上午九點三十分。您喝完咖啡并查收了郵件,在上網時卻突然發現所有操作都被凍結了。屏幕上彈出了這樣一則消息:
“據查,你訪問了非法內容,你需要支付$$$$$,否則你的設備將被鎖定。”
勒索軟件正在迅速成為2016年企業最關注的網絡安全問題。我們了解到,每天都會出現新的針對來自全球不同行業的企業和個人的勒索策略。潛在的危害是毀滅性的。我們發現了針對瑞士、德國、立陶宛和以色列的攻擊,以及針對美國和加拿大醫院的多個攻擊。
勒索軟件不同于其他類型的攻擊,如高級持續性威脅或多層攻擊,這些攻擊需要花費很長時間才能防御或檢測出來的。勒索軟件會立即表明攻擊身份,然后讓受害者在24-48小時內支付贖金,否則就會遭受損失。
新的復雜攻擊工具
早期的一些勒索軟件工具敲詐的是個人,而這些新工具針對的則是企業,以便獲取更多的經濟利益。Locky、Petya、Cerber和Samas等新變體為很多企業帶來了運營和財務挑戰。他們會加密特定服務器/工作站中的所有文件,只有在付給攻擊者贖金之后才可以解密并恢復這些文件。
Locky通過攜帶了受感染文件的垃圾郵件傳播,并將所有文件的擴展名變更為.locky。
Samas利用Web服務器中的漏洞,在網絡內部進行傳播。
Petya通過網絡釣魚進行傳播,并引入了新的重寫硬盤MBR的方法。
Cerber可以偽裝成Adobe Flash player更新,在下一次重啟時冒充彈出的Windows可執行文件。
在采用了諸如始于2015年的Ransom-DoS等技術后,勒索軟件攻擊現在已經將企業作為網絡的對象。除非支付贖金,否則企業將面臨拒絕服務攻擊的威脅(點擊查看瑞士電子郵件提供商Protonmail是如何克服復雜DDoS勒索攻擊的)。這些多維度攻擊包含通常超過100 Gbps的大流量攻擊和應用層攻擊。攻擊還包括多種加密攻擊,如SSL SYN洪水攻擊,這些攻擊需要高級行為分析技術才可以識別惡意流量并維持合法加密流量流。
Armada的犯罪手法很快就被其他團體復制,如德國的RedDoor和EzBTC_Squad。就像后者的名字所顯示的,他們意識到勒索攻擊是有利可圖的。
下面是一封由RedDoor發送給受害者的郵件:
所有這種類型的攻擊都是以半手工的方式運行的,這就意味著黑客必須參與整個操作,他們以社會工程為起點(在德國,他們利用被感染的簡歷和鏈接攻擊HR部門,在其它一些案例中,他們會專門針對企業高管發起攻擊),隨后,一旦成功入侵,他們就會使用于證書、掃描結果和psexec進行攻擊活動。
這展現了攻擊方式所使用的方法以及勒索軟件的變化情況,同時,由于勒索軟件復雜性和自動化程度的不斷增加,并且可以在移動設備上執行,因此,這也引發了人們對勒索軟件未來發展的真正關注。更重要的是,正如現有的DDoS尋租項目,黑暗網站里也有很多可用的Ransom尋租服務。
勒索軟件是一個快速賺錢的簡單方法。它通過簡單地關閉業務方式,就可以對網絡可用性、企業聲譽和企業運營造成威脅,而且應對和修復的成本很高。一旦它成功侵入了企業網絡,就可以很容易地在多個服務器和工作站中傳播,嚴重影響企業的生產力。此外,以美國醫院為例,如果他們丟失了至關重要的私家病人信息會怎樣?由此提出了一個問題:HIPAA是否解決了與勒索軟件相關的漏洞問題。
勒索軟件迫使企業必須支付一大筆資金(或比特幣)來恢復正常運營。在有限的時間內發現并破解解密密鑰幾乎是一個不可能完成的任務。因此,勒索軟件的成功率很高,因此在網絡犯罪分子中甚為流行。事件響應團隊每周都會處理3到4個勒索軟件事件。
那您該如何做?
研究員Leo Stone發現了Petya程序中的一些缺陷,并發布了解碼工具。
Radware提供了一些保護自身免遭勒索軟件攻擊的技巧,請到Radware 全球官網下載。
京公網安備 11010502049343號