北京2020年7月10日 /美通社/ -- 勒索軟件近年來一直是黑客組織牟取暴利的絕佳手段,也是發(fā)展最快的網(wǎng)絡(luò)安全威脅之一。之前Wannacry、NotPeya全球肆掠、攻城掠地的景象,尚未完全消除。如今勒索軟件攻擊目標多元化、攻擊手段復(fù)雜化、解密數(shù)據(jù)難度大、危害影響難估量等,被稱為安全業(yè)界最頭疼的軟件,也成為政府、企業(yè)、個人最為關(guān)注的安全風險之一,它幾乎成為與APT齊名的攻擊類型。破財消災(zāi),幾乎成了多數(shù)被勒索者不得已而為之的選擇。根據(jù)COVEWARE公司的報告,2020年一季度,企業(yè)平均贖金支付增加至111,605美元,比2019年第四季度增長了33%。目前勒索軟件主要的攻擊傳播方式仍然以RDP(遠程桌面服務(wù))和釣魚郵件為主。因為其變現(xiàn)方式更為粗暴直接,正被越來越多的網(wǎng)絡(luò)“灰黑”產(chǎn)采用。品嘗過“勒索”帶來的巨大且輕而易舉的利益后,勒索軟件的演變與發(fā)展更加迅猛異常。
天地和興總結(jié)梳理的上半年工業(yè)企業(yè)10起典型攻擊事件中,有7起是勒索攻擊。2月,勒索攻擊殃及美國天然氣管道公司,CISA未透露勒索軟件名稱。勒索軟件Nefilim攻擊澳大利亞Toll集團;3月,勒索軟件Ryuk攻擊鋼鐵制造商EVRAZ公司及其北美分支機構(gòu),包括加拿大和美國的鋼鐵生產(chǎn)廠;4月,Ragnar Locker勒索軟件襲擊了葡萄牙跨國能源公司EDP(Energias de Portugal),并且索要1580個比特幣贖金(折合約1090萬美元/990萬歐元);5月,勒索軟件Nefilim襲擊了臺灣石油、汽油和天然氣公司CPC公司及其競爭對手臺塑石化公司(FPCC)。另有未透露名稱的勒索軟件攻擊了瑞士鐵路機車制造商Stadler;6月,勒索軟件EKANS/Snake攻擊了本田汽車制造商。
天地和興工業(yè)網(wǎng)絡(luò)安全研究院對所監(jiān)測到的眾多勒索軟件攻擊事件進行梳理,注意到勒索攻擊的目標正向石油、天燃氣、能源、制造等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)發(fā)展。本文篩選10個典型的、比較活躍的勒索軟件,通過簡要分析其攻擊的目標、路徑、手段及主要特征,以此警示關(guān)鍵信息基礎(chǔ)設(shè)施利益相關(guān)方,警鐘常鳴,防患未然。
典型勒索軟件
1、勒索軟件Maze
Maze勒索軟件是ChaCha的一個變種,最早出現(xiàn)于2019年5月。最初,Maze是使用如Fallout EK和Spelevo EK之類的漏洞利用工具包通過網(wǎng)站進行傳播,該工具包利用Flash Player漏洞。后續(xù)Maze勒索軟件增加了利用Windows VBScript Engine遠程代碼執(zhí)行漏洞等能力。
Maze(迷宮)通過大量混淆代碼來對抗靜態(tài)分析,使用ChaCha20和RSA兩種算法加密文件,被加密的文檔在未得到密鑰時暫無法解密。加密完成后對文件添加隨機擴展后綴,并留下名為DECRYPT-FILES.html的勒索說明文檔,并修改桌面壁紙。值得一提的是,該病毒聲稱,解密贖金額度取決于被感染電腦的重要程度,包括個人電腦、辦公電腦、服務(wù)器,這意味著高價值目標受攻擊后解密付出的代價也會相應(yīng)的更高。
2、勒索軟件Ryuk
