勒索软件完全指南:从定义到防御策略

本文全面解析勒索软件的定义、工作原理、攻击生命周期、类型及对企业的影响,并提供详细的预防、检测和响应策略,帮助组织有效应对这一日益严重的网络威胁。

什么是勒索软件?完整指南

勒索软件是一种恶意软件,能够锁定并加密受害者的数据、文件、设备或系统,使其无法访问和使用,直到攻击者收到赎金。恶意软件是未经授权访问IT系统和设备的恶意软件的总称。勒索软件是恶意软件的一种形式,攻击者要求支付金钱以解锁和解密受影响的数据或归还被盗数据。

勒索软件的最初版本仅使用加密来阻止受害者访问其文件和系统。然而,拥有定期备份的受害者可以恢复其数据,从而无需支付赎金。反过来,恶意行为者开始采用网络勒索策略,使用额外威胁(如公开敏感数据)来勒索受害者支付赎金。此外,攻击者越来越多地针对受害者的备份,以防止组织恢复其数据。Veeam的“2024年勒索软件趋势报告”发现,前一年96%的勒索软件攻击专门针对备份数据。

勒索软件可能对个人、组织甚至整个市政当局或国家造成毁灭性打击。由于这些以财务为动机的攻击持续成功,它们变得越来越普遍。Verizon的“2024年数据泄露调查报告”发现,约三分之一的数据泄露涉及勒索软件,而Sophos的“2024年勒索软件状况”报告称,59%的组织在过去一年中经历了勒索软件攻击,其中70%的攻击导致数据加密。

每个组织都面临经历勒索软件攻击的风险——几乎总是毫无预警。本指南进一步解释了什么是勒索软件,并提供了推动这种困难且破坏性网络犯罪形式的关键概念、趋势和策略的全面概述。超链接连接到其他文章,提供更深入的信息。

勒索软件如何工作?

勒索软件生命周期有七个一般阶段:目标选择和侦察;恶意软件分发和感染;命令和控制;探索和横向移动;数据外泄和加密;勒索;以及解决。

阶段1. 目标选择和侦察

攻击者选择目标并进行侦察。在此阶段,攻击者收集关于受害者、其系统和潜在员工的信息,以用于恶意软件分发。技术可能包括收集公开可用数据、执行网络和端口扫描,以及识别受害组织的安全控制。

阶段2. 恶意软件分发和感染

在此阶段,攻击者渗透受害者的系统并用恶意软件感染它们。最常见的勒索软件攻击向量是社会工程、受损凭据、远程桌面软件、可利用的软件漏洞,以及恶意网站和恶意广告。

  • 社会工程:钓鱼是最流行的社会工程类型,并且继续是所有类型恶意软件的首要攻击向量。攻击者在看似合法的电子邮件中嵌入恶意链接和附件,以欺骗用户无意中安装恶意软件。除了钓鱼电子邮件,短信钓鱼、语音钓鱼、鱼叉式钓鱼和水坑攻击是攻击者用来欺骗人们启动恶意软件安装的社会工程骗局形式。
  • 受损凭据:通过合法凭据获得访问是攻击者在目标系统上安装恶意软件的最有效方式之一。攻击者使用多种技术访问用户凭据,包括凭据填充、从暗网购买凭据、鱼叉式钓鱼和水坑攻击,以及击键记录器。
  • 远程桌面软件:远程桌面软件,如远程桌面协议(RDP)和虚拟网络计算(VNC),使管理员能够从世界任何地方访问桌面。然而,没有足够的保护,它是勒索软件的常见入口点。攻击技术包括凭据访问、暴力攻击和离线密码破解。
  • 软件漏洞:攻击者通过攻击未修补或过时的软件渗透受害者的系统。任何面向互联网的系统,如果软件或硬件过时,都容易受到攻击,Web应用程序和第三方依赖也是如此。
  • 恶意网站和恶意广告:虽然今天作为勒索软件攻击向量不如以前常见,但一些威胁行为者仍然使用注入恶意代码的网站和广告来感染受害者。点击含有恶意软件的链接或广告的用户可能会无意中下载勒索软件。

