譯者 | 晶顏

審校 | 重樓

勒索軟件格局仍在持續(xù)演變，攻擊者正不斷創(chuàng)新策略來滲透系統(tǒng)并破壞數(shù)據(jù)。鑒于勒索軟件組織已將平均贖金金額提升至驚人的200萬美元，組織必須優(yōu)先考應(yīng)對(duì)慮勒索軟件的準(zhǔn)備方案，以避免毫無準(zhǔn)備和不受保護(hù)所造成的高昂成本。

實(shí)現(xiàn)應(yīng)對(duì)勒索軟件的準(zhǔn)備包括主動(dòng)評(píng)估和降低勒索軟件風(fēng)險(xiǎn)的方法。全面的勒索軟件準(zhǔn)備評(píng)估對(duì)于識(shí)別系統(tǒng)中的漏洞至關(guān)重要，確保您可以實(shí)施有效的措施來保護(hù)數(shù)據(jù)和進(jìn)行操作。這種準(zhǔn)備不僅有助于防御潛在的攻擊，而且還可以在攻擊發(fā)生時(shí)將影響降至最低。

本文將深入研究應(yīng)對(duì)勒索軟件準(zhǔn)備工作的基本組成部分，提供見解和策略來幫助企業(yè)加強(qiáng)自身防御。從了解勒索軟件的最新趨勢，到進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估，以及制定有效的應(yīng)對(duì)計(jì)劃，本文將指導(dǎo)您完成必要的步驟，以加強(qiáng)對(duì)勒索軟件的防范。通過優(yōu)先考慮這些措施，您可以顯著降低成為勒索軟件受害者的風(fēng)險(xiǎn)，以及通常伴隨此類攻擊而來的毀滅性財(cái)務(wù)和聲譽(yù)損失。

了解勒索軟件攻擊

勒索軟件是一種惡意軟件，旨在加密設(shè)備上的文件，使文件和系統(tǒng)無法使用。隨后，惡意行為者通常會(huì)以加密貨幣的形式索要贖金，以換取解密密鑰。如果不支付贖金，勒索軟件攻擊者將威脅出售或泄露竊取的數(shù)據(jù)。

研究表明，勒索軟件攻擊已成為當(dāng)今組織面臨的最普遍且最具破壞性的網(wǎng)絡(luò)威脅之一。這些攻擊通常始于用戶無意中通過網(wǎng)絡(luò)釣魚郵件、惡意網(wǎng)站或受感染的軟件下載了惡意軟件。一旦惡意軟件被執(zhí)行，它就會(huì)迅速加密受害者的文件，將他們鎖定在關(guān)鍵數(shù)據(jù)和應(yīng)用程序之外。

勒索軟件的一個(gè)顯著特征是它的“雙重威脅”性質(zhì)。它不僅會(huì)加密數(shù)據(jù)以破壞業(yè)務(wù)操作，還經(jīng)常涉及數(shù)據(jù)泄露。攻擊者先竊取敏感信息，并以此為籌碼威脅如果他們的要求得不到滿足，就釋放或出售這些數(shù)據(jù)。這種形式的“雙重勒索”大大增加了受害者支付贖金要求的壓力，因?yàn)閿?shù)據(jù)泄露和機(jī)密信息暴露的可能性會(huì)導(dǎo)致無法挽回的聲譽(yù)和財(cái)務(wù)損失。

多年來，勒索軟件持續(xù)發(fā)展，攻擊者不斷開發(fā)更復(fù)雜的策略來增加成功的幾率?，F(xiàn)代勒索軟件變種通常使用先進(jìn)的加密算法，如果沒有解密密鑰，幾乎不可能破解。此外，勒索軟件活動(dòng)的目標(biāo)也越來越明確，攻擊者進(jìn)行了廣泛的研究，以鎖定高價(jià)值目標(biāo)，例如醫(yī)療保健組織、金融機(jī)構(gòu)和大型企業(yè)，這些目標(biāo)更有可能支付大筆贖金。

勒索軟件風(fēng)險(xiǎn)演變過程

傳統(tǒng)上，勒索軟件的運(yùn)作模式是“機(jī)會(huì)主義”勒索，攻擊者撒下一張大網(wǎng)，誘騙個(gè)人受害者一次性付款。隨著勒索軟件即服務(wù)（RaaS）模式的出現(xiàn)，網(wǎng)絡(luò)犯罪分子開始利用更有組織、更商業(yè)化的方法來部署攻擊，使其能夠最大限度地破壞和獲取潛在的贖金。自此，威脅形勢可謂發(fā)生了翻天覆地地變化。

RaaS降低了業(yè)余威脅行為者部署勒索軟件的門檻，允許他們通過租用惡意軟件和入侵劇本實(shí)現(xiàn)大規(guī)模的攻擊部署。這導(dǎo)致攻擊的頻率和復(fù)雜程度激增，對(duì)網(wǎng)絡(luò)安全防御戰(zhàn)略產(chǎn)生了深遠(yuǎn)影響。

