Check Point Research在《2023 年年中安全报告》中指出,今年上半年,随着新的勒索软件团伙不断涌现,勒索软件攻击态势持续升级。
区块链分析公司Chainaanalysis的报告显示,勒索软件是2023年迄今为止唯一呈上升趋势的基于加密货币的犯罪形式,勒索赎金有望创下新的纪录。
截至6月份,勒索软件攻击者已勒索至少4.491亿美元,累计收入已达到2022年总收入的90%。
勒索攻击已经成为了互联网世界的顽疾,近年来几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业均受勒索攻击影响。
在面对新型勒索软件攻击时,大多数企业组织会处于极度弱势,根本难以招架。
01
勒索攻击呈五大趋势
日前,安全服务商Heimdal Security的安全研究人员分析了近一年来的勒索攻击典型案例后发现,各大勒索攻击团伙一直在不断改进攻击手法和模式,使得新一代勒索软件攻击变得更加复杂和更有针对性。
关基设施勒索攻击仍在继续
“勒索软件团伙破坏了至少860个关键基础设施组织的网络。”这一数据出自美FBI在今年一季度发布的2022年的互联网犯罪报告。媒体报道指出,该数据仅限于“投诉数据”,实际数量可能更高。
安全机构统计了2022年发生的600起勒索软件攻击事件称,针对关键基础设施的攻击翻了一倍。
针对关键基础设施的攻击要更具威胁性,这些企业可能的妥协(倾向于赎金支付)一方面来自于数据的重要性,更重要的是对企业核心生产连续性的威胁。
勒索软件组织优先考虑数据泄露
通常企业在遭受勒索软件攻击之后,支付赎金并不是他们的第一选择。现在,勒索组织将视野转向数据,并威胁企业如不支付赎金就会泄露数据,从而主动挑起企业安全违规事件。
勒索软件组织越来越多地针对数据泄露,而不再是过去的系统不可用性。
这方面有多家安全组织的报告都支撑了这一点,如在2022年勒索软件赎金支付下降了约40%,这一点也出自于企业已经投资于更强的安全性和更好的备份。
数据备份、针对业务系统做好容灾建设,是安全企业在对应勒索攻击的后期兜底建议,有一部分企业认识到了这一点,他们就可以有勇气在受到勒索之后不支付赎金,利用安全系统来恢复业务或数据。但如果勒索组织威胁泄露数据,留给企业在安全与合规之间的问题就有些麻烦了。
勒索软件受害者可能很快面临后续攻击
根据Akamai公司的研究报告,一旦受到勒索软件的攻击,企业很快就会面临第二次攻击的更高风险。报告称,事实上,被多个勒索软件组织攻击的受害者在前三个月内遭受后续攻击的可能性几乎是遭遇第一次攻击之后的六倍。
该报告警告说,遭受勒索软攻击并支付赎金也不能保证企业的安全,与其相反,它增加了被同一个或多个勒索软件组织再次攻击的可能性。
如果受害企业没有关闭其外围的漏洞/修复攻击者第一次破坏其网络时滥用的漏洞,那么很可能会再次被利用。
此外,如果受害者选择支付赎金,他们可能会被同一组织和其他人视为潜在的目标。
勒索软件智能化
随着人工智能和机器学习技术不断完善,攻击者也开始利用这些创新技术使勒索软件攻击更具针对性和复杂性。
研究人员发现,勒索软件组织开始使用人工智能技术来识别漏洞、撰写逼真的网络钓鱼邮件,并根据防御措施实时调整攻击策略,这对勒索软件防护工作构成了重大挑战。
由于勒索软件的智能化程度正在迅速增长,组织也需要及时关注更先进、更智能的网络安全措施,同时加强员工安全意识培训,以防范这种日益严峻的威胁。
攻击并不常见的应用系统
任何泄露事件都可能带来灾难,因此在面对新型勒索软件攻击时,任何攻击途径都不能被忽视。
在新型勒索软件攻击模式下,攻击者会更加重视一些没有备份的业务系统,或者一些并不常见的应用,这些看上去的“小应用”往往会给组织带来大威胁。
佐治亚理工学院的安全研究人员已经验证,勒索软件攻击可以通过屡试不爽的已知漏洞利用代码部署到程序逻辑控制器(PLC)中。
遗憾的是,这类设备的重建或更换成本过高,新型勒索软件组织正是瞅准了这一点以勒索受害者。
02
企业应如何防范勒索攻击?
