勒索软件攻击的工作原理：影响、示例和响应

 

什么是勒索软件攻击？

勒索软件是一种高级形式的网络攻击，是全球安全团队面临的最大威胁之一。勒索软件是一种恶意软件，通常使用加密来阻止或限制对数据的访问，直到支付赎金。

勒索软件威胁已经演变。虽然早期的勒索软件使用易于逆的加密，但今天的勒索软件团伙通常部署 AES-256 来加密组织的文件。许多勒索软件攻击在加密之前会泄露网络数据，这意味着恶意行为者还可以威胁释放组织的敏感数据。然后，该组织面临双重勒索攻击的风险。

在这篇文章中

·什么是勒索软件攻击？

·勒索软件趋势和统计

·勒索软件攻击示例

·加密储物柜

·洛克

·佩蒂亚

·琉球

·WannaCry（万想哭泣）

·甘德螃蟹

·山姆山姆

·勒索软件攻击如何运作？

·勒索软件攻击对业务的影响

·应对勒索软件攻击的步骤

·如何删除勒索软件？

·您的组织可以采取哪些措施来防止勒索软件攻击？

·通过高级电子邮件安全保护入口点

勒索软件趋势和统计

自 2020 年以来，已检测到 130 多种不同的勒索软件类型（全球背景下的勒索软件报告）：

·GandCrab 勒索软件家族最为普遍，为 78.5%。

·95% 的勒索软件样本是基于 Windows 的可执行文件或动态链接库。

在过去十年中，我们看到勒索软件攻击呈指数级增长：

·勒索软件是所有网络安全漏洞中 10% 的一部分（Verizon 数据泄露调查报告）。

·大约 37% 的全球组织表示他们是某种形式的勒索软件攻击的受害者（2021 年勒索软件研究）。

·联邦调查局的互联网犯罪投诉中心在短短 6 个月内报告了 2,084 起勒索软件投诉，同比增长 62%。

一些新兴的勒索软件趋势：

·供应链攻击：供应链攻击不是攻击单个受害者，而是扩大了爆炸半径。2021 年勒索软件攻击的一个典型例子是 Kaseya 攻击，该攻击影响了至少 1,500 名托管服务提供商客户。

·双重敲诈勒索：通过双重勒索，攻击者还会将数据泄露到单独的位置。在那里，它可以用于其他目的，包括在未收到付款的情况下将信息泄露到公共网站。

·勒索软件即服务 （RaaS）：RaaS 是一种付费恶意软件。它使攻击者能够使用提供必要勒索软件代码和操作基础设施的平台来启动和维护勒索软件活动。

·攻击未打补丁的系统：虽然有些勒索软件攻击确实利用了新的零日漏洞，但大多数攻击仍在继续滥用未修补系统上的已知漏洞。

·网络钓鱼：各种形式的网络钓鱼电子邮件通常是勒索软件的根本原因。

 勒索软件攻击示例

加密储物柜

CryptoLocker 是一种臭名昭著的勒索软件攻击，于 2013 年首次出现。它主要通过包含恶意附件（例如假发票或发货通知）的垃圾邮件传播。当受害者打开附件时，恶意软件将开始使用 RSA-2048 密钥加密加密其计算机和任何连接的网络驱动器上的文件。

加密完成后，受害者将看到一张赎金票据，要求以比特币付款以获取解密密钥。如果受害者没有在设定的时间范围内付款，攻击者威胁要删除解密密钥，使文件永久无法访问。CryptoLocker造成了重大损失，估计支付了超过300万美元的赎金。

洛克

Locky 是 2016 年和 2017 年流行的另一种勒索软件。它通常通过带有包含恶意宏的 Word 文档附件的垃圾邮件传播。当受害者打开附件并启用宏时，Locky 将开始使用 AES 加密加密受害者计算机和任何连接的网络驱动器上的文件。与其他勒索软件攻击一样，它要求以比特币付款以获取解密密钥。

佩蒂亚

Petya 是一种勒索软件攻击，于 2016 年首次出现并造成重大破坏。它通过漏洞利用工具包、网络钓鱼电子邮件和远程桌面协议 （RDP） 攻击进行传播。一旦恶意软件感染了计算机，它就会覆盖硬盘驱动器的主启动记录 （MBR），从而阻止计算机启动。

然后，它显示了一张赎金票据，要求用比特币付款以获得解密密钥。然而，在某些情况下，即使受害者支付了赎金，他们也无法恢复他们的文件，导致一些人猜测攻击者的真正动机可能是造成混乱和破坏。

