上午九点三十分。您喝完咖啡并查收了邮件,在上网时却突然发现所有操作都被冻结了。屏幕上弹出了这样一则消息:
“据查,你访问了非法内容,你需要支付$$$$$,否则你的设备将被锁定。”
勒索软件正在迅速成为2016年企业最关注的网络安全问题。我们了解到,每天都会出现新的针对来自全球不同行业的企业和个人的勒索策略。潜在的危害是毁灭性的。我们发现了针对瑞士、德国、立陶宛和以色列的攻击,以及针对美国和加拿大医院的多个攻击。
勒索软件不同于其他类型的攻击,如高级持续性威胁或多层攻击,这些攻击需要花费很长时间才能防御或检测出来的。勒索软件会立即表明攻击身份,然后让受害者在24-48小时内支付赎金,否则就会遭受损失。
新的复杂攻击工具
早期的一些勒索软件工具敲诈的是个人,而这些新工具针对的则是企业,以便获取更多的经济利益。Locky、Petya、Cerber和Samas等新变体为很多企业带来了运营和财务挑战。他们会加密特定服务器/工作站中的所有文件,只有在付给攻击者赎金之后才可以解密并恢复这些文件。
· Locky通过携带了受感染文件的垃圾邮件传播,并将所有文件的扩展名变更为.locky。
· Samas利用Web服务器中的漏洞,在网络内部进行传播。
· Petya通过网络钓鱼进行传播,并引入了新的重写硬盘MBR的方法。
· Cerber可以伪装成Adobe Flash player更新,在下一次重启时冒充弹出的Windows可执行文件。
在采用了诸如始于2015年的Ransom-DoS等技术后,勒索软件攻击现在已经将企业作为网络的对象。除非支付赎金,否则企业将面临拒绝服务攻击的威胁(点击查看瑞士电子邮件提供商Protonmail是如何克服复杂DDoS勒索攻击的)。这些多维度攻击包含通常超过100 Gbps的大流量攻击和应用层攻击。攻击还包括多种加密攻击,如SSL SYN洪水攻击,这些攻击需要高级行为分析技术才可以识别恶意流量并维持合法加密流量流。
Armada的犯罪手法很快就被其他团体复制,如德国的RedDoor和EzBTC_Squad。就像后者的名字所显示的,他们意识到勒索攻击是有利可图的。
下面是一封由RedDoor发送给受害者的邮件:
所有这种类型的攻击都是以半手工的方式运行的,这就意味着黑客必须参与整个操作,他们以社会工程为起点(在德国,他们利用被感染的简历和链接攻击HR部门,在其它一些案例中,他们会专门针对企业高管发起攻击),随后,一旦成功入侵,他们就会使用于证书、扫描结果和psexec进行攻击活动。
这展现了攻击方式所使用的方法以及勒索软件的变化情况,同时,由于勒索软件复杂性和自动化程度的不断增加,并且可以在移动设备上执行,因此,这也引发了人们对勒索软件未来发展的真正关注。更重要的是,正如现有的DDoS寻租项目,黑暗网站里也有很多可用的Ransom寻租服务。
勒索软件是一个快速赚钱的简单方法。它通过简单地关闭业务方式,就可以对网络可用性、企业声誉和企业运营造成威胁,而且应对和修复的成本很高。一旦它成功侵入了企业网络,就可以很容易地在多个服务器和工作站中传播,严重影响企业的生产力。此外,以美国医院为例,如果他们丢失了至关重要的私家病人信息会怎样?由此提出了一个问题:HIPAA是否解决了与勒索软件相关的漏洞问题。
勒索软件迫使企业必须支付一大笔资金(或比特币)来恢复正常运营。在有限的时间内发现并破解解密密钥几乎是一个不可能完成的任务。因此,勒索软件的成功率很高,因此在网络犯罪分子中甚为流行。事件响应团队每周都会处理3到4个勒索软件事件。
那您该如何做?
研究员Leo Stone发现了Petya程序中的一些缺陷,并发布了解码工具。
Radware提供了一些保护自身免遭勒索软件攻击的技巧,请到Radware 全球官网下载。
原文发布时间为:2016-04-26