阶段3. 命令和控制

由攻击者设置和操作的命令和控制(C&C)服务器向目标系统发送加密密钥,安装额外的恶意软件,并促进勒索软件生命周期的其他阶段。

阶段4. 探索和横向移动

此阶段涉及攻击者更深入地进入受害者的网络,并通过提升其权限和执行横向移动攻击来扩展其范围。

阶段5. 数据外泄和加密

在此阶段,攻击者将数据外泄到C&C服务器,以用于后续的勒索攻击。然后他们使用从C&C服务器发送的密钥加密数据和系统。

阶段6. 勒索

攻击者要求支付赎金。组织现在知道自己是勒索软件攻击的受害者。

阶段7. 解决

受害组织必须采取行动应对和恢复攻击。这可能涉及从备份恢复数据、实施勒索软件恢复计划、支付赎金、与攻击者谈判或从头重建系统。

传统的勒索软件攻击仅加密数据,不窃取数据。

有哪些不同类型的勒索软件?

勒索软件根据其传递方式和影响内容进行定义和分类。传递包括勒索软件即服务(RaaS)、自动传递(非服务)和人工操作传递。影响可能是数据不可用、数据破坏、数据删除或数据外泄和勒索——或在某些情况下全部以上。

以下术语进一步描述了不同类型的勒索软件:

  • 锁定勒索软件:完全锁定受害者访问其数据或系统。
  • 加密勒索软件:加密受害者全部或部分文件。
  • 恐吓软件:欺骗受害者相信其设备感染了勒索软件,而实际上可能没有。攻击者然后欺骗受害者购买声称移除勒索软件的软件,而实际上窃取数据或下载额外的恶意软件。
  • 勒索软件:也称为泄露软件、文档软件和外泄软件,涉及攻击者窃取受害者的数据并威胁公开或在暗网上出售。
  • 擦除器恶意软件:也称为擦除器软件,行为像勒索软件,但实际上是一种特别破坏性的恶意软件形式,即使受害者支付赎金,也会从受害者系统中擦除数据。
  • 双重勒索勒索软件:加密受害者的数据并外泄数据以勒索受害者支付赎金,可能两次。
  • 三重勒索勒索软件:加密受害者的数据、外泄数据以勒索受害者,并添加第三个威胁。通常,这第三个向量是DDoS攻击。另一个常见策略是勒索受害者的客户、合作伙伴或供应商支付赎金,或敦促最初受感染的组织为他们支付。这可能导致攻击者在一次攻击中获得三次或更多赎金支付。
  • RaaS:一种传递模型而非勒索软件类型,但通常包含在勒索软件类型列表中。它是一种基于订阅的模型,其中勒索软件开发者向勒索软件操作者出售按使用付费的恶意软件,操作者将攻击利润的一部分给开发者。

双重勒索勒索软件在传统勒索软件攻击中添加数据外泄,窃取数据以勒索受害者更多钱。

勒索软件对企业有哪些影响?

取决于攻击的复杂性、攻击者的动机和受害者的防御,勒索软件的后果可能从轻微不便,到昂贵且痛苦的恢复,到完全毁灭。

当人们听到“我们被勒索软件击中”时,他们通常会想到赎金要求的金额。Sophos报告发现,2024年平均勒索支付金额略低于400万美元,高于前一年的150万美元。

然而,勒索软件攻击的总成本远超过赎金价格标签。IBM的“2024年数据泄露成本报告”发现,与勒索软件攻击相关的平均金额为537万美元——甚至不包括赎金支付的成本。

差异可归因于多个因素,包括以下:

  • 数据暴露或丢失。
  • 系统停机时间。
  • 生产力损失。
  • 收入损失。
  • 法律和监管合规罚款。

勒索软件还可能具有以下影响:

  • 业务声誉损害。
  • 员工士气降低。
  • 客户信任和忠诚度损失。
  • 组织可能成为未来相关攻击的目标。

组织应该支付赎金吗?

