看看勒索軟件生命周期的不同階段，以便更好地了解攻擊者如何發(fā)動(dòng)攻擊以及防御者如何更好地抵抗。

1. 目標(biāo)選擇與偵察

勒索軟件團(tuán)伙就像銀行劫匪一樣，需要一個(gè)有能力支付贖金的目標(biāo)。攻擊者會(huì)收集公開數(shù)據(jù)，包括查找目標(biāo)網(wǎng)站的所有者和運(yùn)營(yíng)者，以確定該網(wǎng)站是自主管理的，還是已將管理外包給云服務(wù)提供商或其他實(shí)體。攻擊者還可能試圖收集網(wǎng)站關(guān)鍵人員的信息，有時(shí)甚至試圖在社交媒體上與他們建立信任。一旦建立信任，目標(biāo)個(gè)人就更容易受到通過鏈接或電子郵件傳播的惡意軟件的攻擊。

對(duì)于受害組織而言，被選中并非他們所能掌控。企業(yè)避免這種命運(yùn)的最佳方式是強(qiáng)化防御，降低受攻擊的幾率。這可以通過做好用戶和系統(tǒng)的準(zhǔn)備來(lái)實(shí)現(xiàn)。一些常見的防御措施包括用戶安全意識(shí)培訓(xùn)、補(bǔ)丁安裝和常規(guī)的網(wǎng)絡(luò)衛(wèi)生實(shí)踐。

2.惡意軟件傳播和感染

網(wǎng)絡(luò)釣魚、惡意網(wǎng)站上的惡意鏈接以及社交媒體垃圾郵件是常見的惡意軟件傳播手段。這些手段之所以持續(xù)存在，是因?yàn)楸M管用戶接受了安全意識(shí)培訓(xùn)，但它們?nèi)匀挥行?。目?biāo)用戶可能很著急、精神負(fù)擔(dān)過重、想提供幫助，或者僅僅是出于好奇。無(wú)論出于何種原因，他們都會(huì)落入陷阱。一旦點(diǎn)擊鏈接或附件，惡意軟件就會(huì)運(yùn)行，滲透就此開始。

另一種勒索軟件攻擊方式是社交媒體垃圾郵件。這種方法在一定程度上依賴于點(diǎn)擊誘餌。視頻或鏈接看起來(lái)太有吸引力，目標(biāo)用戶難以抗拒，出于好奇或因?yàn)榭雌饋?lái)像是來(lái)自可信的發(fā)件人，他們就會(huì)點(diǎn)擊。

竊取用戶憑證也可能是勒索軟件傳播的因素之一。如果網(wǎng)絡(luò)犯罪分子通過釣魚計(jì)劃或惡意鏈接提前獲取登錄憑證，他們就可以通過受信任的用戶植入勒索軟件。

研究人員還發(fā)現(xiàn)，利用服務(wù)漏洞作為攻擊媒介的情況日益增多。攻擊者并非創(chuàng)建并使用傳播軟件，而是有時(shí)會(huì)利用面向公眾的應(yīng)用程序中已知的漏洞。鑒于用戶已經(jīng)接受了更深入的培訓(xùn)，能夠更好地避開可疑鏈接，攻擊者可能會(huì)認(rèn)為這種途徑更有希望。

安全供應(yīng)商發(fā)現(xiàn)，攻擊者越來(lái)越多地將合法工具（例如操作系統(tǒng)功能或軟件）作為攻擊目標(biāo)。利用遠(yuǎn)程桌面服務(wù)就是這種策略的一個(gè)例子。通過混入合法流量，攻擊者可以更好地隱藏在眾目睽睽之下。此外，這些更隱蔽的攻擊有時(shí)可以逃避傳統(tǒng)的檢測(cè)軟件，因?yàn)閭鹘y(tǒng)的檢測(cè)軟件依賴于發(fā)現(xiàn)可疑的新進(jìn)程或新端口的開放。

3. 命令與控制

命令和控制階段仍然是勒索軟件殺傷鏈的核心要素。

一旦成功感染目標(biāo)設(shè)備，惡意軟件通常會(huì)開始與命令與控制服務(wù)器（C&C 服務(wù)器）進(jìn)行通信。在威脅行為者的控制下，該外部服務(wù)器負(fù)責(zé)向目標(biāo)設(shè)備發(fā)送加密密鑰。還可能下載其他惡意軟件和網(wǎng)絡(luò)探測(cè)軟件。

4. 探索和橫向移動(dòng)

在此階段，攻擊者會(huì)尋找途徑深入滲透組織的 IT 系統(tǒng)，通常是通過濫用員工憑證或管理員賬戶。如果成功，他們可以造成更大的破壞并竊取寶貴的數(shù)據(jù)。這種在不被察覺的情況下跨系統(tǒng)攻擊的能力被稱為橫向移動(dòng)。

現(xiàn)在，這一運(yùn)動(dòng)通過人工智能得到了增強(qiáng)，它可以在主機(jī)上進(jìn)行探測(cè)和響應(yīng)，而不需要與外部控制服務(wù)器通信。

橫向移動(dòng)使勒索軟件攻擊者能夠在加密之前最大限度地滲透。如果利用零日漏洞，攻擊者可以在不被發(fā)現(xiàn)的情況下滲透多個(gè)站點(diǎn)，從而傳播攻擊并最大化潛在獲利能力。云環(huán)境仍然是頗具吸引力的目標(biāo)，因?yàn)榭赡転楣粽咛峁┰L問許多站點(diǎn)以及虛擬機(jī)管理程序的權(quán)限，而虛擬機(jī)管理程序是某些安全工具無(wú)法觸及的層級(jí)。

