勒索攻擊已經成為了全球黑客組織最受歡迎的攻擊方式，通過勒索攻擊能夠給黑客組織帶來巨大的利益，基本上全球每天都有企業(yè)被勒索攻擊，有些勒索攻擊導致企業(yè)的業(yè)務直接被中斷，有些勒索攻擊，企業(yè)已經做好了數(shù)據備份，業(yè)務暫時沒有出現(xiàn)中斷，然而卻還是被勒索，這究竟是什么原因呢?

[[403651]]

討價還價

筆者在跟蹤分析某個流行勒索病毒家族樣本的時候，發(fā)現(xiàn)了國外某企業(yè)與黑客在暗網上進行“討價還價”的過程，黑客組織找企業(yè)要“封口費”，不然就在暗網上公布和出售企業(yè)的數(shù)據。

受害企業(yè)通過黑客提供的勒索信息，找到黑客組織，黑客直接開口150萬美元，并申稱盜取了企業(yè)200G的數(shù)據，這些數(shù)據包含企業(yè)的會計、法律文件、財務、合同和私人信件等數(shù)據，如下所示：

黑客聲稱如果不支付，就會把企業(yè)的數(shù)據在黑客論壇上進行發(fā)布并公開出售，這個時候受害者肯定需要驗證黑客是不是真的盜取了企業(yè)的數(shù)據，于是受害者要黑客提供盜取數(shù)據的相關證據，黑客給受害者提供了盜取數(shù)據的30%的信息樹，如下所示：

黑客給受害者提供了相關的數(shù)據樹信息，如下所示：

這個時候受害者為了驗證數(shù)據的有效性，隨機找了幾個重要的文件，讓黑客提供這幾個文件來驗證是否真的盜取了，如下所示：

黑客給受害者發(fā)送了這幾個文件，得到了驗證，確實企業(yè)的數(shù)據被盜取了，于是企業(yè)開始評估這些數(shù)據的價值，最后給黑客組織開出了只能支付15萬美元的要求，如下所示：

經過一輪的“討價還價”，最后企業(yè)將贖金提升到了20萬美元，但黑客也給出了90萬美元的價值，好像是在菜市場買菜講價一樣，企業(yè)也在評估這些數(shù)據的價值，同時黑客也會做出相應的讓步，然后企業(yè)又提高了贖金，漲到了22.5萬美元，黑客也相應的給出了讓步，變成了87.5萬美元，如下所示：

這場與黑客組織的“討價還價”，就這樣進行中，最后這家企業(yè)會支付多少贖金呢?目前他們愿意支付的贖金從最初的15萬美元漲到了22.5萬美元，黑客也從最初的150萬美元降到了87.5萬美元，這個過程其實就是企業(yè)和黑客雙方都在評估數(shù)據價值的過程......

勒索攻擊

其實對于勒索攻擊，就像筆者之前的文章中提到的，業(yè)界一直存在的兩個誤區(qū)：

(1) 防勒索攻擊，不僅僅是防勒索病毒，需要防御的是黑客組織一整套攻擊流程，以及在整個攻擊鏈的各個環(huán)節(jié)中出現(xiàn)的各種不同功能的惡意軟件以及相關漏洞。

(2) 防勒索攻擊，不僅僅是備份企業(yè)數(shù)據，就萬事大吉了，勒索攻擊的關鍵已經不僅僅是在中了勒索病毒之后，企業(yè)能不能拿到解密工具，解密數(shù)據，快速恢復業(yè)務這么簡單了，而是在黑客入侵安裝了惡意軟件之后，這一段潛伏期內，企業(yè)的核心數(shù)據是否被黑客盜取，將來這些數(shù)據會不會在暗網上公開售賣。

關于這兩個誤區(qū)，更詳細的內容可以參考筆者之前寫的一篇文章《從HSE攻擊事件漫談針對勒索攻擊防御的兩大誤區(qū)》，勒索攻擊不等于勒索病毒，使用勒索病毒僅僅是勒索攻擊中的一種手段，事實上勒索的核心點是企業(yè)的數(shù)據，之前很多企業(yè)的數(shù)據被盜，黑客組織也會在暗網上進行售賣，但這種方式似乎還不能給黑客組織帶來快速的收益，隨著勒索病毒的發(fā)展，勒索攻擊成了一種主流，之前一些黑客組織也快速的更新了自己的經營模式，開始通過公布企業(yè)核心數(shù)據來勒索企業(yè)支付“封口費”，這種方式似乎在未來會成為另一種勒索的模式。

總結

不管是直接通過勒索病毒加密企業(yè)數(shù)據，還是通過各種不同類型的惡意軟件長期潛伏盜取企業(yè)核心數(shù)據，其實這兩種勒索攻擊的方式的核心是一樣的，那就是企業(yè)的數(shù)據，所以保護好企業(yè)的數(shù)據就是防止勒索攻擊的關鍵，數(shù)據安全一直是黑客攻擊的重點，不是是以前，還是現(xiàn)在，或者是將來，黑客獲利的關鍵就是企業(yè)的數(shù)據，獲取企業(yè)的數(shù)據有很多種方式，有些是“內鬼”、“間諜”，有些是惡意軟件盜取，有些可以通過某些漏洞獲取，但是不管哪種方式，勒索攻擊事實上已經發(fā)展成了 APT 攻擊模式，防勒索攻擊就是防御APT定向攻擊，企業(yè)的數(shù)據被黑客組織竊取或破壞，才是勒索攻擊的核心目標。

其實黑客組織一直在活動，曝光的永遠只是冰山一角，筆者一直致力于研究全球各種惡意軟件家族，最近又有幾款新型的勒索病毒和竊密木馬出現(xiàn)，而且功能非常強大，后面有空再給大家分享，惡意軟件是與黑客組織最直接，也是最有效的溝通橋梁，通過研究各種惡意軟件家族，你能更深入的了解黑客組織都在干什么?想做什么?目標是什么?通過什么方式來進行攻擊?使用了什么攻擊流程?黑客組織的運營模式又是什么?他們下一步打算做什么?通過分析惡意軟件，你還可以從樣本中獲取到很多非常有價值的威脅情報信息。

我常常說做安全分析就像警察辦案抓罪犯一樣，只有通過技術手段分析，不斷猜測罪犯的犯案過程，做到知已知彼才能抓到罪犯，前段時間看了國內出的一個新的電影《除暴》，其實里面的核心就是警察通過分析罪犯的做案手法，還原犯罪的過程，電影里面的那個警察憑借自己豐富的辦案經驗，不斷分析罪犯的犯罪活動，知已知彼，還原甚至提前預測了罪犯的下一步活動，最后找到罪犯，并抓到了罪犯。