执法和网络安全专家强烈劝阻组织支付赎金,原因如下:

  • 它鼓励攻击者。
  • 支付可能增加赎金请求——例如,在双重勒索计划中。
  • 它可能产生道德和法律问题——例如,支付赎金在某些州和国家被禁止。
  • 最重要的是,屈服于攻击要求可能不会导致被盗数据的归还。

然而,一些企业仍然选择支付赎金。他们可能认为支付导致更快的恢复时间、减少的收入损失和声誉损害、更低的恢复成本以及更好的客户和员工数据保护。

勒索软件报告和法律问题

无论是否支付,安全专家和政府机构,包括CISA和FBI,建议任何受勒索软件影响的组织通知当局。这不仅使执法部门能够跟踪攻击者和威胁 landscape,而且在某些情况下,使他们能够破坏勒索软件操作。许多机构还向受害者提供支持,例如,事件响应和数字取证。

请注意,一些组织法律上被要求报告勒索软件攻击。例如,美国的公共组织必须根据证券交易委员会规定在四个工作日内报告重大网络攻击。

研究表明,向执法部门报告泄露可能减轻勒索软件事件的成本。IBM报告称,当执法部门参与时,平均537万美元的勒索软件泄露成本降至438万美元。

除了决定是否报告攻击,决策者必须讨论是否向公众披露。私人公司没有国家勒索软件攻击通知法律,但如果攻击涉及个人可识别信息,组织必须通知受影响的个人。

勒索软件谈判服务

选择支付赎金的组织有时求助于勒索软件谈判服务。这些专业第三方经纪人充当攻击者和受害者之间的中介。因为他们精通勒索软件团体及其要求,他们比大多数受害企业更擅长处理谈判。

勒索软件谈判者帮助以下:

  • 验证攻击者确实是攻击者。
  • 降低赎金成本。
  • 暂停进行中的攻击,这也给受害者时间评估损害。
  • 确保解密密钥工作。
  • 告知受害者攻击细节以及如何改进防御。

然而,勒索软件谈判服务并不总是答案。就像支付赎金一样,谈判可能鼓励攻击者,并不总是导致恢复数据访问。

勒索软件和网络保险

网络保险自1990年代起可用,但随着勒索软件攻击数量的增加,在2020年左右对组织变得更受欢迎。网络保险可能覆盖损失,如业务中断、事件响应、数据恢复和声誉损害,以及监管罚款、隐私责任、合同违规和媒体责任。政策还可能提供预泄露服务,如安全意识培训、漏洞评估和桌面练习。

虽然保险可以帮助减轻勒索软件攻击的财务负担,但并不总是容易找到。保险公司和经纪人在过去五年中面临重大损失,导致保费上涨、对某些客户的覆盖拒绝,甚至承运人离开市场。

寻找网络保险的客户应仔细阅读政策。寻找覆盖遗漏、子限额、战争排除和预先存在条件的细节。还要了解保险公司的覆盖先决条件,通常包括以下:

  • 安全控制,如MFA、端点检测和响应(EDR)和修补。
  • 治理流程,如事件响应计划和安全意识培训。
  • 技术和文档,如系统和数据清单、日志和SIEM数据,以及业务连续性和灾难恢复计划。

常见勒索软件目标

虽然某些行业,如关键基础设施、教育和医疗保健,在成为勒索软件受害者时往往成为头条新闻,但重要的是要注意,没有组织——无论规模或行业——对勒索软件攻击免疫。

也就是说,Sophos报告列出了以下前13个勒索软件目标按部门:

