔ)設(shè)施的勒索軟件攻擊中有三分之一與此有關(guān)����。這次發(fā)布的一個關(guān)鍵改進(jìn)是�,它使受害者的數(shù)據(jù)以一種易于搜索的形式免費提供。該公司還推出了一項漏洞賞金計劃����,向發(fā)現(xiàn)并提交漏洞報告的安全研究人員提供高達(dá)100萬美元的獎勵。
如何降低勒索軟件攻擊的風(fēng)險
就像硬幣的兩面一樣:如果企業(yè)想要減少勒索軟件攻擊的成功幾率�����,也想最大限度地減少攻擊成功之后可能造成的傷害���。因此�����,需要一種分層安全和縱深防御的方法��。以下是主要組成部分:
(1)提高員工安全意識:只有當(dāng)員工至少了解安全要點時�����,安全計劃才會起作用�����。因此��,投資于定期����、有效的教育和培訓(xùn)至關(guān)重要。
(2)清點數(shù)據(jù):為了降低失去對關(guān)鍵數(shù)據(jù)的訪問權(quán)限的風(fēng)險�����,企業(yè)必須知道他們存儲的數(shù)據(jù)類型�,并根據(jù)其價值對其進(jìn)行保護(hù)。因為不可能保護(hù)所有的數(shù)據(jù)���,所以專注于保護(hù)重要的數(shù)據(jù)�����。
(3)采用零權(quán)限方法:為了減少攻擊面�,只有在需要的時候,并且只有在驗證了請求的有效性之后�����,才應(yīng)授予對敏感數(shù)據(jù)的訪問權(quán)限�����。
(4)注意可疑活動:數(shù)據(jù)加密和泄露需要時間��。在網(wǎng)絡(luò)攻擊的早期階段檢測異常用戶行為對于最大限度地減少損害至關(guān)重要���。
(5)記錄和測試事件響應(yīng)計劃(IRP):企業(yè)必須制定并實踐對正在進(jìn)行的攻擊做出快速適當(dāng)反應(yīng)的步驟,包括誰應(yīng)對什么負(fù)責(zé)��。在理想情況下�����,實現(xiàn)可以立即采取行動的自動化控制���,例如���,終止用戶會話�����、加密或復(fù)制大量數(shù)據(jù)�。
(6)確保企業(yè)擁有可靠的備份和有效的恢復(fù):為了最大限度地減少業(yè)務(wù)中斷���,IT團隊必須能夠快速恢復(fù)最重要的數(shù)據(jù)和服務(wù)�。他們將需要存儲在惡意軟件無法觸及的最新備份���,并需要在勒索軟件攻擊期間修改或刪除哪些文件的詳細(xì)信息��,以減少恢復(fù)工作的范圍�����。
勒索軟件的風(fēng)險正在影響各行業(yè)組織����。雖然數(shù)字化轉(zhuǎn)型和基礎(chǔ)設(shè)施現(xiàn)代化仍然是重中之重,但這些目標(biāo)通常需要根據(jù)維護(hù)安全性和業(yè)務(wù)連續(xù)性的需要進(jìn)行修改����。勒索軟件預(yù)防是任何風(fēng)險緩解策略的關(guān)鍵部分。
事實上����,沒有任何企業(yè)愿意在支付高額贖金或因拒絕支付而遭受嚴(yán)重?fù)p害之間做出選擇。因此���,他們應(yīng)該采取多層次的方法����,強調(diào)防止勒索病毒攻擊���,并為最壞的情況做好準(zhǔn)備。
關(guān)鍵詞:
