通過將防御意識(shí)和防御準(zhǔn)備相結(jié)合，就有很大的可能躲過勒索軟件的攻擊。通常，勒索軟件攻擊具有誤導(dǎo)性，這意味著防御者要么完全阻止攻擊，要么攻擊者完全控制其目標(biāo)IT基礎(chǔ)設(shè)施。但過去幾年表明，防御者在應(yīng)對(duì)勒索軟件攻擊方面的成功取決于一系列潛在結(jié)果，并且其中一些明顯優(yōu)于其他結(jié)果。

我們也很容易想象，所有從事勒索軟件業(yè)務(wù)的團(tuán)隊(duì)都擁有相同的技能，相同的目標(biāo)，并在相同的商業(yè)模式下運(yùn)作。但與任何垂直行業(yè)的情況一樣，勒索軟件團(tuán)體具有廣泛的技能、各種攻擊目標(biāo)和不同的商業(yè)模式。

雖然現(xiàn)在大家都喜歡將REvil和DarkSide稱為提供勒索軟件即服務(wù)的“特許經(jīng)營(yíng)模式”很，但重要的是要記住，特許經(jīng)營(yíng)商實(shí)際上是自由職業(yè)的網(wǎng)絡(luò)犯罪分子。特許經(jīng)營(yíng)者為這些自由職業(yè)者提供后臺(tái)操作，但對(duì)他們的其他運(yùn)營(yíng)方式幾乎沒有影響。

鑒于上述情況，讓我們考慮一下可能影響攻擊結(jié)果的每個(gè)因素。

攻擊者技巧和持久性

攻擊者的技能和防御者的技能——再加上一些運(yùn)氣因素——通常決定了攻擊可能進(jìn)展到何種程度：

• 低技能：一些攻擊者可能擅長(zhǎng)攻擊安全實(shí)踐滯后的組織，但通常會(huì)在具有強(qiáng)大防御能力的組織中遇到他們的對(duì)手
•  錯(cuò)誤的技能：擁有可用于攻擊傳統(tǒng)數(shù)據(jù)中心的技能和工具的攻擊者將難以攻入已將所有內(nèi)容移至云端的目標(biāo)
• 運(yùn)氣不好：被鎖定的組織組織通常被鎖定，但可能會(huì)被暫時(shí)暴露從而讓攻擊者有發(fā)現(xiàn)的可能
•  運(yùn)氣較好：那些持續(xù)開放（例如，在AWS enclave中對(duì)外部開放RDP訪問）的組織運(yùn)氣很不錯(cuò)，因?yàn)闆]有攻擊者遇到它

攻擊者的目標(biāo)

攻擊組也可能專注于以泄漏為中心與以運(yùn)營(yíng)為中心的目標(biāo)。

以泄漏為中心的目標(biāo)涉及泄露和威脅泄漏屬于目標(biāo)組織的機(jī)密數(shù)據(jù)。這方面最有價(jià)值的數(shù)據(jù)通常是與目標(biāo)客戶和員工相關(guān)的數(shù)據(jù)，因?yàn)闈撛诘穆曌u(yù)和法律責(zé)任是支付贖金的有力誘因。

或者，公開披露或出售知識(shí)產(chǎn)權(quán)或商業(yè)秘密也可以促使目標(biāo)組織支付贖金。此類攻擊的策略通常涉及向受害者發(fā)送數(shù)據(jù)樣本以顯示攻擊者擁有的數(shù)據(jù)。從那里，它可以升級(jí)為公開數(shù)據(jù)樣本并聯(lián)系受害者的客戶，向受害者施加壓力以支付贖金。

以泄漏為中心的攻擊的一個(gè)例子是與REvil相關(guān)的對(duì)Quanta的攻擊，該攻擊泄露了未來Apple產(chǎn)品設(shè)計(jì)的規(guī)范。攻擊者首先向Quanta索要5000萬(wàn)美元的贖金，但很快就認(rèn)定蘋果財(cái)力雄厚，并試圖勒索5000萬(wàn)美元，以換取不公開泄露數(shù)據(jù)，或?qū)⑵涑鍪劢o蘋果競(jìng)爭(zhēng)對(duì)手。

