入侵→加密→要贖金

 

黑客憑這套商業(yè)模式橫行多年

 

受害者之所以前赴后繼付贖金

 

是因為他們相信

 

給錢就能如愿拿到密鑰

 

盡快恢復(fù)業(yè)務(wù)

 

可有的時候

 

自系統(tǒng)被加密的那一刻起

 

數(shù)據(jù)就拿不回來了

 

今年10月，網(wǎng)上出現(xiàn)了一種名為Cryptonite的開源勒索軟件包。它使用Python編碼，利用加密包中的Fernet模塊對擴展名為“.cryptn8”的文件進行加密，主要使用網(wǎng)絡(luò)釣魚的方式對目標(biāo)進行入侵。

 

可根據(jù)安全人員的研究，Cryptonite作為勒索軟件存在嚴(yán)重的先天不足：它可以鎖定文件，卻無法重新解密，即使支付了贖金也是如此。

 

研究人員認(rèn)為，Cryptonite之所以這樣并不是故意設(shè)計的惡意破壞行為，而是因為勒索軟件組合不當(dāng)，其自身的弱架構(gòu)和編程迅速將其變成一個不允許數(shù)據(jù)恢復(fù)的擦除器。

 

如果Cryptonite崩潰或剛剛關(guān)閉，它就不能恢復(fù)加密文件，也無法在僅解密模式下運行——因此每次運行勒索軟件時，它都會使用不同的密鑰重新加密所有內(nèi)容。

 

這再次為廣大企業(yè)敲響警鐘

 

付贖金≠拿回數(shù)據(jù)

 

也許與支付贖金相比，從勒索軟件中恢復(fù)的成本更高;也許企業(yè)認(rèn)為付贖金可以降低業(yè)務(wù)長時間停機造成的損失;也許企業(yè)不希望暴露客戶或員工的數(shù)據(jù)……多重考慮之下，遭遇勒索攻擊后付贖金似乎是更好、更便宜的途徑。

 

但無論何時都不建議受害者付贖金，因為付贖金后，你非但解決不了問題，反而會變得更窮。

 

拿不回數(shù)據(jù)

 

根據(jù)2021年Sophos報告，支付了贖金的企業(yè)中，只有8%拿回了所有數(shù)據(jù)，29%的組織恢復(fù)的加密數(shù)據(jù)不超過一半。

 

我們不能跟犯罪分子講誠信，正像你無法希望豺狼長著菩薩心腸。即使受害者付費，也不能保證攻擊者會返回數(shù)據(jù)或解密密鑰，將數(shù)據(jù)恢復(fù)到攻擊前的位置。相反，他們還可能簡單地清空您的所有數(shù)據(jù)，甚至將其公開到互聯(lián)網(wǎng)，供所有人訪問和使用。

 

而且，從勒索軟件事件中恢復(fù)很少是一個快速的過程，調(diào)查、系統(tǒng)重建和數(shù)據(jù)恢復(fù)通常需要數(shù)周的時間，從這個層面上講，付贖金就能更快恢復(fù)業(yè)務(wù)的期望并不成立。

 

遭遇重復(fù)攻擊

 

即便受害者已經(jīng)付過贖金，勒索團體可能還會要求再次付款——第一次用于購買解密密鑰，而第二次支付以確保數(shù)據(jù)不被泄露。

 

更糟糕的是，積極付贖金有可能被打上“容易得手”的標(biāo)簽，如果組織在網(wǎng)絡(luò)犯罪團伙中享有“積極付款人”的聲譽，就跟小偷在家門前畫了標(biāo)記一樣，可能招致更多勒索攻擊。

 

事實上確實如此，根據(jù)Cybereason的一項研究，在支付了贖金的勒索軟件受害者中，有80%遭遇了另一次勒索攻擊。

 

助長網(wǎng)絡(luò)犯罪

 

除了可能導(dǎo)致受害者“人財兩空”，付贖金還會間接危害更多行業(yè)的更多用戶。

 

你付贖金的行為實際上就是在資助網(wǎng)絡(luò)攻擊事業(yè)——犯罪分子可以將收到的錢用來擴大再生產(chǎn)，比如購買更好的工具，精準(zhǔn)探測漏洞，成立更多分支機構(gòu)并擴展勒索軟件等。

 

