勒索軟件攻擊次數日益增長,原因很簡單,黑客正不斷攫取贖金。受害者支付意愿導致惡性循環(huán),讓攻擊者得寸進尺。此外,網絡風險保險正變得越來越普及,因此公司會毫不猶豫地滿足網絡犯罪分子需求,致使問題進一步惡化。
此外,攻擊次數增加也與威脅手段可用性有關。許多黑客組織提供勒索軟件即服務,因此任何人都可以租用此類威脅侵害,包括利用基礎設施、與受害者談判或訪問可發(fā)布被盜信息的勒索網站。然后贖金被“合作伙伴”瓜分。
但勒索軟件攻擊通常并非始于勒索軟件,而往往是從一封“簡單”的網絡釣魚電子郵件開始。此外,黑客組織經常狼狽為奸。例如,在 Ryuk 勒索軟件攻擊中,Emotet 惡意軟件被用于侵入網絡,然后網絡感染 Trickbot,最后勒索軟件對數據進行了加密。
企業(yè)如何知道自己是否已淪為勒索軟件攻擊受害者,又該如何有效應對呢?如果沒有及時發(fā)現,那么比較簡單,因為企業(yè)會收到一則索要贖金的消息,并將無法訪問企業(yè)數據。
此外,網絡犯罪分子還不斷升級勒索手段,增加贖金支付壓力。最初,勒索軟件“只是”加密數據,并要求受害者支付贖金才會對其進行解鎖。攻擊者很快增加了第二階段并在加密前竊取寶貴信息,并威脅稱如不支付贖金就將其公之于眾。除了加密以外,大約 40% 的新勒索軟件 家族還通過某種方式利用數據竊取。此外,最近勒索手段已發(fā)展到第三階段,被攻擊公司的合作伙伴或客戶也被聯系索要贖金,這是一種稱為 三重勒索 的新伎倆。
Check Point 軟件技術公司事件響應團隊處理過全球無數勒索軟件案例,建議您在遭到勒索軟件攻擊時遵循以下步驟:
1) 保持冷靜
如果貴企業(yè)淪為勒索軟件攻擊受害者,切勿驚慌。請立即聯系您的安全團隊,并對勒索信進行拍照取證,以供執(zhí)法部門執(zhí)行進一步調查。
2) 隔離受感染系統(tǒng)
立即斷開受感染系統(tǒng)與網絡其余部分的連接,防止遭到進一步破壞。同時,確定感染源。當然,如前所述,勒索軟件攻擊通常始于另一威脅,黑客可能已經長期侵入系統(tǒng),逐漸掩蓋其蹤跡,因此在沒有外部協(xié)助的情況下,大多數公司可能無法檢測“零號病人”。
3) 注意備份
攻擊者知道,企業(yè)將嘗試從備份中恢復數據,以避免支付贖金。正因如此,攻擊的一個環(huán)節(jié)通常是嘗試定位并加密或刪除備份。此外,切勿將外部設備連接到受感染設備。恢復加密數據可能會造成損壞,例如,密鑰錯誤所致。因此,創(chuàng)建加密數據副本將非常實用。解密工具也逐漸開發(fā)出來,可幫助破解以前未知的代碼。如果您確有尚未加密的備份,請在完全還原前檢查數據完整性。
4) 請勿重啟或執(zhí)行系統(tǒng)維護
關閉受感染系統(tǒng)上的自動更新及其他維護任務。刪除臨時文件或進行其他更改只會徒增調查和修復復雜度。同時,請勿重啟系統(tǒng),因為某些威脅侵害可能會開始刪除文件。
5) 展開合作
在打擊網絡犯罪,尤其是勒索軟件的保衛(wèi)戰(zhàn)中,協(xié)作是關鍵。因此,請聯系執(zhí)法部門和國家網絡部門,并毫不猶豫地聯系可靠網絡安全公司的專門事件響應團隊。將攻擊事件告知員工,包括發(fā)現任何可疑行為時的處理方法說明。
6) 確定勒索軟件類型
如果攻擊者所發(fā)消息沒有直接說明其勒索軟件類型,那么您可以使用一套免費工具,請訪問 No More Ransom 項目 網站,從中找到專門針對您所遇勒索軟件的解密工具。
7) 是否支付贖金?
如果勒索軟件攻擊成功,企業(yè)將面臨是否支付贖金的選擇。不管怎樣,企業(yè)都必須回到事件伊始,找出事件發(fā)生的原因。無論是人為因素還是技術失靈,再次審查所有流程并重新審視整個策略,確保類似事件不再發(fā)生。無論企業(yè)是否支付贖金,都必須采取這一措施。絕不可因實現某種程度上的數據恢復并認為事件得到解決而感到釋懷。
是否支付贖金呢?答案并不像乍看起來那么簡單。盡管贖金數額有時高達數十萬或數百萬美元,但關鍵系統(tǒng)中斷所造成的損失往往超過上述金額。然而,企業(yè)必須切記,即使支付了贖金,也不意味著數據或部分數據將得以解密。甚至還發(fā)生過這種情況:攻擊者代碼存在漏洞,因此即便他們想要解密,企業(yè)也無法恢復數據。
不要匆忙做出決定,請慎重思量所有選擇。支付贖金應是萬不得已之舉。
如何將淪為下一個勒索軟件受害者的風險降至最低?
1.周末和節(jié)假日要格外警惕。過去一年中,大多數勒索軟件攻擊都發(fā)生在周末或節(jié)假日,此時企業(yè)的威脅響應速度很可能較慢。
2.定期安裝更新和補丁。WannaCry 于 2017 年 5 月重創(chuàng)了全球組織,三天內感染了超過 200,000 臺電腦。然而,在攻擊發(fā)生前一個月,針對被利用的 EternalBlue 漏洞的補丁便已提供。更新和補丁均需即時安裝并采用自動設置。
3.安裝反勒索軟件。反勒索軟件防護可監(jiān)視任何異常活動,例如打開和加密大量文件,如果檢測到任何可疑行為,它可以即時響應并防止大規(guī)模破壞。
4.安全教育是實施防護的重要組成部分。許多網絡攻擊都是從一封不含惡意軟件的針對性電子郵件開始,利用社交工程技術企圖誘騙用戶點擊危險鏈接。因此,用戶安全教育是實施防護的最重要部分之一。
5.勒索軟件攻擊并非始于勒索軟件,因此要警惕其他惡意代碼,例如 Trickbot 或 Dridex,它們會侵入企業(yè)并為后續(xù)勒索軟件攻擊創(chuàng)造條件。
6.備份和歸檔數據必不可少。如果出現問題,您的數據應可輕松快速恢復。必須始終備份,包括在員工設備上自動備份,而非依靠他們記住自己啟動備份。
7.限制僅訪問必要信息并實施分段訪問。如果您希望最大限度地減少潛在成功攻擊的影響,那么務必確保用戶僅可訪問其完成工作所必需的信息和資源。網絡分段將勒索軟件在整個網絡中肆意傳播的風險降至最低。對針對一個系統(tǒng)發(fā)起的勒索軟件攻擊進行善后可能并非易事,而在遭遇全網攻擊后修復損害將更具挑戰(zhàn)性。
京公網安備 11010502049343號