股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
勒索软件已过而立之年!RaaS横行,从理(lǐ)想主义到利益至上
发布时间 :2021年05月24日
类型 :勒索软件
分(fēn)享:
进入到2021年,勒索软件攻击的情况越来越严重,最近的受攻击对象包括了國(guó)家和地方政府、医(yī)院、警察部门和关键基础设施等。4月以来,美國(guó)大型燃油运输管道运营商(shāng)Colonial Pipeline遭网络黑客攻击;华盛顿特區(qū)大都会警察局内部系统遭黑客入侵,部分(fēn)数据文(wén)件被窃;东芝公(gōng)司法國(guó)分(fēn)公(gōng)司740G机密信息和个人资料被职业勒索组织窃取……
”
而在多(duō)起事件背后,都能(néng)看到“勒索软件即服務(wù)”(RaaS:Ransomware as a Service)的身影。尤其是“地下网络”,有(yǒu)些勒索软件组织甚至开始打出“广告”,招揽勒索生意。那么,针对恶意软件作(zuò)者招募“分(fēn)发者”扩散感染再抽成的一种商(shāng)业模式,企业网络网络防御體(tǐ)系能(néng)否守得住吗?
勒索软件的成長(cháng)史:从理(lǐ)想主义到利益至上
无论从哪个角度来看,第一个勒索软件的诞生都充满了一定的理(lǐ)想主义,其并没有(yǒu)被大规模分(fēn)发,而是仅针对艾滋病大会进行定向传播,目的更像是宣传自己的政治与學(xué)术态度,或只是简单的恶作(zuò)剧。而且,由于其只使用(yòng)了简单的对称密码,因此很(hěn)快就被解密工(gōng)具(jù)轻松恢复。
在此后的十七年间,由于没有(yǒu)更好的加密方法,勒索软件基本上“销声匿迹”——直到2006年“Archievus”的出现。Archiveus是第一个使用(yòng)非对称加密的勒索软件,它主要采用(yòng)RSA加密方法,会对“我的文(wén)档”目录里面的所有(yǒu)内容进行加密。更值得关注的是,这个勒索软件开始把魔爪伸向受害者的钱包了,他(tā)会要求用(yòng)户从特定网站来購(gòu)买以获取解密文(wén)件的密码,而这个方式至今是勒索软件的主流获利方式。
勒索软件发展的另一个标志(zhì)性事件则是以数字货币為(wèi)代表的匿名(míng)支付方式的出现,银行转账等传统的支付方式让网络勒索者很(hěn)容易暴露在执法机关的打击力量之下,而通过匿名(míng)支付方式,网络勒索者将可(kě)以更好地隐藏自己、“安(ān)全”的获得高额收益。在利益的驱动下,勒索软件开始在地下网络市场中(zhōng)逐渐的流行起来,开始成為(wèi)用(yòng)户必须要正视的威胁。
2013年9月,网络不法分(fēn)子找到了适用(yòng)于勒索软件的新(xīn)型加密方法,即采用(yòng)AES-256lai加密特定扩展名(míng)的文(wén)件,并利用(yòng)2048位RSA密钥来加密AES-256位密钥,这让被加密文(wén)件的恢复变得极度困难,束手无策的受害者往往只能(néng)选择向不法分(fēn)子支付赎金。而大名(míng)鼎鼎的“WannaCry”勒索蠕虫采用(yòng)的也正是这种加密方式,该勒索蠕虫在2017年肆虐,至少150个國(guó)家、30万名(míng)用(yòng)户中(zhōng)招,造成损失达80亿美元,影响极為(wèi)深遠(yuǎn)。
如今,勒索软件已经成長(cháng)為(wèi)主流的安(ān)全威胁之一。亚信安(ān)全安(ān)全分(fēn)析报告显示,勒索软件病毒已经在全球范围内呈现爆发态势,美國(guó)、日本、中(zhōng)國(guó)、欧洲都成為(wèi)勒索软件肆虐的“重灾區(qū)”。网络不法分(fēn)子还针对每个地區(qū)的语言及经济文(wén)化特点,对勒索软件进行了本地化,以提升索要赎金的成功率。
勒索软件持续演进:“勒索软件即服務(wù)”开始流行
由于具(jù)备一旦加密就极难被破解,以及可(kě)以获得直接巨额收益的特点,勒索软件的威胁在可(kě)预见的未来还将持续扩展。為(wèi)了躲避网络安(ān)全防护系统的查杀,勒索软件新(xīn)变种正在不断产(chǎn)生,这使得传统基于特征码的防护方式效用(yòng)大减,不法分(fēn)子可(kě)以通过鱼叉式钓鱼邮件、漏洞利用(yòng)传播、软件捆绑安(ān)装(zhuāng)等方式进行广泛传播。
