Cyberworld 和 Trellix 带您认识和应对勒索软件

2024-05-21 14:35
80

勒索软件攻击仍然是当代最大的网络安全威胁,影响着全球范围内的企业和个人。从医疗保健和工业领域的违规行为(泄露大量敏感数据或完全停机),到针对相对容易成为目标的小型企业的攻击,网络犯罪分子正在扩大其影响范围。防御勒索软件,应该先掌握必要的相关知识:

  1. 什么是勒索软件?

  2. 勒索软件如何运作?

  3. 勒索软件为何蔓延?

  4. 为什么很难找到勒索软件肇事者?

  5. 什么是勒索软件即服务(RaaS)?

  6. 如何防御勒索软件攻击?

  7. 勒索软件的趋势

  8. 应对勒索软件攻击的9个步骤

  9. 为什么不该支付赎金?


1. 什么是勒索软件?

勒索软件是一种恶意软件,它利用加密技术来获取受害者的信息以勒索赎金。网络犯罪分子把用户或企业的重要数据加密,导致受害者无法访问文件、数据库或应用程序。然后,网络犯罪分子要求受害者支付赎金,才能有访问权限。勒索软件通常设计为跨网络传播,并以数据库和文件服务器为目标,可以迅速使整个企业瘫痪。这是一个日益严重的威胁,能为网络犯罪分子带来数十亿美元报酬,会给企业和政府机构造成了巨大的损失和开支。


2. 勒索软件如何运作?

勒索软件使用非对称加密。这是一种使用一对密钥来加密和解密文件的密码学。公私密钥对是由网络犯罪分子为受害者唯一生成的,私钥用于解密网络犯罪分子服务器上存储的文件。网络犯罪分子收到赎金支付后,才会向受害者提供私钥。如果无法获得私钥,几乎不可能解密被勒索的文件。勒索软件存在多种变体。通常,勒索软件和其他恶意软件是通过电子邮件垃圾邮件活动,或通过针对性攻击来分发的。恶意软件需要攻击媒介才能在端点上建立其存在。建立存在后,恶意软件会留在系统上,直到任务完成。成功利用漏洞后,勒索软件会在受感染的系统上投放和执行恶意二进制文件。然后,该二进制文件会搜索并加密有价值的文件,例如 Microsoft Word 文档、图像、数据库等。勒索软件还可能利用系统和网络漏洞传播到其他系统,甚至传播到整个企业。一旦文件被加密,勒索软件会提示用户在 24 至 48 小时内支付赎金以解密文件,否则文件永远丢失。如果数据备份不可用,或者这些备份本身已加密,受害者将面临支付赎金,以恢复个人文件的情况。


3. 勒索软件为何蔓延?

勒索软件攻击及其变体正在迅速发展,以对抗预防技术,原因有以下几点:

  • 轻松获得恶意软件工具包,可用于按需创建新的恶意软件样本。

  • 使用已知的良好的通用解释器来创建跨平台的勒索软件(例如,Ransom32 使用带有 JavaScript 负载的 Node.js )。

  • 使用新技术,例如加密整个磁盘而不是选定的文件。

如今的盗贼不必精通技术,因为勒索软件市场在网上如雨后春笋般涌现,为任何潜在的网络犯罪分子提供恶意软件种类,并为恶意软件开发者带来额外利润,开发者通常要求分一部分赎金收入。


4. 为什么很难找到勒索软件肇事者?

使用比特币等匿名加密货币进行赎金支付,使得追踪资金流向和追踪网络犯罪分子变得困难。而且,开源代码和拖放式平台的易用性加速了新勒索软件变体的创建,并帮助脚本新手创建他们自己的勒索软件。通常,像勒索软件这样的尖端恶意软件在设计上是多态的,这使得网络犯罪分子可以轻易绕过基于文件哈希的传统签名式安全机制。


5. 什么是勒索软件即服务 (RaaS)?

勒索软件即服务(Ransomware as a Service, RaaS)是一种网络犯罪商业模式,允许恶意软件开发者通过其创作赚钱,而无需分发威胁。非技术型网络犯罪分子购买他们的商品,发起攻击,同时支付开发者他们收入的一部分。开发者承担的风险相对较少。RaaS 的某些实例使用订阅,而其他实例需要注册才能获得对勒索软件的访问权限。


6. 如何防御勒索软件攻击?

为了避免勒索软件并减轻受到攻击时造成的损失,请遵循以下建议:

  • 备份您的数据。避免被锁定关键文件的最好方法是确保您始终有它们的备份副本,最好是在云端和外部硬盘上。这样,如果您确实受到了勒索软件攻击,您可以清除您的电脑或设备,并从备份中重新安装文件。这保护了您的数据,不会被诱惑去通过支付赎金来奖励恶意软件开发者。虽然备份不能防止勒索软件,但可以减轻风险。

  • 保护您的备份。确保您的备份数据不能在数据所在的系统中被修改或删除。勒索软件会寻找数据备份并加密或删除它们,使它们无法恢复。因此,请使用不允许直接访问备份文件的备份系统。

