勒索金額再創新高，企業應如何防范？

圖源：攝圖網

作者|科技云報道 來源|科技云報到(ID：ITCloud-BD)

今年上半年的數據表明，勒索軟件活動和贖金金額有望創下歷史新高。

Check Point Research在《2023 年年中安全報告》中指出，今年上半年，隨著新的勒索軟件團伙不斷涌現，勒索軟件攻擊態勢持續升級。

區塊鏈分析公司Chainaanalysis的報告顯示，勒索軟件是2023年迄今為止唯一呈上升趨勢的基于加密貨幣的犯罪形式，勒索贖金有望創下新的紀錄。

截至6月份，勒索軟件攻擊者已勒索至少4.491億美元，累計收入已達到2022年總收入的90%。

勒索攻擊已經成為了互聯網世界的頑疾，近年來幾乎所有國家的政府、金融、教育、醫療、制造、交通、能源等行業均受勒索攻擊影響。

在面對新型勒索軟件攻擊時，大多數企業組織會處于極度弱勢，根本難以招架。

  01

 勒索攻擊呈五大趨勢

日前，安全服務商Heimdal Security的安全研究人員分析了近一年來的勒索攻擊典型案例后發現，各大勒索攻擊團伙一直在不斷改進攻擊手法和模式，使得新一代勒索軟件攻擊變得更加復雜和更有針對性。

“勒索軟件團伙破壞了至少860個關鍵基礎設施組織的網絡。”這一數據出自美FBI在今年一季度發布的2022年的互聯網犯罪報告。媒體報道指出，該數據僅限于“投訴數據”，實際數量可能更高。

安全機構統計了2022年發生的600起勒索軟件攻擊事件稱，針對關鍵基礎設施的攻擊翻了一倍。

針對關鍵基礎設施的攻擊要更具威脅性，這些企業可能的妥協（傾向于贖金支付）一方面來自于數據的重要性，更重要的是對企業核心生產連續性的威脅。

通常企業在遭受勒索軟件攻擊之后，支付贖金并不是他們的第一選擇。現在，勒索組織將視野轉向數據，并威脅企業如不支付贖金就會泄露數據，從而主動挑起企業安全違規事件。

勒索軟件組織越來越多地針對數據泄露，而不再是過去的系統不可用性。

這方面有多家安全組織的報告都支撐了這一點，如在2022年勒索軟件贖金支付下降了約40%，這一點也出自于企業已經投資于更強的安全性和更好的備份。

數據備份、針對業務系統做好容災建設，是安全企業在對應勒索攻擊的后期兜底建議，有一部分企業認識到了這一點，他們就可以有勇氣在受到勒索之后不支付贖金，利用安全系統來恢復業務或數據。但如果勒索組織威脅泄露數據，留給企業在安全與合規之間的問題就有些麻煩了。

根據Akamai公司的研究報告，一旦受到勒索軟件的攻擊，企業很快就會面臨第二次攻擊的更高風險。報告稱，事實上，被多個勒索軟件組織攻擊的受害者在前三個月內遭受后續攻擊的可能性幾乎是遭遇第一次攻擊之后的六倍。