微軟和其他公司已經(jīng)注意到勒索軟件團(tuán)體利用橫向移動(dòng)來(lái)提升訪問權(quán)限并操縱目標(biāo)安全產(chǎn)品內(nèi)的設(shè)置，從而使他們擁有更大的移動(dòng)自由而不會(huì)觸發(fā)警報(bào)。

5. 數(shù)據(jù)泄露和加密

一旦被發(fā)現(xiàn)，數(shù)據(jù)就會(huì)被復(fù)制，然后被竊取。泄露通常是安全軟件首次檢測(cè)到錯(cuò)誤的時(shí)刻。

這也是勒索軟件攻擊的階段，攻擊者可能會(huì)加密竊取的數(shù)據(jù)。加密是典型的加密勒索軟件策略。惡意攻擊者會(huì)提供解密密鑰，以換取贖金。

最近，一些攻擊者決定跳過這一步。賽門鐵克在其2024年威脅報(bào)告中表示，其觀察到無(wú)加密攻擊有所增加。在不加密的情況下進(jìn)行數(shù)據(jù)泄露可以顯著減少攻擊者在勒索軟件操作上花費(fèi)的時(shí)間。相反，勒索軟件團(tuán)伙會(huì)使用一小段數(shù)據(jù)來(lái)讓目標(biāo)組織誤以為他們擁有完整的數(shù)據(jù)集。

6. 敲詐勒索

此時(shí)，勒索軟件目標(biāo)通常會(huì)看到包含以下部分或全部信息的消息：

• 感染通知。
• 犯罪分子為獲取解密密鑰所要求的金額。
• 提交付款的說明。
• 倒計(jì)時(shí)器用于指示攻擊者在永久竊取數(shù)據(jù)或增加贖金金額之前等待贖金支付的時(shí)間。

如果網(wǎng)絡(luò)犯罪分子將文件上傳到 C&C 服務(wù)器，還可能威脅公開發(fā)布數(shù)據(jù)，這種策略被稱為雙重勒索軟件。三重勒索軟件涉及第三個(gè)元素，例如DDoS攻擊或?qū)δ繕?biāo)組織的客戶或合作伙伴的并行勒索。

圖片

受害者和攻擊者之間的動(dòng)態(tài)發(fā)生了一些變化。

以往，目標(biāo)遭受勒索軟件攻擊后，會(huì)在等待解密密鑰期間關(guān)閉系統(tǒng)，而現(xiàn)在的對(duì)抗更具互動(dòng)性。攻擊者可能會(huì)加密復(fù)制的有效載荷，但受害組織可能擁有可用的備份，意味著它不需要返還整個(gè)數(shù)據(jù)集。這種動(dòng)態(tài)使得與勒索軟件團(tuán)伙談判以獲得較小數(shù)據(jù)子集的密鑰或同意較低的贖金成為可能。談判是勒索軟件相關(guān)支付金額減少的一個(gè)因素。

7. 解決方案和升級(jí)

先進(jìn)的安全工具和技術(shù)可以降低入侵風(fēng)險(xiǎn)，并提高發(fā)現(xiàn)和阻止勒索軟件攻擊（如果正在進(jìn)行）的幾率。

考慮以下幾點(diǎn)：

• 自動(dòng)補(bǔ)丁管理。惡意軟件經(jīng)常利用設(shè)備操作系統(tǒng)或應(yīng)用程序中未修補(bǔ)的漏洞。自動(dòng)修復(fù)已知軟件安全漏洞的補(bǔ)丁管理工具可以顯著降低勒索軟件攻擊的可能性。
• 反惡意軟件和防病毒軟件。反惡意軟件和防病毒軟件有助于識(shí)別和防御已知的勒索軟件變種。安裝在設(shè)備和電子郵件應(yīng)用程序中后，這些工具可以阻止與已知惡意域的通信，并阻止可識(shí)別惡意軟件的安裝。
• 異常檢測(cè)軟件?；谌斯ぶ悄艿漠惓z測(cè)功能（例如用戶行為分析軟件中的功能）會(huì)持續(xù)掃描網(wǎng)絡(luò)流量以識(shí)別可疑活動(dòng)。確認(rèn)勒索軟件入侵后，安全團(tuán)隊(duì)可以隔離受感染的設(shè)備，以防止進(jìn)一步的橫向移動(dòng)和感染。
• 網(wǎng)絡(luò)微分段。 微分段可幫助 IT 團(tuán)隊(duì)限制橫向移動(dòng)。將網(wǎng)絡(luò)邏輯劃分為精細(xì)的子網(wǎng)，每個(gè)子網(wǎng)都具有定制的訪問控制規(guī)則，從而防止惡意軟件感染的傳播。

改進(jìn)的縱深防御策略依賴于多種檢測(cè)、保護(hù)和強(qiáng)化技術(shù)，以降低潛在攻擊鏈中每個(gè)環(huán)節(jié)的風(fēng)險(xiǎn)。為了防范新的勒索軟件行為，請(qǐng)考慮兩種策略。首先，進(jìn)一步加強(qiáng)安全控制，以檢測(cè)其他進(jìn)程活動(dòng)和有效載荷移動(dòng)。其次，訓(xùn)練安全編排和自動(dòng)響應(yīng)軟件，以檢測(cè)并修復(fù)表明存在異?；顒?dòng)的環(huán)境變化。

勒索軟件的演變和攻擊者行為的變化是不可避免的，而且很可能還會(huì)繼續(xù)演變，變得更加隱蔽。這些變化可以說反映了勒索服務(wù)的商品化。勒索軟件即服務(wù)的興起導(dǎo)致攻擊者的數(shù)量激增。為了保護(hù)數(shù)據(jù)安全，網(wǎng)絡(luò)安全專業(yè)人員需要跟上這些不斷變化的勒索軟件威脅的步伐。