目前活跃在市面上的勒索攻击病毒种类繁多,极高频率的变种使得基于病毒特征库的传统杀毒软件在应对海量新型勒索病毒时,毫无用武之地。
要防范勒索病毒攻击,需要从勒索病毒本身出发,深度剖析勒索病毒的普遍性特点,有针对性地进行干预和防范。
其实,勒索病毒行为具有高度趋同性,整个勒索杀伤链涉及:感染准备、遍历加密、破坏勒索三个环节。
感染准备阶段主要行为是漏洞利用、自身模块释放、进程中止和服务清除;遍历加密阶段主要行为是文件遍历、数据加密;破坏勒索阶段主要行为是删除系统备份、弹出勒索通知。
摸清楚了勒索病毒杀伤链的典型行为特征,接下来就能有效应对勒索病毒,企业可以从检测、防护、恢复三个阶段来应对勒索病毒。
勒索行为监测
勒索病毒的磁盘遍历、进程终止、文件加密、回收站清空等行为,实际上都是在调用操作系统底层驱动的高危指令。
所以防勒索系统安装操作系统后,会接管操作系统底层的进程、文件、磁盘、网络驱动,勒索病毒在执行高危指令调用时,必然优先被防勒索系统感知。
防勒索系统内置恶意行为监测引擎,通过规则树的匹配来识别恶意破坏行为,进而实现对勒索病毒的拦截和阻断。
关键业务保护
勒索病毒加密文件前,会优先终止业务进程,以解除文件占用,便于文件加密或删除操作。所以防勒索系统安装到操作系统后,会接管操作系统进程驱动。
当有进程终止或线程退出指令时,防勒索系统会对指令来源和指令类型进行判断。
如果是不可信的进程发起的跨进程、跨地址空间的指令行为,防勒索系统将会对指令操作进行拦截,从而避免勒索病毒对关键业务进程的破坏,在保障业务连续性的同时,保持关键应用对数据文件的持续占用,进而确保数据文件不会被加密勒索。
勒索病毒诱捕
勒索病毒在遍历文件时,会优先检索系统常规路径,如桌面、文档路径、磁盘根目录等,然后破坏这些文件。
防勒索系统安装后在系统中投放诱饵文件,并持续监控对诱饵文件的操作,由于正常应用一般不会访问诱饵文件,因此对诱饵文件的操作基本上可以判定为勒索病毒,防勒索系统会直接杀死可疑进程并置于隔离区。
核心数据保护
未安装防勒索系统时,无论是正常的应用如word、数据库服务,还是勒索病毒,对应用数据的读写都是不受限制的,勒索病毒随意的对数据文件进行加密写入,致使用户无法正常使用数据文件。
安装防勒索系统后,通过内置规则及动态识别技术,可以很方便地建立可信应用与应用数据间的访问关系模型。
因为勒索病毒不在可信应用列表内,不具备应用数据的访问权限,所以勒索病毒尝试加密系统中文档、数据库、工程文件、音视频等数据文件时,将会被拦截阻断。
核心数据保护功能一方面可避免应用数据被恶意加密,防范典型的文件加密勒索行为,另一方面还可以防范双重勒索中文件信息泄露的勒索行为。
数据智能备份
备份恢复技术用于对抗勒索病毒很有效,因为由于误操作、安全策略配置不当可能导致检测、防护能力被绕过,所以还需要备份恢复能力做技术兜底。
防勒索系统安装后,任何文件的操作均会触发防勒索的安全检查,可信应用文件操作放行,非可信应用文件操作将触发备份动作。
在备份入库前,防勒索系统会检查入库数据的安全性,通过文件名、后缀名、信息熵、方差值完成文件是否被勒索加密的判断。
这是因为被勒索病毒加密的文件会被修改文件名、后缀名,文件的熵值和方差值会发生显著变化,基于防勒索系统可识别被勒索加密的文件,已经被勒索加密的文件将直接丢弃,并对操作该文件的进程进行终止和隔离操作,被识别为正常的数据文件则经过重复检查后进入备份区。
此外,防勒索系统的备份机制并非是全盘备份,而是经过巧妙设计的按需触发,既可以实现勒索病毒的精准防范,又能确保最小的系统资源消耗。
03
结语
未来的勒索软件攻击还将持续演进,并且增长速度也会更快,攻击的目标和形势不断变化,防御对抗将是长期性的。
为了共同抵抗这项威胁,还需要全行业携手合作、推动创新,共同应对勒索攻击的挑战,才能保障企业的安全和稳定发展,打赢这场持久战。
,勒索金额再创新高,企业应如何防范通风系统 ?相关:
华为M-Pencil第三代发布 全球首款星闪技术产品凤凰网科技讯 9月25日,华为秋季全场景新品发布会在深圳举行,华为发布M-Pencil(第三代),为全球首款采用星闪技术的终端产品。
华为发布13.2英寸MatePad Pro 采用柔性OLED屏凤凰网科技讯 9月25日,华为秋季全场景新品发布会在深圳举行,华为最新发布了13.2英寸MatePad Pro,其屏幕采用柔性OLED屏。
华为发布会正式开场!余承东亮相:Mate60正加紧生产快科技9月25日消息,今天下午14:40分,华为发布会在《我的梦》主题曲暖场之后,余承东正式揭晓。他上台率先表示:今天是一个好日子,感谢大家的支持。余承东表示,在没开发布会的情况下,Mate60系列先锋计划就多次售罄,目前正在加紧生产中。目前Mate60系列已经公布三款机型,包括Mate60、Mate60 Pro、Mate60 Pro+。值得注意的是,传闻今天发布会上还会有一款顶级机皇登场——Mate60 RS。这也是每年Mate系列最顶配的产品,售..