該報告警告說，遭受勒索軟攻擊并支付贖金也不能保證企業的安全，與其相反，它增加了被同一個或多個勒索軟件組織再次攻擊的可能性。

如果受害企業沒有關閉其外圍的漏洞/修復攻擊者第一次破壞其網絡時濫用的漏洞，那么很可能會再次被利用。

此外，如果受害者選擇支付贖金，他們可能會被同一組織和其他人視為潛在的目標。

隨著人工智能和機器學習技術不斷完善，攻擊者也開始利用這些創新技術使勒索軟件攻擊更具針對性和復雜性。

研究人員發現，勒索軟件組織開始使用人工智能技術來識別漏洞、撰寫逼真的網絡釣魚郵件，并根據防御措施實時調整攻擊策略，這對勒索軟件防護工作構成了重大挑戰。

由于勒索軟件的智能化程度正在迅速增長，組織也需要及時關注更先進、更智能的網絡安全措施，同時加強員工安全意識培訓，以防范這種日益嚴峻的威脅。

任何泄露事件都可能帶來災難，因此在面對新型勒索軟件攻擊時，任何攻擊途徑都不能被忽視。

在新型勒索軟件攻擊模式下，攻擊者會更加重視一些沒有備份的業務系統，或者一些并不常見的應用，這些看上去的“小應用”往往會給組織帶來大威脅。

佐治亞理工學院的安全研究人員已經驗證，勒索軟件攻擊可以通過屢試不爽的已知漏洞利用代碼部署到程序邏輯控制器（PLC）中。

遺憾的是，這類設備的重建或更換成本過高，新型勒索軟件組織正是瞅準了這一點以勒索受害者。

02

  企業應如何防范勒索攻擊？

目前活躍在市面上的勒索攻擊病毒種類繁多，極高頻率的變種使得基于病毒特征庫的傳統殺毒軟件在應對海量新型勒索病毒時，毫無用武之地。

要防范勒索病毒攻擊，需要從勒索病毒本身出發，深度剖析勒索病毒的普遍性特點，有針對性地進行干預和防范。

其實，勒索病毒行為具有高度趨同性，整個勒索殺傷鏈涉及：感染準備、遍歷加密、破壞勒索三個環節。

感染準備階段主要行為是漏洞利用、自身模塊釋放、進程中止和服務清除；遍歷加密階段主要行為是文件遍歷、數據加密；破壞勒索階段主要行為是刪除系統備份、彈出勒索通知。

摸清楚了勒索病毒殺傷鏈的典型行為特征，接下來就能有效應對勒索病毒，企業可以從檢測、防護、恢復三個階段來應對勒索病毒。

勒索病毒的磁盤遍歷、進程終止、文件加密、回收站清空等行為，實際上都是在調用操作系統底層驅動的高危指令。

所以防勒索系統安裝操作系統后，會接管操作系統底層的進程、文件、磁盤、網絡驅動，勒索病毒在執行高危指令調用時，必然優先被防勒索系統感知。

防勒索系統內置惡意行為監測引擎，通過規則樹的匹配來識別惡意破壞行為，進而實現對勒索病毒的攔截和阻斷。

勒索病毒加密文件前，會優先終止業務進程，以解除文件占用，便于文件加密或刪除操作。所以防勒索系統安裝到操作系統后，會接管操作系統進程驅動。

當有進程終止或線程退出指令時，防勒索系統會對指令來源和指令類型進行判斷。

如果是不可信的進程發起的跨進程、跨地址空間的指令行為，防勒索系統將會對指令操作進行攔截，從而避免勒索病毒對關鍵業務進程的破壞，在保障業務連續性的同時，保持關鍵應用對數據文件的持續占用，進而確保數據文件不會被加密勒索。

勒索病毒在遍歷文件時，會優先檢索系統常規路徑，如桌面、文檔路徑、磁盤根目錄等，然后破壞這些文件。

防勒索系統安裝后在系統中投放誘餌文件，并持續監控對誘餌文件的操作，由于正常應用一般不會訪問誘餌文件，因此對誘餌文件的操作基本上可以判定為勒索病毒，防勒索系統會直接殺死可疑進程并置于隔離區。

未安裝防勒索系統時，無論是正常的應用如word、數據庫服務，還是勒索病毒，對應用數據的讀寫都是不受限制的，勒索病毒隨意的對數據文件進行加密寫入，致使用戶無法正常使用數據文件。

安裝防勒索系統后，通過內置規則及動態識別技術，可以很方便地建立可信應用與應用數據間的訪問關系模型。

因為勒索病毒不在可信應用列表內，不具備應用數據的訪問權限，所以勒索病毒嘗試加密系統中文檔、數據庫、工程文件、音視頻等數據文件時，將會被攔截阻斷。

核心數據保護功能一方面可避免應用數據被惡意加密，防范典型的文件加密勒索行為，另一方面還可以防范雙重勒索中文件信息泄露的勒索行為。

備份恢復技術用于對抗勒索病毒很有效，因為由于誤操作、安全策略配置不當可能導致檢測、防護能力被繞過，所以還需要備份恢復能力做技術兜底。

防勒索系統安裝后，任何文件的操作均會觸發防勒索的安全檢查，可信應用文件操作放行，非可信應用文件操作將觸發備份動作。

在備份入庫前，防勒索系統會檢查入庫數據的安全性，通過文件名、后綴名、信息熵、方差值完成文件是否被勒索加密的判斷。

這是因為被勒索病毒加密的文件會被修改文件名、后綴名，文件的熵值和方差值會發生顯著變化，基于防勒索系統可識別被勒索加密的文件，已經被勒索加密的文件將直接丟棄，并對操作該文件的進程進行終止和隔離操作，被識別為正常的數據文件則經過重復檢查后進入備份區。

此外，防勒索系統的備份機制并非是全盤備份，而是經過巧妙設計的按需觸發，既可以實現勒索病毒的精準防范，又能確保最小的系統資源消耗。

03

結語

未來的勒索軟件攻擊還將持續演進，并且增長速度也會更快，攻擊的目標和形勢不斷變化，防御對抗將是長期性的。

為了共同抵抗這項威脅，還需要全行業攜手合作、推動創新，共同應對勒索攻擊的挑戰，才能保障企業的安全和穩定發展，打贏這場持久戰。

編者按：本文轉載自微信公眾號：科技云報到(ID：ITCloud-BD)，作者：科技云報道