琉球

Ryuk 是一种勒索软件，于 2018 年首次出现，据信由俄罗斯网络犯罪集团运营。它针对大型组织，包括医疗保健提供者、政府机构和金融机构。

Ryuk 通常通过网络钓鱼电子邮件或漏洞利用工具包访问网络，一旦进入网络，它就会开始使用 AES 和 RSA 加密的组合来加密文件。然后，它要求以比特币支付高额赎金，通常为数百万美元。

Ryuk 是一种复杂且有针对性的勒索软件攻击，其背后的组织以其耐心和周密的计划而闻名，在发起攻击之前经常花费数月时间渗透网络。

WannaCry（万想哭泣）

WannaCry 是一种勒索软件攻击，于 2017 年 5 月在全球爆发。它通过旧版本的Microsoft Windows中的漏洞传播，该漏洞已被NSA利用，后来被黑客组织泄露。

The malware used worm-like capabilities to spread rapidly through networks, encrypting files with AES-128 encryption. It demanded payment in Bitcoin, and the attack affected hundreds of thousands of computers worldwide, including healthcare providers, government agencies, and corporations.

甘德螃蟹

GandCrab 是一种多产的勒索软件，于 2018 年初首次出现。它通过漏洞利用工具包、网络钓鱼电子邮件和 RDP 攻击传播，感染受害者的计算机并使用 AES-256 和 RSA-2048 加密的组合加密文件。

GandCrab 要求以各种加密货币支付赎金，包括比特币、达世币和门罗币，攻击者以其激进的策略而闻名，威胁说如果受害者不付款，就会泄露敏感数据。

山姆山姆

SamSam 是一种勒索软件，自 2015 年以来一直活跃，主要针对医疗保健组织、教育机构和政府机构。它通过 RDP 攻击传播，攻击者通过暴力破解弱密码来访问网络。一旦进入网络，SamSam 就会使用定制的恶意软件来加密文件，要求以比特币支付赎金。

SamSam 以其有针对性的方法而著称，攻击者通常会在发起攻击之前花费数月时间研究网络的漏洞。SamSam 造成了重大损失，估计支付了超过 3000 万美元的赎金。据信，SamSam背后的组织总部设在伊朗，一些成员已被美国司法部起诉。

勒索软件攻击如何运作？

重要的是要了解勒索软件不是一个单一的事件，而是一系列事件。勒索软件有许多不同类型的，但大多数勒索软件攻击往往遵循类似的模式。让我们来看看勒索软件杀伤链的不同阶段，该杀伤链旨在破坏和禁用系统，并迫使组织支付大笔费用来恢复数据并重新上线（术语“杀伤链”是指敌人在攻击期间遵循的步骤）：

第 1 阶段：设置勒索软件攻击

第一阶段是攻击者设置勒索软件以渗透您的系统。这可以通过多种方式完成，包括发送网络钓鱼电子邮件攻击、设置恶意网站、利用 RDP 连接中的弱点或直接攻击软件漏洞。只需要一个用户犯错并执行勒索软件代码，渗透到系统中，因此网络中的用户越多意味着您就越容易受到勒索软件攻击。

第 2 阶段：勒索软件渗透

在这个阶段，勒索软件已经在您不知情的情况下渗透到您的系统中。恶意代码将建立一条与攻击者的通信线路。勒索软件攻击者可能会使用此通信线路下载其他恶意软件。需要注意的是，勒索软件可能会隐藏和休眠数天、数周或数月，然后攻击者才会选择最佳时间发动攻击。此外，勒索软件可以在组织中的其他系统之间横向移动，以访问尽可能多的关键数据。在这一点上，许多勒索软件变种现在也以备份系统为目标，以消除您作为受害者恢复数据的机会。

第 3 阶段：激活勒索软件

这是攻击者远程激活或执行勒索软件攻击的时候。这可能在攻击者选择的任何时候发生，并使您的组织完全措手不及。

第 4 阶段：通过加密将数据扣为人质

勒索软件通过加密将数据扣为人质。不同的勒索软件变体使用不同的加密方法，从加密文件系统的主引导记录到加密单个文件或整个虚拟机。一些勒索软件变种还以备份系统为目标，这些系统可能会删除或加密备份以防止恢复。自行解密数据的可能性极小，因此您的组织将有三种选择：丢失数据、从副本或备份中恢复或支付赎金。

第 5 阶段：赎金请求

您正式成为受害者，勒索软件已加密数据。您将看到有关如何通过加密货币交易支付赎金的信息。在此阶段，不仅无法访问数据，而且可以通过加密禁用应用程序和整个系统。如果不访问数据或服务，运营可能会受到严重影响（想象一下我们在本文前面提到的关键任务基础设施和供应链）。