机构:汽车销量持续增长,促使中国MEMS传感器加快研发集微网消息,研究机构表示,随着中国汽车销量持续增长,以及汽车智能系统的发展,汽车制造商对MEMS微传感器的要求也在快速增加。这促使中国传感器制造商扩大研发能力,并与车企加强合作。市调机构Yole的报告显示,预计到2028年,全球MEMS传感器市场的复合年增长率将达到5%,随着自动驾驶和ADAS辅助驾驶的进步,MEMS传感器的渗透率也将保持增长。机构预计,MEMS传感器的出货量将从6.57亿个增加到8.61亿个。业内人士表示,用于环境..
中文LLaMA-2刷榜,开源可商用!效果媲美主流大模型原标题:中文LLaMA-2刷榜,开源可商用!千元预算,训练半天,效果媲美主流大模型最强中文版LLaMA-2来了!15小时训练,仅需数千元算力,性能碾压同级中文汉化模型,开源可商用。LLaMA-2相较于LLaMA-1,引入了更多且高质量的语料,实现了显著的性能提升,全面允许商用,进一步激发了开源社区的繁荣,拓展了大型模型的应用想象空间。然而,从头预训练大模型的成本相当高,被戏称「5000万美元才能入局」,这使得许多企业和开发者望而..
阿维塔CEO:华为Mate 60 Pro阿维塔特别版正在快速推进中快科技9月25日消息,华为秋季全场景新品发布会开幕在即,阿维塔CEO谭本宏突然爆出了两个猛料,其表示:预祝华为秋季全场景新品发布会取得圆满成功,这里提前跟大家透露两个消息:第一个,我们的阿维塔12将首批搭载HarmonyOS 4.0与华为高阶智能驾驶系统ADS 2.0,智能颜值均遥遥领先,新车将在年内开启交付;第二个,我们跟华为联合打造的华为Mate 60 Pro阿维塔特别版正在快速推进中,敬请期待!作为阿维塔旗下第二款量产车型..
美国政府又面临“关门了”?据英国《金融时报》9月25日的报道,美国议员们警告称,随着为解决全球最大经济体预算僵局而做出最后妥协的希望越来越渺茫,美国政府“关门”的可能性越来越大。美国民主党和共和党在日前都发言表示,在10月1日之前达成协议的时间已经不多了,届时美国联邦政府运作的现有资金将告罄。政府停摆将迫使成千上万的工作人员待在家里,使美国政府大部分部门陷入瘫痪,这可能会伤害家庭和企业,损害美国经济。华盛顿最新的预算危机发生在..
日本:中国游客又来了,该怎么办这几天,日本的几大旅行社开了一个会,讨论了一个主题:“中国游客又来了,该怎么办?”为什么会谈论这么一个主题?原因在于,日本的旅游业界目前出现了一种倾向性意见:中国游客还是不来的好!疫情之前,中国游客是日本旅游业的救世主,一年940万游客涌入日本,占到日本外国游客总数约30%,而且中国游客在日本的人均消费达到22万日元(约1.1万元人民币),是绝对的金主。但是,疫情之后,欧美游客和东南亚游客捷足先登日本旅游..
英国一警察击毙黑人被控谋杀,部分警察拒绝持枪执勤参考消息网9月25日报道 据英国媒体报道,英国伦敦警方9月24日说,在一名警察因对一名黑人青年开枪而被控谋杀后,已有一些警察拒绝持枪执勤。这迫使伦敦警察局向英国国防部递交正式请求,在出现反恐任务时请其派出军队支援。英国《每日电讯报》网站9月24日的报道以《当伦敦的武装警察放下枪,军队被召唤》为题,并透露已有超过300名警察——占所有持枪警员的10%——表态拒绝携带枪支执勤。据法新社报道,警察这一极不寻常的抗议..
景区不能做私拍的霸王生意 李霞 因私自拍摄并打印游客照片售卖,上海迪士尼乐园被告上法庭。据澎湃新闻报道,苏州大学法学专业的王同学去上海迪士尼乐园游玩时被告知,园方拍摄了一众游客的照片,可以118元一张的价格出售给个人。王同学认为园方做法并未经过本人同意,遂将上海迪士尼乐园诉上法庭。 面对被拍摄游客的质疑和公众的疑虑,迪士尼乐园回复称,游客在入园时已经和园方签订了条款须知,其中明确游客进入乐园将视为同意被摄像、摄..