勒索金額再創(chuàng)新高,企業(yè)應如何防范?

科技云報道原創(chuàng)。

今年上半年的數(shù)據(jù)表明,勒索軟件活動和贖金金額有望創(chuàng)下歷史新高。

Check Point Research在《2023 年年中安全報告》中指出,今年上半年,隨著新的勒索軟件團伙不斷涌現(xiàn),勒索軟件攻擊態(tài)勢持續(xù)升級。

區(qū)塊鏈分析公司Chainaanalysis的報告顯示,勒索軟件是2023年迄今為止唯一呈上升趨勢的基于加密貨幣的犯罪形式,勒索贖金有望創(chuàng)下新的紀錄。

截至6月份,勒索軟件攻擊者已勒索至少4.491億美元,累計收入已達到2022年總收入的90%。

勒索攻擊已經(jīng)成為了互聯(lián)網(wǎng)世界的頑疾,近年來幾乎所有國家的政府、金融、教育、醫(yī)療、制造、交通、能源等行業(yè)均受勒索攻擊影響。

在面對新型勒索軟件攻擊時,大多數(shù)企業(yè)組織會處于極度弱勢,根本難以招架。

勒索攻擊呈五大趨勢

日前,安全服務商Heimdal Security的安全研究人員分析了近一年來的勒索攻擊典型案例后發(fā)現(xiàn),各大勒索攻擊團伙一直在不斷改進攻擊手法和模式,使得新一代勒索軟件攻擊變得更加復雜和更有針對性。

關(guān)基設施勒索攻擊仍在繼續(xù)

“勒索軟件團伙破壞了至少860個關(guān)鍵基礎設施組織的網(wǎng)絡?!边@一數(shù)據(jù)出自美FBI在今年一季度發(fā)布的2022年的互聯(lián)網(wǎng)犯罪報告。媒體報道指出,該數(shù)據(jù)僅限于“投訴數(shù)據(jù)”,實際數(shù)量可能更高。

安全機構(gòu)統(tǒng)計了2022年發(fā)生的600起勒索軟件攻擊事件稱,針對關(guān)鍵基礎設施的攻擊翻了一倍。

針對關(guān)鍵基礎設施的攻擊要更具威脅性,這些企業(yè)可能的妥協(xié)(傾向于贖金支付)一方面來自于數(shù)據(jù)的重要性,更重要的是對企業(yè)核心生產(chǎn)連續(xù)性的威脅。

勒索軟件組織優(yōu)先考慮數(shù)據(jù)泄露

通常企業(yè)在遭受勒索軟件攻擊之后,支付贖金并不是他們的第一選擇。現(xiàn)在,勒索組織將視野轉(zhuǎn)向數(shù)據(jù),并威脅企業(yè)如不支付贖金就會泄露數(shù)據(jù),從而主動挑起企業(yè)安全違規(guī)事件。

勒索軟件組織越來越多地針對數(shù)據(jù)泄露,而不再是過去的系統(tǒng)不可用性。

這方面有多家安全組織的報告都支撐了這一點,如在2022年勒索軟件贖金支付下降了約40%,這一點也出自于企業(yè)已經(jīng)投資于更強的安全性和更好的備份。

數(shù)據(jù)備份、針對業(yè)務系統(tǒng)做好容災建設,是安全企業(yè)在對應勒索攻擊的后期兜底建議,有一部分企業(yè)認識到了這一點,他們就可以有勇氣在受到勒索之后不支付贖金,利用安全系統(tǒng)來恢復業(yè)務或數(shù)據(jù)。但如果勒索組織威脅泄露數(shù)據(jù),留給企業(yè)在安全與合規(guī)之間的問題就有些麻煩了。

勒索軟件受害者可能很快面臨后續(xù)攻擊

根據(jù)Akamai公司的研究報告,一旦受到勒索軟件的攻擊,企業(yè)很快就會面臨第二次攻擊的更高風險。報告稱,事實上,被多個勒索軟件組織攻擊的受害者在前三個月內(nèi)遭受后續(xù)攻擊的可能性幾乎是遭遇第一次攻擊之后的六倍。