图 1：WannaCry 勒索软件示例。来源：UpGuard
图 2：GandCrab 勒索软件示例。资料来源：UpGuard。

第 6 阶段：恢复或赎金

如果您没有有效的恢复方法，您很可能会被困在支付赎金中。即使数据可以恢复，至少可以部分恢复，这样做的成本也可能超过支付赎金的成本。但是，如果您的组织制定了有效的恢复计划，则可以以最小的中断快速恢复数据，并且无需支付赎金，从而消除了停机和支付高额赎金的负面宣传。

第 7 阶段：清理

需要注意的是，支付赎金甚至从备份或副本中恢复数据并不一定能消除系统上的勒索软件。恶意文件和代码可能仍然存在，需要删除。对攻击本身进行“尸检”可能会揭示勒索软件的类型，并使其更容易从系统中定位和清除。

勒索软件攻击对业务的影响

勒索软件攻击可能会削弱公司数据及其运营，甚至造成灾难性损害，尤其是在数据至关重要的组织中，例如医院、紧急呼叫中心、通信、能源、政府等。此外，勒索软件攻击可能会造成声誉损害，甚至造成巨大的经济损失，据估计，从 2021 年开始，勒索软件每年将花费高达 6 万亿美元（Cybersecurity Ventures）。

勒索软件攻击对企业的负面影响包括：

·赎金支付可能达到数十万美元的加密货币，以及其他直接经济损失。

·由于关键业务系统关闭而导致的生产力损失。

·文件和数据丢失，这可能意味着数百小时的工作。

·客户数据丢失，这会损害客户的信任和声誉，并代表法律和合规性风险。

根据卡巴斯基的说法，在大多数情况下，组织至少需要一周的时间才能恢复数据。当然，还需要完全格式化受感染的机器，重新安装所有软件并恢复数据，更不用说添加保护措施来阻止它再次发生。

此外，以下是与勒索软件攻击的经济损失相关的更多统计数据：

·在 95% 的勒索软件相关成本案例中，损失中位数为 11,150 美元。然而，损失从 70 美元的低点到 120 万美元的高点不等（Verizon 数据泄露调查报告）。

·2021 年第三季度，12% 的受害者因勒索软件攻击而付出了代价（Corvus 风险洞察指数）。

·2021 年上半年，勒索软件相关活动达 5.9 亿美元（美国财政部金融犯罪执法网络 – FinCEN）。

应对勒索软件攻击的步骤

以下是应对勒索软件攻击的关键步骤：

1.隔离受感染的设备：如果您怀疑某个设备感染了勒索软件，请立即将其与网络隔离，以防止恶意软件传播到其他设备。

2.评估损失：通过确定哪些文件已被加密或锁定以及这些文件是否存在备份来确定损坏的程度。如果可能，请尝试确定使用了哪种勒索软件，因为此信息有助于恢复过程。

3.通知相关方：如有必要，通知相关方，包括 IT 人员、高级管理层和执法部门。根据攻击的严重程度，您可能需要让第三方网络安全公司协助进行恢复和调查。

4.不支付赎金：虽然支付赎金以重新获得对文件的访问权限可能很诱人，但不建议支付赎金。不能保证攻击者会提供解密密钥，支付赎金只会鼓励进一步的攻击。

5.从备份还原：如果您有受影响文件的备份，请从干净的备份中还原它们。请确保在还原备份之前验证备份的完整性，以确保它们未感染恶意软件。

6.根除：使用恶意软件删除工具从受感染的设备中删除勒索软件。确保已安装所有补丁和更新，以防止进一步的攻击。

7.提高安全性：遏制直接威胁后，查看并改进组织的安全措施，以防止将来的攻击。这可能包括实施更强的密码、使用双因素身份验证以及确保所有软件都是最新的和修补的。

8.报告事件：向有关当局报告事件，包括当地执法和监管机构（如适用）。这有助于跟踪攻击者并防止未来的攻击。

如何删除勒索软件？

以下是删除勒索软件的一般步骤：

1.识别勒索软件菌株：确定哪种勒索软件菌株感染了设备，因为不同的菌株可能需要不同的删除方法。您可以使用在线资源（例如防病毒软件网站或网络安全论坛）来识别特定的勒索软件。