围绕着勒索软件新(xīn)变种的开发、传播,以及感染渠道与工(gōng)具(jù)的交易,已经形成了一个组织严密、规模庞大的勒索软件地下灰色交易市场。亚信安(ān)全威胁情报团队发现,在“勒索软件即服務(wù)”的模式下,黑客负责勒索软件最新(xīn)变种的开发,并可(kě)以将其转让给任何用(yòng)户,前提是他(tā)们必须支付一定比例的收益赎金。除了核心的勒索软件产(chǎn)品外,地下黑色市场还提供与勒索行為(wèi)相关的额外功能(néng)与服務(wù),包括对于多(duō)平台的支持、针对特定产(chǎn)品的漏洞进行定制化等。
对此,亚信安(ān)全提醒用(yòng)户,勒索软件的商(shāng)品化使得组织与个人面临的勒索软件风险大幅增加,而随着地下黑产(chǎn)市场的进一步演进,勒索软件的产(chǎn)业链将进更加细化、专业化,即使是毫无攻击经验的新(xīn)手,也能(néng)够通过購(gòu)买这些产(chǎn)品和服務(wù),快速地发动攻击。此外,商(shāng)品化也使得勒索软件攻击的方式更加灵活,对于安(ān)全防护提出了更高的要求。
防范勒索软件:以精(jīng)密编排能(néng)力建立联动防护机制
在如今的勒索软件攻击中(zhōng),网络不法分(fēn)子更擅長(cháng)利用(yòng)社交工(gōng)程(social engineering )诱饵,以及简历、订单和护照等作(zuò)為(wèi)邮件主题,发动垃圾邮件或定向式攻击,一旦受害者收到这些邮件并点击链接或是下载附件,就有(yǒu)可(kě)能(néng)导致感染勒索软件。因此,要更好地防范勒索软件的攻击,需要从建立精(jīng)密编排的联动安(ān)全體(tǐ)制,以及“人”两方面同时着手。
首先,企业需要从安(ān)全编排(Security Orchestration)、自动化(Automation)和响应(Response)的角度建立应对勒索软件的安(ān)全防線(xiàn)。这与亚信安(ān)全最新(xīn)发布的XDR方案“不谋而合”,即利用(yòng)精(jīng)密编排的联动安(ān)全解决方案,将安(ān)全产(chǎn)品以及安(ān)全流程连接整合起来,这其中(zhōng)涵盖了“准备、发现、分(fēn)析、遏制、消除、恢复、优化”7个阶段,并针对勒索软件的威胁制定攻击标准预案,以建立多(duō)层次、立體(tǐ)化的防御體(tǐ)系。
在具(jù)體(tǐ)实施中(zhōng),通过终端、网络端发现勒索软件攻击的迹象后,亚信安(ān)全可(kě)以将数据集中(zhōng)到本地威胁情报和云端威胁情报进行分(fēn)析,利用(yòng)机器學(xué)习和专家团队,将勒索软件的特征提取出来,继而联动所有(yǒu)终端协同处理(lǐ),以遏制、清除勒索软件的各种变种,并对其造成的破坏进行恢复和优化。
在产(chǎn)品层面,企业用(yòng)户可(kě)通过部署亚信安(ān)全终端安(ān)全防护平台、亚信高级威胁网络防护系统AIS Edge,以及服務(wù)器深度安(ān)全防护系统Deep Security等产(chǎn)品,在云、管、端建立封堵勒索软件的第一道防線(xiàn)。其中(zhōng)亚信安(ān)全终端安(ān)全防护平台具(jù)有(yǒu)勒索病毒防御功能(néng)(AEGIS),可(kě)以有(yǒu)效阻拦勒索病毒对用(yòng)户文(wén)件加密;AIS Edge则兼具(jù)侦测、分(fēn)析和拦截的功能(néng),针对加密勒索软件攻击路径,建立有(yǒu)效的“抑制点”,再加持深度威胁邮件网关DDEI,更有(yǒu)效地阻止了勒索邮件的攻击。其次,用(yòng)户可(kě)以通过沙箱类产(chǎn)品,以及调查取证设备等产(chǎn)品对勒索软件的攻击进行分(fēn)析、验伤及取证,实现事件溯源,為(wèi)后续的恢复和优化打下基础。
除此以外,亚信安(ān)全还建议用(yòng)户采用(yòng)大终端安(ān)全一體(tǐ)化解决方案,并部署数据备份系统(TDB)与数据加密系统(TDE),通过主动预防与完整的响应机制,全面提升勒索软件防御与数据安(ān)全威胁治理(lǐ)的能(néng)力。
分(fēn)享到微信
X