具體來看，勒索軟件風(fēng)險(xiǎn)的演變過程可以概述為如下方面：

過去：局部的勒索軟件攻擊

• 獨(dú)立工具部署；
• 文件加密和竊??；
• 可能出現(xiàn)單一備份。

現(xiàn)在：內(nèi)部DoS

• 通過任何必要方式實(shí)現(xiàn)訪問；
• 勒索軟件作為催化劑；
• 無法恢復(fù)的受損備份；
• 大范圍的破壞；
• 對(duì)服務(wù)器和基礎(chǔ)機(jī)構(gòu)的特權(quán)憑據(jù)訪問；
• 涉及贖金、勒索和出售數(shù)據(jù)等多種牟利方式；
• 引入勒索軟件即服務(wù)（RaaS）模式。

未來：升級(jí)的RaaS

• 自動(dòng)化的持續(xù)和廣泛應(yīng)用；
• 有組織化的破壞；
• 跨外包軟件的數(shù)據(jù)加密，其中憑據(jù)訪問將擴(kuò)展至SaaS系統(tǒng)（包括會(huì)計(jì)、薪資、CRM等）。

勒索軟件攻擊媒介

勒索軟件攻擊利用各種攻擊媒介滲透系統(tǒng)并部署惡意有效載荷。了解這些媒介對(duì)于預(yù)防勒索病毒感染和降低勒索病毒風(fēng)險(xiǎn)至關(guān)重要。

1.網(wǎng)絡(luò)釣魚和商業(yè)電子郵件攻擊

勒索軟件攻擊的主要載體仍然是網(wǎng)絡(luò)釣魚電子郵件，它涉及發(fā)送看似合法的欺騙性電子郵件，誘騙收件人點(diǎn)擊惡意鏈接或下載受感染的附件。商業(yè)電子郵件攻擊（BEC）是一種復(fù)雜的網(wǎng)絡(luò)釣魚形式，攻擊者可以訪問企業(yè)電子郵件帳戶并使用它進(jìn)行欺詐活動(dòng)，包括分發(fā)勒索軟件。

與以往的網(wǎng)絡(luò)釣魚郵件和BEC攻擊不同，惡意郵件的語言和風(fēng)格已經(jīng)發(fā)生了很大的變化——特別是隨著ChatGPT等生成式人工智能工具的引入。攻擊者現(xiàn)在可以使用這些工具使他們的電子郵件看起來更逼真，甚至可以匹配一個(gè)人自己的風(fēng)格和語言。這使得用戶更難以區(qū)分真正的電子郵件和網(wǎng)絡(luò)釣魚電子郵件，因此必須格外警惕。

2.基于瀏覽器的攻擊

除此之外，各種社會(huì)工程策略也開始興起，以提高攻擊者成功的機(jī)會(huì)。其中一種策略是搜索引擎優(yōu)化（SEO）中毒，即創(chuàng)建惡意網(wǎng)站，然后對(duì)其進(jìn)行優(yōu)化，以在搜索引擎結(jié)果中排名靠前。毫無戒心的用戶在搜索合法信息時(shí)可能會(huì)無意中訪問這些受感染的站點(diǎn)，從而導(dǎo)致勒索軟件感染。網(wǎng)絡(luò)犯罪分子還會(huì)利用惡意廣告，在熱門網(wǎng)站的廣告中嵌入惡意軟件，誘騙用戶下載勒索軟件。

3.濫用遠(yuǎn)程桌面協(xié)議

遠(yuǎn)程桌面協(xié)議（RDP）允許遠(yuǎn)程訪問計(jì)算機(jī)，以便用戶從另一個(gè)位置控制它。網(wǎng)絡(luò)犯罪分子會(huì)利用弱的或受損的RDP憑據(jù)來獲得對(duì)系統(tǒng)的未經(jīng)授權(quán)訪問，然后他們可以使用這些訪問來部署勒索軟件。使用強(qiáng)密碼、多因素身份驗(yàn)證和定期監(jiān)控來保護(hù)RDP對(duì)于降低這種風(fēng)險(xiǎn)至關(guān)重要。

4.濫用憑據(jù)

攻擊者經(jīng)常從以前的入侵活動(dòng)或通過交易市場獲得被盜或泄露的憑據(jù)。有了這些憑據(jù)，他們就可以獲得對(duì)網(wǎng)絡(luò)和系統(tǒng)的未經(jīng)授權(quán)訪問，從而允許他們橫向移動(dòng)和部署勒索軟件。