該報告警告說,遭受勒索軟攻擊并支付贖金也不能保證企業(yè)的安全,與其相反,它增加了被同一個或多個勒索軟件組織再次攻擊的可能性。

如果受害企業(yè)沒有關(guān)閉其外圍的漏洞/修復攻擊者第一次破壞其網(wǎng)絡時濫用的漏洞,那么很可能會再次被利用。

此外,如果受害者選擇支付贖金,他們可能會被同一組織和其他人視為潛在的目標。

勒索軟件智能化

隨著人工智能和機器學習技術(shù)不斷完善,攻擊者也開始利用這些創(chuàng)新技術(shù)使勒索軟件攻擊更具針對性和復雜性。

研究人員發(fā)現(xiàn),勒索軟件組織開始使用人工智能技術(shù)來識別漏洞、撰寫逼真的網(wǎng)絡釣魚郵件,并根據(jù)防御措施實時調(diào)整攻擊策略,這對勒索軟件防護工作構(gòu)成了重大挑戰(zhàn)。

由于勒索軟件的智能化程度正在迅速增長,組織也需要及時關(guān)注更先進、更智能的網(wǎng)絡安全措施,同時加強員工安全意識培訓,以防范這種日益嚴峻的威脅。

攻擊并不常見的應用系統(tǒng)

任何泄露事件都可能帶來災難,因此在面對新型勒索軟件攻擊時,任何攻擊途徑都不能被忽視。

在新型勒索軟件攻擊模式下,攻擊者會更加重視一些沒有備份的業(yè)務系統(tǒng),或者一些并不常見的應用,這些看上去的“小應用”往往會給組織帶來大威脅。

佐治亞理工學院的安全研究人員已經(jīng)驗證,勒索軟件攻擊可以通過屢試不爽的已知漏洞利用代碼部署到程序邏輯控制器(PLC)中。

遺憾的是,這類設備的重建或更換成本過高,新型勒索軟件組織正是瞅準了這一點以勒索受害者。

企業(yè)應如何防范勒索攻擊?

目前活躍在市面上的勒索攻擊病毒種類繁多,極高頻率的變種使得基于病毒特征庫的傳統(tǒng)殺毒軟件在應對海量新型勒索病毒時,毫無用武之地。

要防范勒索病毒攻擊,需要從勒索病毒本身出發(fā),深度剖析勒索病毒的普遍性特點,有針對性地進行干預和防范。

其實,勒索病毒行為具有高度趨同性,整個勒索殺傷鏈涉及:感染準備、遍歷加密、破壞勒索三個環(huán)節(jié)。

感染準備階段主要行為是漏洞利用、自身模塊釋放、進程中止和服務清除;遍歷加密階段主要行為是文件遍歷、數(shù)據(jù)加密;破壞勒索階段主要行為是刪除系統(tǒng)備份、彈出勒索通知。

摸清楚了勒索病毒殺傷鏈的典型行為特征,接下來就能有效應對勒索病毒,企業(yè)可以從檢測、防護、恢復三個階段來應對勒索病毒。

勒索行為監(jiān)測

勒索病毒的磁盤遍歷、進程終止、文件加密、回收站清空等行為,實際上都是在調(diào)用操作系統(tǒng)底層驅(qū)動的高危指令。

所以防勒索系統(tǒng)安裝操作系統(tǒng)后,會接管操作系統(tǒng)底層的進程、文件、磁盤、網(wǎng)絡驅(qū)動,勒索病毒在執(zhí)行高危指令調(diào)用時,必然優(yōu)先被防勒索系統(tǒng)感知。

防勒索系統(tǒng)內(nèi)置惡意行為監(jiān)測引擎,通過規(guī)則樹的匹配來識別惡意破壞行為,進而實現(xiàn)對勒索病毒的攔截和阻斷。

關(guān)鍵業(yè)務保護

勒索病毒加密文件前,會優(yōu)先終止業(yè)務進程,以解除文件占用,便于文件加密或刪除操作。所以防勒索系統(tǒng)安裝到操作系統(tǒng)后,會接管操作系統(tǒng)進程驅(qū)動。

當有進程終止或線程退出指令時,防勒索系統(tǒng)會對指令來源和指令類型進行判斷。

如果是不可信的進程發(fā)起的跨進程、跨地址空間的指令行為,防勒索系統(tǒng)將會對指令操作進行攔截,從而避免勒索病毒對關(guān)鍵業(yè)務進程的破壞,在保障業(yè)務連續(xù)性的同時,保持關(guān)鍵應用對數(shù)據(jù)文件的持續(xù)占用,進而確保數(shù)據(jù)文件不會被加密勒索。