尤其是現(xiàn)在開源勒索軟件和勒索即服務(wù)降低了攻擊的門檻，越來越多的人加入到網(wǎng)絡(luò)犯罪中，只要有受害者付贖金，黑客這套可持續(xù)且有利可圖的商業(yè)模式就能一直運轉(zhuǎn)下去。因此，付贖金只會導(dǎo)致更多勒索攻擊，使網(wǎng)絡(luò)安全環(huán)境更加惡化。

 

增強網(wǎng)絡(luò)彈性

 

筑牢安全長城

 

勒索軟件是當(dāng)今組織和個人面臨的最大威脅之一，只需單擊一個鏈接或下載一個惡意文件，任何人都可能在不知不覺中發(fā)起勒索軟件攻擊。在切實存在的網(wǎng)絡(luò)威脅面前，企業(yè)如何增強說“不”的底氣，避免業(yè)務(wù)陷入混亂呢?

 

我們可以從防范和恢復(fù)兩方面入手。首先采取措施防范犯罪分子入侵，比如及時進行操作系統(tǒng)和安全補丁更新，在網(wǎng)絡(luò)中應(yīng)用多因素身份驗證，通過網(wǎng)絡(luò)釣魚培訓(xùn)防止?jié)B透等。

 

其次，加強網(wǎng)絡(luò)彈性，提升恢復(fù)能力。正如世界上沒有不透風(fēng)的墻，世界上也沒有能100%抵御網(wǎng)絡(luò)入侵的安防工程，組織需要考慮最壞的情況，假如真的發(fā)生勒索攻擊，如何在最短時間內(nèi)恢復(fù)數(shù)據(jù)、保障業(yè)務(wù)運行?

 

從干凈的備份中恢復(fù)是擊敗黑客的唯一方法。無論組織是使用云服務(wù)還是本地硬件來制作數(shù)據(jù)副本，都需要能從尚未受影響的設(shè)備中訪問備份文件。但問題在于，備份數(shù)據(jù)也是勒索軟件的攻擊目標(biāo)，為了確保備份的不可變性，必須將備份數(shù)據(jù)也保護起來。

 

戴爾PowerProtect Cyber Recovery數(shù)據(jù)避風(fēng)港計劃以隔離的方式保護關(guān)鍵數(shù)據(jù)拷貝，通過Air Gap網(wǎng)閘隔離機制和副本鎖定機制阻斷勒索病毒感染備份數(shù)據(jù)的可能性。為防止備份文件被惡意刪除，系統(tǒng)同時對隔離保存庫內(nèi)的數(shù)據(jù)進行鎖定，確保備份數(shù)據(jù)副本不可加密、不可篡改、不可刪除。

 

組織可還以選擇使用CyberSense，對保險庫中的數(shù)據(jù)運行高度可靠的分析，以識別潛在的網(wǎng)絡(luò)威脅或損壞。一旦“最壞情況”發(fā)生，Cyber Recovery可迅速對數(shù)據(jù)進行隔離、清洗、掃描，讓核心業(yè)務(wù)起死回生。

 

作為世界上第一個經(jīng)認(rèn)可符合Sheltered Harbor數(shù)據(jù)存儲標(biāo)準(zhǔn)的交鑰匙網(wǎng)絡(luò)存儲解決方案，Cyber Recovery得到全球2000多家各種規(guī)模的客戶信賴，可有效防止內(nèi)部攻擊和外部入侵，構(gòu)筑企業(yè)數(shù)據(jù)安全的最后一道防線。

 

另外需要注意的是，為避免再次成為受害者，在勒索軟件事件發(fā)生后，組織需要檢查網(wǎng)絡(luò)并確定惡意軟件如何進入網(wǎng)絡(luò)以及長時間未被發(fā)現(xiàn)，以便及時堵住現(xiàn)有系統(tǒng)漏洞，防止勒索團伙卷土重來。

 

總之，支付贖金永遠不能保證數(shù)據(jù)恢復(fù)，反而可能招致更大災(zāi)難，希望廣大企業(yè)擦亮眼，不要上了犯罪分子的當(dāng)。如果您對自身安全能力沒有信心，戴爾科技集團永遠是您值得信賴的合作伙伴，我們提供全面的網(wǎng)絡(luò)彈性，助您安全地進行業(yè)務(wù)創(chuàng)新并實現(xiàn)突破。

 

END

 

如果您想了解更多有關(guān)戴爾科技的產(chǎn)品和解決方案信息，請掃描以下二維碼咨詢戴爾官方客服。