為應(yīng)對(duì)勒索軟件做好準(zhǔn)備

想要完全阻止勒索軟件是不現(xiàn)實(shí)的，因?yàn)槔账鬈浖羰侨绱似毡椤?/span>但了解如何準(zhǔn)備和防御勒索軟件攻擊仍然至關(guān)重要。防范勒索軟件風(fēng)險(xiǎn)的關(guān)鍵策略包括強(qiáng)化系統(tǒng)、制定嚴(yán)格的預(yù)防措施、實(shí)現(xiàn)勒索軟件檢測和響應(yīng)、部署恢復(fù)措施，以及通知相關(guān)當(dāng)局和受影響方的應(yīng)對(duì)計(jì)劃。

預(yù)測勒索軟件攻擊

組織需要通過以下方式預(yù)測勒索軟件攻擊：

• 將初始訪問向量作為勒索軟件風(fēng)險(xiǎn)的關(guān)鍵領(lǐng)域，并設(shè)計(jì)網(wǎng)絡(luò)安全策略，包括實(shí)施強(qiáng)大的電子郵件安全解決方案，執(zhí)行強(qiáng)大的密碼策略，以及監(jiān)控遠(yuǎn)程訪問協(xié)議，以顯著降低未經(jīng)授權(quán)訪問的風(fēng)險(xiǎn)。
• 通過滲透測試解決方案、漏洞掃描工具以及網(wǎng)絡(luò)釣魚和安全意識(shí)培訓(xùn)計(jì)劃進(jìn)行年度評(píng)估和測試。
• 部署端點(diǎn)檢測和響應(yīng)（EDR）解決方案，實(shí)時(shí)監(jiān)控和響應(yīng)端點(diǎn)上的可疑活動(dòng)。
• 利用主動(dòng)威脅搜索功能和威脅情報(bào)服務(wù)，隨時(shí)了解最新的網(wǎng)絡(luò)威脅、戰(zhàn)術(shù)和漏洞。

抵御勒索軟件攻擊

組織需要能夠防御勒索軟件，并在其進(jìn)一步傳播之前阻止它。為此，建議組織遵循如下策略：

• 與全天候MDR服務(wù)提供商合作，獲得全天候威脅檢測和響應(yīng)能力，從而持續(xù)監(jiān)控整個(gè)環(huán)境，實(shí)時(shí)遏制威脅。
• 了解攻擊者的存在，評(píng)估立足點(diǎn)，并對(duì)抗持久的訪問嘗試。
• 訪問原始威脅研究及基于最新威脅情報(bào)的見解，以領(lǐng)先于新出現(xiàn)的威脅、漏洞和勒索軟件風(fēng)險(xiǎn)。

從勒索軟件攻擊中恢復(fù)

從勒索軟件攻擊中恢復(fù)需要一個(gè)協(xié)調(diào)良好的響應(yīng)策略，優(yōu)先恢復(fù)操作，保護(hù)系統(tǒng)，并從事件中學(xué)習(xí)以防止未來的攻擊。具體建議如下：

• 快速隔離受感染的設(shè)備和網(wǎng)絡(luò)，防止勒索軟件進(jìn)一步傳播。
• 立即激活事件響應(yīng)計(jì)劃（IRP）以確保協(xié)調(diào)響應(yīng)。該計(jì)劃應(yīng)包括控制攻擊、根除勒索軟件、恢復(fù)系統(tǒng)以及與利益相關(guān)者溝通的步驟。一些事件響應(yīng)提供商將提供IR就緒服務(wù)，通過提高事件響應(yīng)的效率和有效性，幫助您超越傳統(tǒng)的IR計(jì)劃，從而消除停機(jī)風(fēng)險(xiǎn)。
• 通知關(guān)鍵的利益相關(guān)者（包括您的執(zhí)行領(lǐng)導(dǎo)團(tuán)隊(duì)、員工、客戶和合作伙伴）有關(guān)攻擊的情況。如有必要，請通知執(zhí)法機(jī)構(gòu)和監(jiān)管機(jī)構(gòu)，特別是在敏感數(shù)據(jù)泄露涉嫌違反法規(guī)遵從性的情況下。
• 徹底清理受感染的系統(tǒng)，以清除勒索軟件的所有痕跡，這可能涉及重新映像受影響的設(shè)備，重新安裝操作系統(tǒng)，以及恢復(fù)應(yīng)用程序和數(shù)據(jù)。
• 聘請事件響應(yīng)專家協(xié)助恢復(fù)過程，幫助進(jìn)行取證分析，并提供有關(guān)補(bǔ)救步驟的指導(dǎo)。請記住，在發(fā)生勒索軟件攻擊時(shí)，有效的事件響應(yīng)服務(wù)可快速實(shí)現(xiàn)控制，具有穩(wěn)定性和組織性。

原文標(biāo)題：Top Strategies for Ensuring Ransomware Readiness in 2024，作者：Mitangi Parekh