股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
当勒索攻击来“敲门”
发布时间 :2022年10月14日
类型 :勒索软件
分(fēn)享:
“小(xiǎo)兔子乖乖,把门开开。”
然而现实中(zhōng),网络世界里的“大灰狼”根本不用(yòng)如此礼貌地“敲门”。就在你打开電(diàn)脑的那一刻,发现所有(yǒu)文(wén)件都被加密了;或者除了勒索软件外,所有(yǒu)程序都阻止電(diàn)脑启动;“客气”一点的,可(kě)能(néng)是公(gōng)司IT管理(lǐ)人员電(diàn)子信箱里的一封“索财”邮件,告诉你公(gōng)司数据库已经被复制,如果没在截止日期前缴纳足额赎金,这些数据就会在暗网上被拍卖。不论是屏幕上狗皮膏药一样糊着的跳动消息,还是電(diàn)邮里蹩脚的英文(wén),总之都是要你支付赎金,才能(néng)解锁電(diàn)脑或文(wén)件。
当勒索来“敲门”,其实就意味着,勒索病毒早已用(yòng) APT 的攻击手法潜伏在了企业的数字网络中(zhōng)。
APT,英文(wén)Advanced Persistent Threat的缩写,即“高级持续性威胁”,APT攻击既有(yǒu)隐秘性,又(yòu)有(yǒu)针对特定目标的特点。勒索团伙APT化带来的威胁正呈几何倍数增長(cháng)。据全球知名(míng)威胁情报机构RiskIQ数据统计,每1分(fēn)钟就有(yǒu)6家公(gōng)司或机构遭受勒索攻击,全年超315万家公(gōng)司或机构被勒索,每分(fēn)钟因网络安(ān)全导致的损失高达180万美元,折合成人民(mín)币,全年损失超过6万亿元。
近10年,全球每秒(miǎo)产(chǎn)生21个病毒,全球恶意软件快速增長(cháng)23倍。勒索病毒已经成為(wèi)网络安(ān)全第一焦点。数字世界里,安(ān)全大网能(néng)不能(néng)更细密?攻势越来越猛烈的现代勒索又(yòu)该如何应对?
病 毒 进 化
1977年,一些中(zhōng)國(guó)的年轻人正在恢复高考的消息中(zhōng)筹划着自己的未来,同一年,大洋彼岸的美國(guó)作(zuò)家Thomas J. 在其科(kē)幻小(xiǎo)说《P-1的青春》中(zhōng)构思了一种能(néng)够自我复制的计算机程序,并称之為(wèi)Computer Virus,“计算机病毒”这个名(míng)称就此诞生。
5年后的1983年,美國(guó)著名(míng)黑客、“计算机病毒之父” Fred Cohen (弗雷德(dé)·科(kē)恩) 还在南加州大學(xué)在读研究生,他(tā)在UNIX系统下编写了第一个会自动复制并在计算机间进行传染,从而引起系统死机的病毒。基于此,翌年,他(tā)在博士论文(wén)中(zhōng)给出了“電(diàn)脑病毒”的第一个學(xué)术定义,这也是今天公(gōng)认的标准。
其实,自1946年第一台電(diàn)子计算机ENIAC出现后的第三年,冯·诺依曼就提出了计算机程序能(néng)够在内存中(zhōng)自我复制的计算机病毒理(lǐ)论。
Apple II病毒、特洛伊木(mù)马病毒、IBM PC病毒、x86 COM病毒、感染硬盘的病毒、勒索病毒,众多(duō)“第一例”在上世纪80年代末相继出现,病毒的潘多(duō)拉魔盒被打开。
