勒索軟件的風險正在影響企業(yè)的核心業(yè)務。數據安全治理供應商Netwrix公司高級副總裁Jeff Warren指出，認識到勒索軟件運營商越來越成功的關鍵因素，并了解如何準備有效的縱深防御策略，這一點很重要。

很多企業(yè)經常以錯誤的眼光看待勒索軟件攻擊者，認為它只是一些為了盈利而暴露漏洞的居心不良者。事實上，勒索軟件如今已經成為一個蓬勃發(fā)展的行業(yè)：在2022年，勒索軟件涉及了所有違規(guī)行為的25%。根據調查，勒索軟件攻擊造成的平均損失達到了驚人的454萬美元。因此，網絡安全專業(yè)人員需要確切地了解勒索軟件攻擊成功的原因以及如何防御這種攻擊。

以下探討勒索軟件運營商越來越成功的四個關鍵因素，并以Lockbit 3.0為例進行說明。然后，它解釋了有效的深度防御策略的關鍵組成部分，以減輕企業(yè)的風險。

勒索軟件攻擊越來越成功的四個要素

以下是勒索軟件威脅增長的四個關鍵因素：

(1)勒索軟件即服務(RaaS)

一些勒索軟件組織已經成功地采用了軟件即服務(SaaS)模式，創(chuàng)建了一個強大的RaaS市場。他們提供執(zhí)行勒索軟件攻擊的復雜工具，并從每次支付的贖金中賺取一定比例的傭金，從而創(chuàng)建了一個RaaS銷售團隊。這種模式催生了一些最具破壞性的勒索軟件，包括Lockbit 3.0。

(2)基本方法仍然有效

勒索軟件攻擊者知道“如果沒有壞，就不要修復它”的規(guī)則。許多勒索軟件技術多年來一直保持不變，因為它們很有效。特別是，常見的漏洞仍然是勒索軟件初始滲透的主要途徑?！暗顷懖U展”過程的下一步是橫向移動，升級權限并實現持久性，然后最終加密數據(并可能威脅泄漏數據)以勒索贖金。在勒索軟件攻擊初始階段，網絡犯罪分子可能需要花費數天或數周的時間來了解受害者環(huán)境的拓撲結構和安全基礎設施，當他們準備好部署階段時，現代勒索軟件可能在幾分鐘內像野火一樣蔓延。

(3)更多的人為操作

在勒索軟件的早期，攻擊的成功率很低。網絡犯罪分子越來越多地在勒索軟件攻擊之前的階段運用他們的知識和洞察力，使他們能夠成功地攻擊三分之一的目標。

(4)雙重勒索和三重勒索

就像任何聰明的商人一樣，勒索軟件的參與者和他們的同伙已經找到使其“收入”最大化的方法。一旦他們訪問并加密受害者的關鍵數據，他們就可以進行勒索。首先，勒索軟件攻擊者將要求為解密密鑰支付贖金。接下來，如果沒有支付贖金，勒索者可能會威脅出售或泄露受害者的敏感數據。最后，他們可能會向其他可能受到數據泄露影響的受害者的客戶或合作伙伴尋求賠償。三重勒索已經成為勒索軟件商業(yè)模式中越來越有利可圖的組成部分，擁有廣泛第三方網絡的企業(yè)正成為被高度關注的目標。

LockBit 3.0示例

自從2019年推出以來，LockBit一直是最具破壞性和最多產的勒索軟件之一。它通常用于勒索軟件攻擊提供關鍵服務的目標，包括衛(wèi)生系統和醫(yī)院，阻止用戶訪問重要系統和數據，并要求支付贖金。

LockBit操作者使用受損的服務器，發(fā)送網絡釣魚電子郵件或強制使用不安全的RDP或VPN憑據滲透到受害企業(yè)。

LockBit之所以脫穎而出，是因為它是最成功的勒索軟件即服務(RaaS)之一。美國司法部聲稱，LockBit成員至少賺取了1億美元以上，這為贖金要求打開了一個新的窗口。一個勒索軟件團隊開發(fā)惡意軟件，并將代碼授權給實施攻擊的分支機構。由于LockBit利潤豐厚，它的開發(fā)人員像一個復雜的商業(yè)軟件企業(yè)一樣運作，改進其功能，修復錯誤，提高其效率。

LockBit 3.0于2022年7月首次被發(fā)現。到2022年第三季度末，最近觀察到的針對工業(yè)企業(yè)和基礎設施的勒索軟件攻擊中有三分之一與此有關。這次發(fā)布的一個關鍵改進是，它使受害者的數據以一種易于搜索的形式免費提供。該公司還推出了一項漏洞賞金計劃，向發(fā)現并提交漏洞報告的安全研究人員提供高達100萬美元的獎勵。

如何降低勒索軟件攻擊的風險

就像硬幣的兩面一樣：如果企業(yè)想要減少勒索軟件攻擊的成功幾率，也想最大限度地減少攻擊成功之后可能造成的傷害。因此，需要一種分層安全和縱深防御的方法。以下是主要組成部分：

(1)提高員工安全意識：只有當員工至少了解安全要點時，安全計劃才會起作用。因此，投資于定期、有效的教育和培訓至關重要。

(2)清點數據：為了降低失去對關鍵數據的訪問權限的風險，企業(yè)必須知道他們存儲的數據類型，并根據其價值對其進行保護。因為不可能保護所有的數據，所以專注于保護重要的數據。

(3)采用零權限方法：為了減少攻擊面，只有在需要的時候，并且只有在驗證了請求的有效性之后，才應授予對敏感數據的訪問權限。

(4)注意可疑活動：數據加密和泄露需要時間。在網絡攻擊的早期階段檢測異常用戶行為對于最大限度地減少損害至關重要。

(5)記錄和測試事件響應計劃(IRP)：企業(yè)必須制定并實踐對正在進行的攻擊做出快速適當反應的步驟，包括誰應對什么負責。在理想情況下，實現可以立即采取行動的自動化控制，例如，終止用戶會話、加密或復制大量數據。

(6)確保企業(yè)擁有可靠的備份和有效的恢復：為了最大限度地減少業(yè)務中斷，IT團隊必須能夠快速恢復最重要的數據和服務。他們將需要存儲在惡意軟件無法觸及的最新備份，并需要在勒索軟件攻擊期間修改或刪除哪些文件的詳細信息，以減少恢復工作的范圍。

勒索軟件的風險正在影響各行業(yè)組織。雖然數字化轉型和基礎設施現代化仍然是重中之重，但這些目標通常需要根據維護安全性和業(yè)務連續(xù)性的需要進行修改。勒索軟件預防是任何風險緩解策略的關鍵部分。

事實上，沒有任何企業(yè)愿意在支付高額贖金或因拒絕支付而遭受嚴重損害之間做出選擇。因此，他們應該采取多層次的方法，強調防止勒索病毒攻擊，并為最壞的情況做好準備。