  • 中央和联邦政府。
  • 医疗保健。
  • 能源和公用事业基础设施。
  • 高等教育。
  • 金融服务。
  • 制造和生产。
  • 低等教育。
  • 媒体、娱乐和休闲。
  • 建筑和财产。
  • 分销和运输。
  • IT、技术和电信。
  • 商业、专业和法律服务。
  • 零售。
  • 地方和州政府。

如何预防勒索软件攻击

勒索软件预防对所有类型和规模的组织都是一个挑战,没有万能药。要保护 against 勒索软件,请遵循以下预防和缓解最佳实践:

  • 部署深度防御。至少,使用反恶意软件和防病毒软件、允许列表/拒绝列表、防火墙、电子邮件和Web过滤、网络流量分析、SIEM和安全远程访问技术,如零信任网络访问和VPN。限制或阻止RDP和VNC使用。
  • 使用高级安全控制。考虑扩展检测和响应(XDR)、托管检测和响应、SASE、用户和实体行为分析、零信任安全和网络欺骗。
  • 实施强访问控制。使用MFA和最小权限原则。进行定期用户权限和访问审查。
  • 保护工作负载和端点。使用EDR、数据丢失预防和浏览器隔离工具等。部署具有监控恶意软件迹象功能的工具,如批量文件加密和基于内存的恶意软件。检测和监控USB使用,并执行威胁狩猎。
  • 保护电子邮件和协作工具。实施电子邮件认证控制,如基于域的消息认证、报告和一致性(DMARC)、域名密钥识别邮件(DKIM)和发件人策略框架(SPF),并使用电子邮件安全网关。
  • 保持补丁最新。通过遵循补丁管理最佳实践减少漏洞暴露。
  • 使用数据备份。遵循3-2-1备份规则,并考虑有次要和第三备份。确保保护备份免受勒索软件,并确保所有备份无法从主IT环境访问。
  • 审查事件响应程序。在标准事件响应计划中包含勒索软件,并创建勒索软件特定事件响应计划。为事件响应的每个阶段编写剧本,并使用勒索软件桌面练习测试所有计划和剧本。
  • 举行安全意识培训。使安全意识培训动态和吸引人,并确保它包括关于勒索软件的具体内容,如如何识别、预防、避免和响应勒索软件。

如何检测勒索软件攻击

即使遵循勒索软件预防最佳实践的组织也 inevitably 会成为攻击的受害者。事实上,许多专家说公司应该考虑不是如果而是何时的问题。

然而,关键的是,在早期阶段检测到勒索软件攻击的安全团队可能能够在恶意行为者找到、加密和外泄敏感数据之前隔离和移除他们。

反恶意软件工具形成重要的第一道防线,基于其数字签名标记已知勒索软件变体。一些产品,如XDR和SIEM平台,还扫描行为异常以捕获新颖和 otherwise 无法识别的勒索软件菌株。可能的妥协指标包括异常文件执行、网络流量和API调用——任何这些都可能指向 active 勒索软件攻击。

一些组织使用基于欺骗的检测来 flush out 对手,用假IT资产 baiting 他们,作为绊线 alert 安全团队他们的存在。虽然网络诱饵需要大量资源部署和维护,但它们具有 exceptionally 低的误报率,使它们在对抗勒索软件的战斗中成为有价值的武器。

如何响应勒索软件攻击

尽管有勒索软件预防和早期检测努力,专家说企业仍然应该预期最坏情况发生并相应计划。这意味着组织一个核心网络安全事件团队调查安全事件和一个扩展的计算机安全事件响应团队(CSIRT)响应确认的勒索软件事件。

理想情况下,核心CSIRT应主要由网络安全从业者和可能IT运营 staff 组成。扩展CSIRT还应包括法律专家、PR和通信代表,以及执行领导。

一旦勒索软件响应计划到位,定期通过 realistic 桌面和威胁建模练习 put it through its paces。 clearly 建立如何和何时升级事件以及哪些CSIRT成员应该 involved——在哪些阶段和以什么 capacity。