1989年,Joseph Popp创建第一个勒索软件AIDS木(mù)马,通过软盘散发的形式索要189美元;32年后的2021年,美國(guó)最大燃油管道运营企业Colonial Pipeline遭勒索软件DarkSide攻击,并且支付了价值440万美元的比特币作(zuò)為(wèi)赎金,而公(gōng)司陷入数据泄露和多(duō)重勒索,不得不為(wèi)此关闭6天。
勒索目标已经从广撒网的蠕虫式复制传播,变成了针对目标量身打造勒索,而衡量的指标十分(fēn)明确——是否有(yǒu)能(néng)力付钱,通常大型政企就成了他(tā)们瞄准的目标。支付赎金就恢复数据的勒索也“不讲武德(dé)”起来,双重勒索甚至三重勒索开始出现。
随着技(jì )术的进步,勒索技(jì )术也在“相机而动”。据亚信安(ān)全的观察,从去年下半年开始,大多(duō)数勒索病毒已经开始采用(yòng)跨平台语言编写了,勒索组织将注意力从Windows 操作(zuò)系统转向Linux和ESXi虚拟机平台。Linux派系众多(duō),大型数据中(zhōng)心正是基于Linux系统或者Linux系统分(fēn)支的,可(kě)想而知,数据中(zhōng)心一旦遭遇勒索,破坏力将会更大。
亡 羊 补 牢
今年,美國(guó)政府宣布要悬赏1000万美元追缉勒索软件组织Conti的5名(míng)主要成员。美國(guó)國(guó)務(wù)院表示,Conti 已经针对美國(guó)和國(guó)际关键基础设施实施了 1000 多(duō)次勒索软件操作(zuò),包括执法机构、紧急医(yī)疗服務(wù)和 911 调度中(zhōng)心。2021年,美國(guó)仅有(yǒu)记录的就有(yǒu)1000家企业向Conti 支付了超过1.7亿美元赎金(等价虚拟货币)。据威胁情报公(gōng)司Cyberint 估算,Conti 在短短两年内共赚取了约价值27 亿美元的加密货币,而这一黑客组织在全球大约有(yǒu) 350 名(míng)成员,除了负责集团运营和与附属公(gōng)司合作(zuò)的大boss,主要成员还包括技(jì )术负责人、人事负责人和谈判专家,员工(gōng)则是涵盖了码农、测试人员、免杀开发、Ops运维人员、逆向工(gōng)程师和攻击团队,甚至还有(yǒu)客服、商(shāng)務(wù)BD、市场新(xīn)媒體(tǐ)和催收等多(duō)个工(gōng)种。
对此,亚信安(ān)全的安(ān)全专家表示,现在勒索病毒的作(zuò)战方式早已从单个黑客或者两三个人為(wèi)主的勒索小(xiǎo)团伙,变成了勒索即服務(wù)RaaS(Ransomware-as-a-Service)模式运营,并且有(yǒu)明确分(fēn)工(gōng)的大型勒索团伙。
Conti能(néng)有(yǒu)印钞机般的赚钱速度,一个重要原因就是它采取的是双重勒索攻击。區(qū)别于传统的先加密数据、再勒索赎金的攻击方式,双重勒索会在加密目标数据之前,先将部分(fēn)机密数据进行下载。也就是说,双重勒索的攻击方利用(yòng)预先下载的数据,以“不支付赎金,就公(gōng)开数据”作(zuò)為(wèi)被勒索一方的威胁。
由于大多(duō)数企业会对数据进行备份,数据一旦被勒索软件加密只需要杀毒,并恢复备份即可(kě),一般只损失部分(fēn)当天数据。很(hěn)多(duō)企业面临勒索病毒攻击时候会优先考虑损失部分(fēn)数据而恢复备份的方式,但对于双重攻击勒索病毒来讲,只恢复备份是不够的。数据恢复后过不了多(duō)久,攻击方还会发起二次勒索,甚至三次勒索,通常每次勒索的价码也会越来越高。
