勒索软件在过去几年已成为头条新闻,但早在此之前就已经存在。20 年前,针对消费者的恶意软件冻结了受害者的机器并要求付款。犯罪分子的问题是把钱从受害者的账户转到他们的账户。
然后,出现了加密货币。勒索软件犯罪分子传统上不得不试图说服受害者购买礼品卡或通过数据等汇款服务进行付款。从 2009 年的比特币开始,加密货币提供了一种快速、无摩擦的支付方式,在接下来的十年中呈爆炸式增长,几乎每周都会出现更多的数字货币。有些人,比如门罗币,专门设计为尽可能匿名。
这为犯罪分子提供了一个完善的支付渠道,为更专业的攻击铺平了道路。第一个勒索软件通常编码不佳,使受害者能够共享加密密钥并恢复自己的数据。后来的应变加强了加密并使用了更复杂的技术。
勒索软件开始删除影子卷文件,这些文件是 Windows 机器在本地创建的文件的备份,也是 Windows 在本地恢复文件的关键工具。已经发现 Ryuk 使用简单的脚本自动抓取并删除它找到的任何影子卷或其他备份文件。Locky、Wannacry 和 Cryptolocker 都以影子卷为目标。大多数勒索软件卷还会爬取网络以寻找共享卷,这意味着备份到网络驱动器不会保护您。
介绍人类黑客
在过去的几年里,勒索软件再次演变。它变得更像是一项业务。其背后的犯罪社区分为不同的团体,这些团体在称为勒索软件即服务的附属模型上运作。勒索软件作者将他们的恶意软件许可给其他发现受害者进行感染的人。然后他们向作者支付费用。
勒索软件组织开始在暗网上寻找大量易受攻击的攻击媒介。其中不仅包括被盗的登录凭据,还包括易受攻击的远程桌面协议 (RDP) 端口,他们可以使用这些端口用勒索软件感染端点。然后他们自动攻击,使用机器人攻击易受攻击的点,看看他们可以控制哪些网络。
一旦感染了易受攻击的网络,今天的许多勒索软件攻击者所做的远远不止让软件运行。相反,他们会花时间自己通过受害者的网络手动挑选方式,寻找更多要感染的机器。这种横向移动使他们能够找到受害者最有价值的资源。他们经常使用目标网络上已经存在的日常管理工具,如 PowerShell 和 Windows 管理工具,以避免引起怀疑。这个过程被称为“以土地为生”。
这种更加手动的技术使勒索软件窃贼可以做的不仅仅是加密数据。今天,他们也在偷它。这样,如果一家公司能够从备份中恢复其数据,他们仍然可以通过威胁发布信息来勒索钱财。
结果?
勒索软件已从定时炸弹演变为智能导弹,可在您的组织中寻找最有价值的信息。但它并不止于一个数据缓存。它可以找到所有可以找到的目标,从而最大化其爆炸半径。这些攻击者不会停留在原始数据上。他们也会尽最大努力访问受害者的备份。这通常相对容易,因为一些备份文件的标题包含有关其内容的详细信息。
这些备份通常是在一次简单的突袭中收集大量敏感数据的简单方法。云备份甚至更好,因为获得这些帐户访问权限的勒索软件窃贼通常可以窃取备份,而不会在受害者的内部网络上触发任何警报。然后,他们可以在闲暇时获取敏感数据。
找到这些备份的犯罪分子可以在引爆他们的勒索软件之前将其删除。这会阻止受害者从他们那里恢复数据。另一种方法是根本不删除备份,而是让勒索软件在网络上休眠数周。然后,勒索软件文件将与其他所有文件一起备份。在它最终引爆后,受害者可能会恢复文件,却发现自己立即再次被感染。
问题越来越严重
公司如何保护自己免受这些勒索软件攻击?适用基本的网络安全卫生措施。培训最终用户注意网络钓鱼攻击、扫描传入的电子邮件和传出的网络会话都是很好的防线。对在线帐户使用多因素身份验证将有助于阻止勒索软件窃贼入侵帐户,而关闭未使用的 RDP 端口将关闭攻击面,定期修补软件也是如此。不过,除此之外,公司还需要为勒索软件构建的安全解决方案——尤其是随着勒索软件即服务的兴起。
勒索软件即服务正是您认为的那样,并且随着越来越多的威胁参与者转向它,它正在成为一个重大威胁,这意味着您的恢复和网络弹性解决方案将变得更加重要。世界已经不像以前那样了,这是肯定的。您不再只需要害怕那些有能力执行勒索软件攻击的人,您现在必须确保从各个角度得到保护,因为 RaaS 使那些知识和技能不高的人能够在闲暇时发动攻击. 这些工具包很容易在暗网上访问,这最终意味着更多的攻击,攻击者通常会使用“喷雾”策略,希望有什么东西能落地。这对你意味着什么?这意味着您的防御和备份从未如此重要。