根據(jù)最新的Sophos報(bào)告，勒索軟件試圖通過濫用受信任的合法程序來疏忽過去的安全控制措施，然后利用內(nèi)部系統(tǒng)加密最大數(shù)量的文件，并在IT安全團(tuán)隊(duì)趕上之前禁用備份和恢復(fù)程序。

勒索軟件的主要模式

勒索軟件通常以以下三種方式之一進(jìn)行傳播：

• 作為一種加密蠕蟲，它可以將自身快速復(fù)制到其他計(jì)算機(jī)上以產(chǎn)生最大的影響(例如WannaCry);
• 作為勒索軟件即服務(wù)(RaaS)，在暗網(wǎng)上以分發(fā)工具包的形式出售(例如Sodinokibi);
• 或通過自動(dòng)主動(dòng)攻擊者的攻擊方式，即攻擊者在對(duì)網(wǎng)絡(luò)進(jìn)行自動(dòng)掃描后，會(huì)手動(dòng)部署勒索軟件，以尋找保護(hù)力較弱的系統(tǒng)。

加密代碼簽名勒索軟件

帶有購買或被盜的合法數(shù)字證書的加密代碼簽名勒索軟件，試圖說服某些安全軟件該代碼是可信賴的，不需要分析。

特權(quán)提升

使用隨時(shí)可用的漏洞(例如EternalBlue)提升權(quán)限，以提升訪問權(quán)限。這使攻擊者可以安裝程序(例如遠(yuǎn)程訪問工具RAT)，以及查看，更改或刪除數(shù)據(jù)，創(chuàng)建具有完全用戶權(quán)限的新帳戶以及禁用安全軟件。

跨網(wǎng)絡(luò)橫向移動(dòng)和狩獵

攻擊者可以在一個(gè)小時(shí)內(nèi)創(chuàng)建一個(gè)腳本，以在網(wǎng)絡(luò)端點(diǎn)和服務(wù)器上復(fù)制并執(zhí)行勒索軟件。

為了加快攻擊速度，勒索軟件可能會(huì)優(yōu)先處理遠(yuǎn)程/共享驅(qū)動(dòng)器上的數(shù)據(jù)，首先針對(duì)較小的文檔大小，然后同時(shí)運(yùn)行多個(gè)加密過程。

遠(yuǎn)程攻擊的威脅

文件服務(wù)器本身通常沒有感染勒索軟件。相反，威脅通常在一個(gè)或多個(gè)受感染的端點(diǎn)上運(yùn)行，濫用特權(quán)用戶帳戶，有時(shí)通過遠(yuǎn)程桌面協(xié)議(RDP)或針對(duì)托管服務(wù)提供商(MSP)

通常使用的遠(yuǎn)程監(jiān)視和管理(RMM)解決方案來遠(yuǎn)程攻擊文檔。以管理客戶的IT基礎(chǔ)架構(gòu)和/或最終用戶系統(tǒng)。

文件加密和重命名

有多種不同的文件加密方法，包括簡(jiǎn)單地覆蓋文檔，但是大多數(shù)方法都伴隨著備份或原始副本的刪除，從而阻礙了恢復(fù)過程。

勒索軟件攻擊的發(fā)展

“勒索軟件的創(chuàng)建者非常了解安全軟件的工作原理，并相應(yīng)地調(diào)整了攻擊方式。一切都旨在避免檢測(cè)，同時(shí)惡意軟件會(huì)盡快加密盡可能多的文檔，并且即使不是不可能，也很難恢復(fù)數(shù)據(jù)。

“在某些情況下，攻擊的主體發(fā)生在晚上，即IT團(tuán)隊(duì)在家里睡著了。當(dāng)受害者發(fā)現(xiàn)發(fā)生了什么事時(shí)，為時(shí)已晚。

“至關(guān)重要的是要具有強(qiáng)大的安全控制，監(jiān)管到位和響應(yīng)覆蓋所有端點(diǎn)，網(wǎng)絡(luò)和系統(tǒng)，并且及時(shí)安裝軟件更新最新版本。