整个勒索防护当过程当中(zhōng),恢复数据固然重要,但并不会从源头上解决被勒索的问题,更重要是如何在事前能(néng)够保护这些数据不被外泄。
亚信安(ān)全上个月刚刚处理(lǐ)过一个勒索事件,通过溯源发现,勒索病毒是在勒索发生前的12小(xiǎo)时才被制造出来,而早在这之前的6个月,这家企业的账号就已经失窃了。其实在6个月的过程中(zhōng),是可(kě)以清晰地看到整个勒索事件演变中(zhōng)的一些線(xiàn)索和蛛丝马迹的。对此,亚信安(ān)全专家建议,勒索一旦发生,应该第一时间启动溯源,尽快找到那个被攻入的漏洞点。
亡羊补牢,犹未為(wèi)晚。
未 雨 绸 缪
防火墙、IPS、防病毒软件,防止病毒勒索搞好这安(ān)全防护“老三样”还遠(yuǎn)遠(yuǎn)不够。随着IT技(jì )术的变迁,黑客也关注到了架构的变化,并且深入到了操作(zuò)系统层面。对于网络安(ān)全行业来说,技(jì )术能(néng)力也需要匹配从操作(zuò)系统,到数据库、中(zhōng)间件、应用(yòng)等数据全流程的安(ān)全防护需求。
面对现代勒索威胁持续猛烈的攻势,基于APT攻击的特征,近日,亚信安(ān)全正式推出“方舟”防护體(tǐ)系,提供了从勒索攻击发现到响应,再到恢复的全链条综合治理(lǐ)體(tǐ)系,帮助用(yòng)户提早发现隐患、及时封堵攻击、避免二次勒索,降低客户受勒索攻击的风险和影响。
从2018年提出XDR理(lǐ)念,把从检测到响应,以及精(jīng)密编排的安(ān)全联动解决方案带到业内,亚信安(ān)全就专注于将安(ān)全防护的全景概念和能(néng)力原子化。之后两年,亚信安(ān)全陆续发布XDR1.0和XDR2.0,随着检测和响应的能(néng)力不断被原子化,这些原子能(néng)力落实到亚信安(ān)全的端边云网产(chǎn)品里,最终汇聚到XDR平台侧进行统一的精(jīng)密联动和精(jīng)密编排,从而实现自动化、智能(néng)化和云化。“方舟”就是亚信安(ān)全面向勒索威胁落地的一个场景,而这背后正是基于XDR平台的编排和联动能(néng)力。
亚信安(ān)全“方舟”的三大核心分(fēn)别是勒索體(tǐ)验中(zhōng)心、全流程处置机制和现代勒索治理(lǐ)解决方案。如果说,后面两项是当勒索来了之后的“亡羊补牢”,那么勒索體(tǐ)验中(zhōng)心则更有(yǒu)“未雨绸缪”的意味。
在勒索體(tǐ)检中(zhōng)心,亚信安(ān)全运营团队通过部署端点及网络探针,利用(yòng)最新(xīn)的勒索威胁情报进行数据碰撞,对勒索攻击进行全面排查分(fēn)析,确认企业环境中(zhōng)是否存在勒索行為(wèi),将勒索攻击爆发风险降至最低。目前,亚信安(ān)全方舟勒索體(tǐ)检中(zhōng)心已经全面上線(xiàn)。
“方舟”勒索體(tǐ)验中(zhōng)心就像是人类的體(tǐ)检中(zhōng)心,早发现、早预警、早研判、早处置,把“病灶”消灭在萌芽期,通过高效的网络安(ān)全健康检查,可(kě)以快速评估出风险点,找出隐藏威胁,让现代勒索治理(lǐ)进阶。
数字时代,真正的安(ān)全防御不仅需要足够的技(jì )术储备去保护所有(yǒu)的IT基础设施,还需要对黑客、黑灰产(chǎn),以及各种攻击有(yǒu)足够的洞察,这两类核心能(néng)力的叠加才能(néng)让数字世界里的安(ān)全防护大网更细密,让勒索病毒无孔可(kě)入。
分(fēn)享到微信
X