勒索软件成功地创造了大规模的破坏。随之而来的是无数的受害者,一团糟的受损IT环境,以及数十亿美元的损失。让坏消息雪上加霜的是,这一全球现象并未显示出放缓的迹象。那么,是什么让勒索软件如此难以阻止呢?
答案很简单--进化。
就在安全专家似乎掌握了解决方案的时候,一个新的威胁出现了,以利用整个IT环境中的新漏洞。这种激增在很大程度上是由勒索软件即服务(RAAS)实现的,它借鉴了云的基于订阅的模式,使有抱负的黑客能够利用现有工具执行强大的攻击。
勒索软件有多种形式,没有两种变体是相同的。这篇文章将通过探索一些最新的野生威胁,让你了解我们面临的是什么。
Couti
Conti于2020年5月首次被发现,它通常通过链接到受感染的Google Drive文件的钓鱼电子邮件来攻击系统。点击链接后,收件人被告知无法在浏览器中预览该文件,建议改为下载该文件。按照已建立的恶意软件做法,此操作会将恶意可执行文件邀请到用户的系统上。一旦被执行,Conti就会安装一个后门,该后门联系控制与命令(C2)服务器,然后后者会安装其他恶意软件工具。
Conti可能是Ryuk变体的一个分支,通过与各种其他工具(包括合法和恶意工具)协同工作,从勒索软件包中脱颖而出。例如,Windows重新启动管理器可用于关闭原本会阻止文件加密的程序,从而使恶意软件能够在该过程中扩大其影响范围。众所周知,Conti还使用臭名昭著的TrickBot特洛伊木马在最初感染后造成进一步破坏。
Hive(蜂巢)
勒索软件命名约定通常受到部署它们的组织的启发。蜂巢就是一个典型的例子,它是一种相对较新的变种,对医疗保健行业造成了严重破坏。据报道,所谓的“蜂巢帮”是2021年8月针对纪念健康系统的勒索软件攻击的幕后黑手,在那次攻击中,它泄露了大量敏感的患者数据,包括他们的姓名、社保号码、家庭地址和病史。虽然最初2.4亿美元的赎金似乎不太可能,但纪念碑首席执行官证实,确实支付了一笔钱来解锁数据。
HIVE是勒索软件的另一个例子,它使用经过试验和验证的网络钓鱼策略来攻击目标系统。为了规避现有的防御机制,该恶意软件会禁用反病毒软件以及文件复制、备份和恢复功能。赎金笔记被投放在每个受感染的目录中,参考受害者如何购买解密密钥并取回他们的信息。如果没有支付赎金,蜂巢会在HiveLeaks上发布被盗数据,HiveLeaks是一个基于TOR的网站,黑客社区很容易访问。
LockBit 2.0
部分由于被纳入RAAS市场,LockBit成为网络犯罪分子的首选武器。这款勒索软件通过更新的网络安全变体LockBit 2.0增强了它在社区中的光泽。与新改进的变体相关的一个显著特征是,该组织采用了开箱即用的方法来入侵访问权限。众所周知,该团伙的成员贿赂能够从组织内部渗透到目标中的个人。他们还通过利用VPN和其他可公开访问的网络服务器中的漏洞获得了成功。
对于勒索软件参与者来说,泄露数据与加密数据一样重要。如果受害者拒绝支付,LockBit 2.0可以调用一些补充技术来实施自己扭曲的复仇品牌。LockBit的内部特洛伊木马StealBit和合法的C2服务器Cobalt Strike都在已链接到勒索软件的工具中。
阎罗王
一些黑客采取了一种更具哲理的方法来标记他们的勒索软件攻击。以阎罗王为例,受中国宗教传说中对死者进行审判的神严洛·王的启发,这种特殊的变体于2021年10月被发现,自那以来一直与美国几家大公司遭受的袭击有关。尽管它似乎有利于金融部门,但该勒索软件也与针对咨询、工程和IT服务行业的攻击有关。
经过进一步的分析,网络安全研究人员确定,阎罗王的文件是经过数字签名的,这是威胁行为者最近采取的一种趋势,他们绕过了反病毒扫描仪和内置的防御机制。一旦执行,它将终止各种系统进程,使勒索软件能够解锁对虚拟机、数据库和备份文件的访问。最后,在提供赎金纸条之前,它会在加密文件上附加一个“阎罗王”扩展名,警告受害者在做出付款安排之前不要联系当局。