  • 使用安全软件,保持最新状态。确保您的所有计算机和设备都受到全面的安全软件的保护,并使所有软件保持最新状态。确保及时并经常更新您设备的软件,每次更新一般都会包含对漏洞的修复。

  • 使用互联网时采取安全措施。请小心您的点击。不要回复陌生人的电子邮件和短信,仅从可信来源下载应用程序。因为,恶意软件开发者经常使用社会工程学,试图让您安装危险的文件。

  • 只使用安全的网络。避免使用公共Wi-Fi 网络,因为其中许多网络不安全,网络犯罪分子能窥探您的互联网使用情况。相反,请考虑安装 VPN,无论您身在何处,它都能为您提供安全的互联网连接。

  • 及时了解情况。及时了解最新的勒索软件威胁,这样您就知道要注意什么。如果您确实受到勒索软件攻击,并且没有备份所有文件,就得知道科技公司提供了哪些解密工具来帮助受害者。

  • 实施安全意识培训。为企业的每个成员提供定期的安全意识培训,以便他们避免网络钓鱼和其他社会工程攻击。定期进行演习和测试,以确保培训得到遵守。


7. 勒索软件的趋势

Trellix 的一线事件响应专家在调查和修复勒索软件时,通常会看到以下趋势:

勒索软件攻击的平均停留时间(单位:天)

median-dwell-1.png

如上图所示,勒索软件攻击的平均停留时间为 72.5 天,而所有威胁(包括勒索软件)的平均停留时间为 56 天。


一周中,勒索软件部署的热门日子

days-of-week-1.png

如上图所示,一周中的某些日子是勒索软件攻击的部署和执行启动时间,而不是网络犯罪分子初次获得访问权限的时间。


风险最小化,减少勒索软件停留时间

72-days-1.png

网络犯罪分子的平均停留时间从 72 天减少到 24 小时或更短。


8. 应对勒索软件攻击的 9 个步骤

如果您怀疑自己受到了勒索软件攻击,请迅速采取行动。您可以采取以下9个步骤,这将最大限度地减少损失,快速恢复正常运营。

  1. 隔离受感染的设备。影响一台设备的勒索软件会造成一定程度的不便。允许勒索软件感染您企业的所有设备是一场重大灾难,可能会让您永远停业。两者之间的差异通常取决于反应时间。为了确保网络、共享驱动器和其他设备的安全,您必须尽快将受影响的设备与网络、互联网和其他设备断开连接。越早这样做,其他设备被感染的可能性就越小。

  2. 阻止传播。因为勒索软件移动速度快,带有勒索软件的设备不一定是“零号病人”,所以立即隔离受感染的设备并不能保证网络上其他地方不存在勒索软件。为了有效地限制其范围,您需要从网络中断开所有行为可疑的设备,包括那些在场外运行的设备。如果它们连接到网络,无论它们在哪里,都会构成风险。此时,关闭无线连接(Wi-Fi、蓝牙等)也是一个好主意。

  3. 评估损害。为了确定哪些设备已经被感染,检查最近被加密的文件,看看是否有奇怪的文件扩展名,寻找报告中是否有奇怪的文件名或用户在打开文件时是否遇到问题。如果您发现任何设备没有被完全加密,它们应该被隔离并关闭,以帮助控制攻击,防止进一步的损害和数据丢失。您的目标是创建一个包含所有受影响系统的详细列表,包括网络存储设备、云存储、外部硬盘存储(包括 USB 闪存驱动器)、笔记本电脑、智能手机和任何其他可能的媒介。在这一点上,锁定共享是明智的。如果可以的话,所有的共享都应该被限制;如果不可以,请限制尽可能多的共享。这样做将停止任何正在进行的加密过程,并且在修复过程中也会防止额外的共享被感染。但在执行此操作之前,您需要查看被加密的共享。这样做可以提供一条有用的信息:如果一台设备的打开文件数量比平时多得多,您可能找到了“零号病人”。

  4. 找到“零号病人”。一旦确定了感染源,追踪感染就会变得相当容易。为此,请检查可能来自防病毒或反恶意软件、EDR 或任何主动监察平台的任何警报。由于大多数勒索软件是通过恶意电子邮件链接和附件进入网络的,这需要终端用户执行操作,因此询问人们的活动(如打开可疑的电子邮件)以及他们注意到的情况也可能有用。最后,查看文件本身的属性也可以提供线索——列为所有者的人可能是入口点。但是,请记住,“零号病人”可能不止一个!

