三個勒索團伙都以同一個遠程桌面協議(RDP)的錯誤配置為切入點發動襲擊，他們各自執行勒索軟件、加密數據、留下贖金要求，其中一些文件甚至被三重加密。

 

值得玩味的是，本起攻擊事件中，第三家黑客組織BlackCat在撤場前不僅清理了自家活動痕跡，還將前兩個攻擊者LockBit和Hive的行為日志一并刪除掉。

 

“同一時間段發起攻擊”、“基于相同的漏洞獲取網絡權限”、“日志信息一起刪除”——三起攻擊的相似之處不止一星半點，難道是巧合嗎?

 

盡管目前研究人員尚未找到證據證明這三起攻擊是犯罪分子協調好的預謀行為，但需要警覺的是，一股不同尋常的攻擊風向正在勒索網絡中興起。

 

 

在一般認知里，地下網絡犯罪集團之間大多存在黑吃黑的情況：他們相互爭奪資源，千方百計阻止對方擴張，比如加密礦工通常會在同一個系統上滅掉競爭對手，遠程訪問木馬(RAT) 看到其他惡意軟件家族也會將其從受感染的系統中踢出去……

 

不過勒索軟件攻擊者似乎并沒有遵循這一趨勢，除了前述BlackCat幫忙刪除前兩家黑客組織活動日志，還有個例子是黑客組織Karakurt Team曾利用LockBit勒索團伙創建的后門竊取數據并勒索贖金。

 

為什么勒索軟件攻擊者們會達成這種友好的合作呢?可能有如下原因：

 

●勒索團伙之間不存在爭奪CPU資源或僵尸網絡規模的利益沖突，所以沒必要扼殺競爭。

 

●初始訪問代理 (IAB)為勒索軟件鋪平了道路。初始訪問代理就是那些販賣網絡初始訪問權限的人，他們先通過多種方式，如暴力訪問遠程桌面協議(RDP)或遠程管理軟件、利用系統中未修補的漏洞等獲得受害者網絡初始訪問權限，之后再轉售他人以獲利。

 

自此網絡犯罪分子不必在前期投入大量時間去識別目標、破解密鑰，只需將精力用在部署更多攻擊活動上，從而獲得更高收益。

 

●近些年勒索軟件的暴利吸引了不少犯罪者加入，勒索軟件即服務(RaaS)也降低了網絡攻擊的門檻，在這個狼多肉少的擁擠市場上，黑客們可能認為對目標施加的壓力越大(多次攻擊)，受害者支付的可能性就越高。

 

多重攻擊現象對企業意味著災難，一個綁匪的贖金要求已經吃不消了，更何況這些綁匪的數量要乘以N，多份贖金加起來，恐怕數十萬、數百萬乃至數千萬美金都打不住。

 

另外，受害者不僅要面對更多對手，而且業務數據經過重疊加密，要想在短時間內從這些攻擊中恢復過來，技術困難可能難于上青天。

 

化被動為主動

 

雖然黑客攻擊手段不斷翻新，網絡威脅形勢一直在演變升級，但這并非無解，應對安全風險，首要的法子是避免成為受害者。

 

組織可以在整個網絡中實施強密碼和多因素身份驗證，如上述三重攻擊事件所示，遠程桌面協議等給黑客的登堂入室大開方便之門，但使用復雜密碼和多因素身份驗證在很大程度上可以抵御賬戶入侵威脅。

 

黑客用以入侵網絡的另一種常見手段是利用漏洞，對此組織必須盡快應用安全更新，該打補丁打補丁，以免不法分子濫用已知漏洞與修復程序發起勒索攻擊。

 

另外，如果組織自身應對網絡威脅的能力有限，可以信賴戴爾科技集團這樣的專業選手。面對數據時代下的安全訴求，戴爾科技集團以全面完善的技術、解決方案和多種現代化手段，幫助企業加強數據安全、提高網絡彈性，筑牢安全根基。

 

為了更好地幫助用戶應對數據安全挑戰，戴爾科技集團著力構建了“三位一體”的數據保護策略，即備份(BR)+容災(DR)+數據避風港(CR)，讓企業用戶面對不同威脅時可按需采取不同的保護措施。

 

“三位一體”數據保護以PowerProtect DD系列產品為基礎構建，PowerProtect DD可無縫集成用戶的現有環境與新型應用，建立統一的數據保護資源池，打破備份數據孤島，簡化多云工作負載的數據保護流程。

 

* PowerProtect DD數據保護專用存儲設備采用英特爾®Xeon®可擴展處理器，可以快速、安全、高效地保護和管理用戶數據，并為多云工作負載實現簡化和高效運營。

 

在這個數據保護體系中，備份(BR)方案以可靠、快速、低成本的恢復策略可滿足企業用戶對大規模數據的備份需求，容災(DR)方案可為關鍵業務數據提供全面且高效的保護，避風港(CR)方案可自動執行端到端工作流，保護和隔離關鍵數據、識別可疑活動，并在需要時執行數據恢復，提高業務從網絡攻擊中恢復的能力。

 

特別值得一提的是PowerProtect Cyber Recovery避風港(CR)方案，作為應對網絡威脅的大殺器，PowerProtect Cyber Recovery于2020年得到美國銀行家協會聯合多家金融機構和協會成立的非營利組織Sheltered Harbor正式認可，多年來在全球多個行業守護多家客戶的網絡安全。

 

Cyber Recovery 通過Air Gap網閘隔離機制和副本鎖定機制阻斷勒索病毒感染備份數據的可能性。為防止備份文件被惡意刪除，系統同時對隔離保存庫內的數據進行鎖定，確保備份數據副本不可加密、不可篡改、不可刪除。一旦“最壞情況”發生，還可迅速對數據進行隔離、清洗、掃描，讓核心業務起死回生。

 

同時，CyberSense可對存儲區的所有數據執行完整的內容索引以確認完整性，并且在文件可能發生損害時發出報警，從而主動識別風險。借助Cyber Recovery方案，當生產系統的數據和備份數據遭遇勒索軟件加密，數據避風港會基于干凈的數據實現數據恢復和業務還原，提高數據保護和恢復的成功性，提升企業部署方案的信心。

 

在層出不窮的網絡威脅態勢下，戴爾科技集團永遠是您值得信賴的合作伙伴，我們提供全面的網絡彈性，助您安全地進行業務創新并實現突破。

 

如果您想了解更多有關戴爾科技的產品和解決方案信息，請掃描以下二維碼咨詢戴爾官方客服。