以運(yùn)營(yíng)為中心的目標(biāo)包括試圖削弱受害組織繼續(xù)運(yùn)營(yíng)的能力。這些攻擊有時(shí)集中在傳統(tǒng)的IT系統(tǒng)上，有時(shí)則針對(duì)作為OT（操作技術(shù)）的系統(tǒng)，但這些系統(tǒng)通常由傳統(tǒng)IT（例如Windows NT）技術(shù)組裝而成。

該方案通常不存在機(jī)密數(shù)據(jù)的泄露或出售數(shù)據(jù)的情況。與DarkSide相關(guān)的對(duì)Colonial Pipeline的攻擊（支付了450萬(wàn)美元的贖金）和與REvil相關(guān)的對(duì)JBS Foods的攻擊（支付了1100萬(wàn)美元的贖金）正是針對(duì)這一目標(biāo)：支付贖金是為了確保公司及時(shí)恢復(fù)正常運(yùn)營(yíng)的能力。

成功程度

有幾個(gè)因素（包括運(yùn)氣）限制了勒索軟件攻擊的可能結(jié)果?？赡艿慕Y(jié)果包括：

• 攻擊者在目標(biāo)組織上進(jìn)展不足并放棄。這可能是由于攻擊者發(fā)現(xiàn)成功實(shí)施攻擊的難度很高，或者因?yàn)楣粽咄瑫r(shí)進(jìn)攻的其他一些目標(biāo)看起來更有希望，因此將此視為機(jī)會(huì)成本。無論哪種方式，都不需要再支付贖金。
• 攻擊者在一定程度上取得了成功，并相信自己在索要贖金方面具有一定的影響力，但最終并未支付贖金。這些情況下，結(jié)果通常是產(chǎn)生一些運(yùn)營(yíng)影響或聲譽(yù)損害。
• 攻擊者在一定程度上取得了成功，并且贖金請(qǐng)求足夠溫和，受害者可能會(huì)選擇支付贖金，因?yàn)樗某杀镜陀诨謴?fù)工作的成本。這也可能受到受害者擁有提供勒索軟件保險(xiǎn)的網(wǎng)絡(luò)保險(xiǎn)單的影響。
• 攻擊者成功接觸到了核心業(yè)務(wù)，并有效地阻止了受害組織繼續(xù)開展業(yè)務(wù)。在這種情況下，受害組織可能會(huì)支付贖金（Colonial Pipeline，JBS Foods）并相對(duì)較快地恢復(fù)服務(wù)?；蛘咚麄兙芙^支付（參見巴爾的摩市的RobbinHood攻擊或亞特蘭大市的Samsam攻擊）并最終從頭開始重建他們的IT基礎(chǔ)設(shè)施。

結(jié)論

您應(yīng)該列出各種場(chǎng)景，包括攻擊者追求針對(duì)的以泄漏為中心和以運(yùn)營(yíng)為中心的目標(biāo)，并思考您如何應(yīng)對(duì)攻擊者部分或是完全的成功：

• 了解您的網(wǎng)絡(luò)保險(xiǎn)政策的范圍以及它有哪些限制。
• 如果涉及贖金請(qǐng)求，您的網(wǎng)絡(luò)保險(xiǎn)提供商會(huì)指派人員來處理贖金談判嗎？
• 你有事件響應(yīng)公司嗎？
• 您的災(zāi)難恢復(fù)計(jì)劃有多強(qiáng)大？

這些類型的許多問題都會(huì)逐漸浮現(xiàn)出來，這將幫助你在遭受攻擊時(shí)做好更充分的準(zhǔn)備。

本文翻譯自：https://threatpost.com/a-guide-to-surviving-a-ransomware-attack/180110/如若轉(zhuǎn)載，請(qǐng)注明原文地址。