在确认的勒索软件攻击期间,以下应尽可能快速和高效地发生。

识别和调查

  • 通知所有核心CSIRT成员。
  • 如果可行,确定勒索软件类型,并收集尽可能多的关于攻击的信息。
  • 评估环境中勒索软件感染的范围。
  • 评估对组织的潜在影响,包括关键业务功能和财务影响。
  • 尽可能确定感染源。

遏制

  • 断开和隔离受影响的系统和设备。
  • 确保备份和备份服务器安全。
  • 考虑隔离共享数据库和文件共享。
  • 考虑采取额外步骤,如阻止已知C&C域。

根除

  • 移除已知恶意工件。
  • 确认备份干净且未受恶意软件影响。
  • 删除和替换受感染系统和服务。
  • 用干净备份数据擦除和恢复受影响端点。
  • 检查端点安全工具是否最新并在系统间激活。
  • 部署高优先级安全补丁,特别是在目标系统、操作系统和软件上。
  • 保持警惕再感染迹象。

通信

  • 根据事件响应计划 dictate,向 appropriate 利益相关者传达事件的具体情况。这些可能包括内部利益相关者,如员工和执行领导,以及外部利益相关者,如客户、第三方合作伙伴、保险提供商和执法部门。
  • 确保遵守相关网络安全披露法律。
  • 记录事件 as it unfolds。

恢复

  • 权衡是否支付赎金。必要时咨询法律顾问、保险公司、执法部门、顾问和谈判专家。
  • 确认所有系统、数据和应用程序干净、可访问、可操作和监控——没有 outstanding 漏洞可能让攻击者回到环境。

notable 勒索软件攻击示例

勒索软件已经困扰组织和个人几十年。以下只是一些最 notable 勒索软件攻击:

  • AIDS Trojan, 1989:一位哈佛教育的生物学家 named Joseph L. Popp 发送受感染的软盘给20,000名最近参加世界卫生组织艾滋病会议的人。IT专家 quickly 找到解密密钥,但Popp的恶意软件—— known as the AIDS Trojan——作为第一个已知勒索软件活动载入史册。
  • CryptoLocker, 2013:勒索软件直到2010年代才成为突出威胁,当恶意软件如CryptoLocker pioneered 使用高级加密算法 holding 受害者的数据 hostage。CryptoLocker操作者也是第一批要求以加密货币支付赎金的。
  • WannaCry, 2017:在所有时间最大的勒索软件攻击之一,WannaCry cryptoworm 妥协了跨越150个国家的数十万台计算机。受害者包括主要银行、执法机构、医疗保健组织和电信公司。恶意软件使用EternalBlue漏洞——最初由国家安全局开发并由Shadow Brokers黑客团体成员泄露——利用微软服务器消息块协议实现中的漏洞。尽管微软在攻击前发布了修复漏洞的软件更新,未修补系统继续成为WannaCry感染的猎物至今。
  • NotPetya, 2017:像WannaCry一样,NotPetya利用EternalBlue漏洞。然而,作为擦除器软件,它在加密后销毁受害者的文件——即使他们满足赎金要求。NotPetya造成估计100亿美元的全球损失。其中一个最高调的目标,丹麦航运和物流巨头A.P. Moller-Maersk,在事件中损失约3亿美元。CIA已将勒索软件攻击归因于俄罗斯军事间谍机构,根据网络安全供应商ESET,约80%的NotPetya目标在乌克兰。
  • REvil, 2021:在最大的勒索软件事件之一,REvil团伙的RaaS操作在2021年击中托管服务提供商Kaseya。在供应链攻击中,超过100万台设备被感染。
  • Alphv/BlackCat, 2024:在2024年初, following FBI efforts 破坏RaaS团伙操作,Alphv/BlackCat开始 aggressively 针对医疗保健组织。该团伙对医疗保健支付软件巨头Change Healthcare的攻击特别灾难性,导致药房、医院和医疗实践的大规模中断。

所谓

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次