DarkSide
大多数黑客更喜欢在幕后行动,限制了他们对网络犯罪社区的可见性。其他人无法抗拒成为聚光灯下的机会。Darkside在2020年夏天声名狼藉,甚至在一份专业撰写的新闻稿中公布了勒索软件的到来。这次袭击的幕后黑手声称,他们的目标不是医院、学校或非营利组织。相反,它更倾向于追查有能力支付高额赎金要求的大型高收入组织。
DarkSide以其对隐形的有效利用而闻名。勒索软件是为个别目标量身定做的,配有定制代码和连接主机,使得攻击难以追踪。此外,它会在文件加密之前保持耐心,花时间首先确定环境的范围。这一过程需要劫持特权帐户、获取凭据和其他有价值的数据,以及删除备份。袭击的复杂性和高调的目标促使美国政府悬赏1000万美元寻找逮捕黑暗势力领导人的细节。
永久勒索软件防御措施
随着勒索软件攻击的名单持续增长,这些破坏性威胁的能力肯定会与它们一起发展。虽然每个变种都面临着独特的挑战,但您可以遵循一些基本的指导原则来降低风险和潜在影响。
采取终端安全战略:网络犯罪分子将试图利用每一个可能的入口点。通过将强大的安全技术从USB端口和系统登录应用到应用程序和移动设备,保护您的网络。
使系统保持最新:运行过时的软件类似于敞开设施的大门。确保您的核心系统和应用程序稳定地接收更新以解决已知漏洞,并将安全工具配置为检测最新威胁。
制定应急计划:当整理数十个勒索软件恐怖故事时,一个共同的主题脱颖而出--受害者做好了最坏的准备,能够更好地从攻击中恢复过来。备份您的系统数据,在多个位置保存多份副本,并定期测试这些备份,以确保它们可以在危机情况下恢复。
保持警惕:无论是好是坏,勒索软件都嵌入了数字社会的结构中。花点时间确保您的员工接受了有关如何识别、避免和缓解潜在致命攻击的培训。有大量可用的资源可以帮助您提高对既有和新出现的威胁的认识。
虹科DataLocker的加密USB驱动器可以增强您抵御任何勒索软件攻击的能力。
扩展阅读
Datalocker 数据加密解决方案
DataLocker 是高级加密解决方案的领先供应商。凭借一整套硬件加密产品、加密虚拟驱动器和中央管理平台,DataLocker 为政府、军队和 70% 的财富 100 强公司保护敏感数据和知识产权。
DataLocker 产品将卓越的便利性和可用性与最先进的安全性相结合。从加密的外部驱动器和光学媒体到托管 DLP 解决方案,DataLocker 产品使控制、传输和共享敏感数据变得容易。
加密硬盘驱动器
H300是一款经济实惠的加密硬盘,也可以远程管理。
DataLocker(IronKey)H300硬盘可保护数据、文件和目录,因此您可以放心地保护敏感数据。提供用于独立实施的基本版或允许远程管理的企业版。
特点:简单安全 ,强大的密码保护,多语言支持 ,USB 3.0 性能,多种容量选项,坚固耐用……
加密USB驱动器
K350是一款受密码保护、经过FIPS 140-2 3级认证的加密USB驱动器,其屏幕可简化设置和操作。满足最严格的要求,在任何有USB大容量存储的地方轻松工作。
K350是DataLocker完整的安全管理解决方案组合中轻薄而强大的补充,此外,它还拥有3年有限保修支持。
特点:FIPS 140-2 3 级认证,管理策略和数据恢复,无需安装,完全可管理的设备,暴力破解密码保护,防尘,防水,防震,抗震。
作者: 艾体宝IT, 来源:面包板社区
链接: https://mbb.eet-china.com/blog/uid-me-3989660.html
版权声明:本文为博主原创,未经本人允许,禁止转载!
文章评论(0条评论)
登录后参与讨论