勒索病毒誘捕

勒索病毒在遍歷文件時,會優(yōu)先檢索系統(tǒng)常規(guī)路徑,如桌面、文檔路徑、磁盤根目錄等,然后破壞這些文件。

防勒索系統(tǒng)安裝后在系統(tǒng)中投放誘餌文件,并持續(xù)監(jiān)控對誘餌文件的操作,由于正常應用一般不會訪問誘餌文件,因此對誘餌文件的操作基本上可以判定為勒索病毒,防勒索系統(tǒng)會直接殺死可疑進程并置于隔離區(qū)。

核心數(shù)據(jù)保護

未安裝防勒索系統(tǒng)時,無論是正常的應用如word、數(shù)據(jù)庫服務,還是勒索病毒,對應用數(shù)據(jù)的讀寫都是不受限制的,勒索病毒隨意的對數(shù)據(jù)文件進行加密寫入,致使用戶無法正常使用數(shù)據(jù)文件。

安裝防勒索系統(tǒng)后,通過內(nèi)置規(guī)則及動態(tài)識別技術(shù),可以很方便地建立可信應用與應用數(shù)據(jù)間的訪問關(guān)系模型。

因為勒索病毒不在可信應用列表內(nèi),不具備應用數(shù)據(jù)的訪問權(quán)限,所以勒索病毒嘗試加密系統(tǒng)中文檔、數(shù)據(jù)庫、工程文件、音視頻等數(shù)據(jù)文件時,將會被攔截阻斷。

核心數(shù)據(jù)保護功能一方面可避免應用數(shù)據(jù)被惡意加密,防范典型的文件加密勒索行為,另一方面還可以防范雙重勒索中文件信息泄露的勒索行為。

數(shù)據(jù)智能備份

備份恢復技術(shù)用于對抗勒索病毒很有效,因為由于誤操作、安全策略配置不當可能導致檢測、防護能力被繞過,所以還需要備份恢復能力做技術(shù)兜底。

防勒索系統(tǒng)安裝后,任何文件的操作均會觸發(fā)防勒索的安全檢查,可信應用文件操作放行,非可信應用文件操作將觸發(fā)備份動作。

在備份入庫前,防勒索系統(tǒng)會檢查入庫數(shù)據(jù)的安全性,通過文件名、后綴名、信息熵、方差值完成文件是否被勒索加密的判斷。

這是因為被勒索病毒加密的文件會被修改文件名、后綴名,文件的熵值和方差值會發(fā)生顯著變化,基于防勒索系統(tǒng)可識別被勒索加密的文件,已經(jīng)被勒索加密的文件將直接丟棄,并對操作該文件的進程進行終止和隔離操作,被識別為正常的數(shù)據(jù)文件則經(jīng)過重復檢查后進入備份區(qū)。

此外,防勒索系統(tǒng)的備份機制并非是全盤備份,而是經(jīng)過巧妙設計的按需觸發(fā),既可以實現(xiàn)勒索病毒的精準防范,又能確保最小的系統(tǒng)資源消耗。

結(jié)語

未來的勒索軟件攻擊還將持續(xù)演進,并且增長速度也會更快,攻擊的目標和形勢不斷變化,防御對抗將是長期性的。

為了共同抵抗這項威脅,還需要全行業(yè)攜手合作、推動創(chuàng)新,共同應對勒索攻擊的挑戰(zhàn),才能保障企業(yè)的安全和穩(wěn)定發(fā)展,打贏這場持久戰(zhàn)。

免責聲明:此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章,所有文字和圖片版權(quán)歸作者所有,且僅代表作者個人觀點,與極客網(wǎng)無關(guān)。文章僅供讀者參考,并請自行核實相關(guān)內(nèi)容。投訴郵箱:editor@fromgeek.com。

極客網(wǎng)企業(yè)會員

免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2023-09-28
勒索金額再創(chuàng)新高,企業(yè)應如何防范?
科技云報道原創(chuàng)。今年上半年的數(shù)據(jù)表明,勒索軟件活動和贖金金額有望創(chuàng)下歷史新高。Check Point Research在《2023 年年中安全報告》中指...

長按掃碼 閱讀全文