  5. 识别勒索软件。在进一步操作之前,首先需要确定您正在处理的勒索软件的变体。一种方法是访问No More Ransom,这是一个全球性倡议,Trellix 也是其中的一部分。该网站有一套工具可以帮助您解救数据,包括 CryptoSheriff 工具:只需上传一个被加密的文件,它就会扫描寻找匹配项。您也可以使用勒索字条中包含的信息,如果它没有直接说明勒索软件变体,则使用搜索引擎查询电子邮件地址或勒索字条本身也会有所帮助。一旦您识别了勒索软件,并对其行为进行了一些快速研究,您应该尽快通知所有未受影响的员工。这样,他们就会知道如何发现自己已被感染的迹象。

  6. 向当局报告勒索软件。勒索软件被遏制后,您应该联系执法部门。勒索软件攻击是违法的,就像任何其他犯罪一样,应该向相关当局报告。

  7. 评估您的备份。现在要开始响应了。最快捷、最简单的方法就是从备份恢复系统。理想情况下,您会有一个未被感染、完整的备份,而且创建的时间足够近,足以发挥作用。如果有,下一步就是使用防病毒或反恶意软件解决方案,确保所有被感染的系统和设备都被清除了勒索软件,否则它会继续锁定系统并加密文件,可能会破坏备份。如果所有的恶意软件痕迹都被消除,您就可以从此备份恢复系统。一旦您确认所有数据都已恢复,所有的应用程序和进程都已正常运行,就可以恢复正常业务。不幸的是,许多企业在需要备份但没有备份的时候,才意识到创建和维护备份的重要性。当代勒索软件越来越复杂和强大,一些创建了备份的人很快就会发现勒索软件也破坏或加密了他们的备份,使之完全无用。

  8. 研究您的解密选项。如果您发现自己没有可用的备份,仍然有机会恢复数据。在 No More Ransom 上可以找到越来越多的免费解密密钥。如果有一个可用的解密密钥适用于您正在处理的勒索软件变体(假设您现在已经从您的系统中清除了所有的恶意软件痕迹),您将能够使用解密密钥来解锁数据。即使您足够幸运地找到了一个解密器,但工作还没有完成,在进行修复时,会需要数小时或数天的停机时间。

  9. 继续前行。如果您没有可用的备份,也找不到解密密钥,您唯一的选择可能就是减少损失,并从头开始。重建不会是一个快速或者低成本的过程,但是一旦您用尽了所有其他的方法,这就是您能做的最好的事情。


9. 为什么不该支付赎金?

当面临可能需要数周或数月的恢复期时,您可能会屈服于支付赎金的要求。但是,这是一个坏主意,原因有以下几点:

  • 您可能永远无法获得解密密钥。当您支付了赎金,您应该得到一个解密密钥作为回报,但这是在依赖网络犯罪分子的诚信。许多人和企业支付赎金后,什么都没有得到,反而损失了数十、数百或数千美元,仍然要重建系统。

  • 您可能多次收到赎金要求。一旦您支付了赎金,部署勒索软件的网络犯罪分子就知道您已经受到他们的摆布。如果您愿意支付更多的钱,他们可能会给您一个有效的解密密钥。

  • 您可能收到一个有效的解密密钥。勒索软件开发者不从事文件恢复业务,他们的目标是赚钱。换句话说,您收到的解密器可能足以让网络犯罪分子声称他们履行了交易承诺。此外,加密过程本身可能会导致一些文件损坏到无法修复的程度。如果发生这种情况,即使是一个好的解密密钥也无法解锁您的文件,文件将永远消失。

  • 您可能把自己变成了网络犯罪分子的目标。一旦您支付了赎金,网络犯罪分子就会知道您是一个不错的攻击对象。一个有支付过赎金的企业比一个可能不支付的新目标更具有吸引力。如何才能阻止同一群网络犯罪分子在一两年内再次发动攻击?还有,怎样阻止他们在论坛上向其他网络犯罪分子宣布您是一个容易下手的目标呢?

  • 即使最后一切都能顺利解决,您仍然在资助网络犯罪活动。假设您支付了赎金,收到了一个有效的解密密钥,恢复了所有的运行。但这不是一个好的开始。当您支付赎金时,您就是在资助网络犯罪活动。抛开明显的道德含义,您是在强化勒索软件是一个有效的商业模式的观念。您仔细想想,如果没有人支付赎金,您认为他们会继续散播勒索软件吗?由于他们的成功犯罪和超额收入,将会继续对毫无防备的企业进行攻击,并继续投入时间和金钱去开发新的、更邪恶的勒索软件——在不久的将来,它们可能会出现在您的设备上。


Trellix 勒索软件检测和响应

Trellix 高级研究中心分析了 9,000 多次现实世界的攻击,开发了勒索软件杀伤链模型。Trellix 为复杂的勒索软件活动的所有阶段提供关键覆盖,从侦察到恢复。

trellix-ciso-guide-to-ransomware-6-1-1.png

Trellix能做到:

  • Trellix 全面、集成、开放的人工智能驱动和扩展检测和响应 (XDR) 可降低整体勒索软件风险。

  • 自动多向量、多供应商关联和情境化可缩短平均检测时间 (MTTD)。

  • 人工智能引导的调查、响应和操作手册,可缩短平均调查时间 (MTTI) 和响应时间 (MTTR)。

  • Trellix 专业服务能帮助您加强防御,更快地恢复业务。

  • 简化的安全操作、提高的生产力以及更快的价值实现时间可降低总体成本。

  • 威胁情报嵌入在平台中并作为服务提供,可以发现威胁和确定威胁的优先级。

Cyberworld 科明大同是 Trellix 的中国区代理商,欢迎咨询 Trellix 产品和解决方案,我们期待您的联络