2.使用防病毒软件：使用防病毒软件或其他恶意软件清除工具对受感染的设备进行全面扫描。如果防病毒软件无法删除勒索软件，您可能需要使用特定于勒索软件的专用删除工具。

3.手动删除勒索软件：如果勒索软件在运行防病毒软件后仍然存在，您可能需要手动将其删除。这可能涉及编辑注册表或使用命令提示符，因此请务必仔细按照说明进行操作，以避免对设备造成进一步损坏。

您的组织可以采取哪些措施来防止勒索软件攻击？

好消息是，通过良好的网络卫生（包括员工培训、强大的配置管理和安全系统），组织可以缓解勒索软件漏洞并为最坏的情况做好准备。

以下是每个组织都应实施的几个 IT 最佳实践：

·随时了解最新的操作软件。WannaCry 是现存最著名的勒索软件变种之一，是勒索软件蠕虫的一个例子。WannaCry 不是依靠网络钓鱼电子邮件或 RDP 来访问目标系统，而是通过利用 Windows Server 消息块 （SMB） 协议中的漏洞进行自我传播。

o在 2017 年 5 月著名的 WannaCry 攻击时，WannaCry 使用的 EternalBlue 漏洞存在补丁。该补丁在攻击前一个月可用，并标记为“关键”，因为它很有可能被利用。然而，许多组织和个人没有及时应用补丁，导致勒索软件爆发，在三天内感染了 200,000 台计算机。

·实施备份 – 由于支付赎金并不能保证您将获得私钥来恢复数据，因此在发生攻击时，您可以将文件恢复到原始状态。使计算机保持最新状态并应用安全补丁（尤其是标记为关键的补丁）有助于限制组织对勒索软件攻击的脆弱性。

·持续评估您的安全状况，以确保您拥有适当的保护措施。

通过高级电子邮件安全保护入口点

为了防止勒索软件攻击，保护内容进入组织的每个渠道至关重要。由于电子邮件仍然是网络安全攻击的主要切入点，它仍然是许多企业安全基础设施的薄弱环节。即使是最有经验的用户也无法幸免于网络攻击者的攻击，他们继续开发更复杂的技术来通过电子邮件发送勒索软件。

尽管市场上有许多电子邮件安全解决方案，但大多数组织仍然面临以下风险：

·许多电子邮件安全解决方案使用的传统沙盒技术已经过时，无法应对老练的黑客带来的挑战，这些黑客使用多种规避技术进行多级攻击。

·大多数电子邮件安全解决方案速度缓慢，无法扩展以支持所需的性能需求，因此安全专业人员被迫在延迟所有电子邮件流量以扫描不到 100% 的电子邮件和仅在交付后修复威胁之间做出选择。这给他们组织的安全带来了巨大的风险。

像 Perception Point 这样的高级电子邮件安全解决方案可以应对这些挑战，并提供针对勒索软件的全面保护：

·动态扫描 – 许多电子邮件安全解决方案都是为了静态扫描内容（简单的AV）或使用CDR（内容撤防和重建技术）。AV 技术依赖于已知技术，而后者篡改文件并更改它们。动态扫描是在隔离环境中实际引爆文件和URL以检测恶意代码执行的过程。

·递归解包 — 能够发现内容中任何嵌套级别背后的威胁。这是防止规避企图的关键功能——如果没有它，当攻击者将威胁埋藏在内容深处时，攻击可能不会被发现。

·速度和规模 – 现有安全解决方案的一个常见问题是以所需的速度管理规模。传统解决方案确实已经迁移到云中，但并非为扩展而设计。当工作负载增长时，他们被迫对扫描的内容进行选择性处理，这增加了恶意内容渗透的风险，而这正是攻击者等待利用的内容。

·引擎优化 – 高级威胁防护解决方案需要引擎优化，这应该持续执行，因为组织经常暴露在新型威胁中，需要有效地保护自己免受新型威胁的侵害。如果不进行优化，安全性能会随着时间的推移而下降，这是一个常见的问题。引擎优化是电子邮件安全解决方案敏捷性的结合，即在旅途中定义新规则和策略的能力，以及能够识别威胁并持续执行这些优化的熟练网络安全员工。

了解有关 Perception Point Advanced Email Security 的更多信息

 

1Petya 是 2016 年首次发现的加密勒索软件家族——这是 2016 年初浮出水面的一段刑法，并勒索受害者支付密钥以解锁他们的文件。该勒索软件以基于 Microsoft Windows 的系统为目标，感染主启动记录以执行有效负载，该有效负载会加密硬盘驱动器的文件系统表并阻止 Windows 启动。随后，它要求用户以比特币付款，以便重新获得对系统的访问权限。

原文始发于微信公众号（伞神安全）：勒索软件攻击的工作原理：影响、示例和响应