Ryuk勒索病毒最早于2018年8月被首次發(fā)現(xiàn),它是由俄羅斯黑客團伙GrimSpider幕后操作運營。GrimSpider是一個網(wǎng)絡(luò)犯罪集團,使用Ryuk勒索軟件對大型企業(yè)及組織進行針對性攻擊。Ryuk勒索軟件主要是通過網(wǎng)絡(luò)攻擊手段利用其他惡意軟件如Emotet或TrickBot等銀行木馬進行傳播,因為TrickBot銀行木馬傳播渠道的運營者是俄羅斯黑客團伙WIZARD SPIDER,GRIM SPIDER是俄羅斯黑客團伙WIZARD SPIDER的部門之一。Emotet和TrickBot銀行木馬主要用于盜取受害者銀行網(wǎng)站登錄憑據(jù),同時充當下載器功能,提供下載其它勒索病毒服務(wù)。這款勒索病在國外比較流行,主要針對一些大型企業(yè)進行定向攻擊勒索。Ryuk特別狡詐的一個功能是可以禁用被感染電腦上的Windows系統(tǒng)還原Windows System Restore選項,令受害者更難以在不支付贖金的情況下找回被加密的數(shù)據(jù)。鑒于攻擊者針對的是高價值受害者,贖金目標也轉(zhuǎn)為大型企業(yè)。
安全分析師認為,Ryuk源代碼很大程度上出自朝鮮Lazarus黑客團伙的Hermes惡意軟件。但這并不表明Ryuk攻擊本身是朝鮮發(fā)起的,邁克菲認為其代碼基礎(chǔ)由俄語區(qū)供應(yīng)商提供,因為該勒索軟件不會在系統(tǒng)語言設(shè)置為俄語、白俄羅斯語和烏克蘭語的計算機上執(zhí)行。
3、勒索軟件Sodinokibi/ REvil
Sodinokibi勒索病毒(也稱REvil),2019年5月24日首次在意大利被發(fā)現(xiàn)。在意大利被發(fā)現(xiàn)使用RDP攻擊的方式進行傳播感染,這款病毒被稱為GandCrab勒索病毒的接班人,在短短幾個月的時間內(nèi),已經(jīng)在全球大范圍傳播,這款勒索病毒與GandCrab勒索軟件存在很多關(guān)聯(lián),Sodinokibi勒索病毒是一種勒索即服務(wù)(RAAS)的模式進行分發(fā)和營銷的,并采用了一些免殺技術(shù)避免安全軟件檢測。主要通過Oracle WebLogic漏洞、Flash UAF漏洞、網(wǎng)絡(luò)釣魚郵件、RDP端口、漏洞利用工具包以及攻擊一些托管服務(wù)提供商MSP等方式發(fā)起攻擊,這款勒索病毒最新的版本為2.2,增加了自啟動注冊表項等,同時還發(fā)現(xiàn)一批最新的采用PowerShell腳本進行無文件攻擊的變種樣本。
該勒索軟件最特別的一點就是,不僅告訴人們“不付贖金就拿不回數(shù)據(jù)”,還會威脅稱“將在網(wǎng)上公開或在地下論壇競拍這些機密數(shù)據(jù)”。這種新的勒索方式將此商業(yè)模式推升到了新的高度。高針對性、強定制化的勒索軟件新時代似乎正走向危險新深淵。
4、勒索軟件DoppelPaymer
DoppelPaymer代表了勒索軟件攻擊的新趨勢—勒索文件加密和數(shù)據(jù)竊取雙管齊下。根據(jù)安全研究人員的說法,此類惡意軟件首先會竊取數(shù)據(jù),然后向受害者發(fā)送贖金勒索消息,而不是像傳統(tǒng)勒索軟件一樣就地加密鎖死數(shù)據(jù)。2019年中期以來一直活躍,今年3月美國精密零件制造商Visser遭此勒索軟件攻擊,意外泄漏特斯拉、波音、SpaceX等公司有關(guān)的敏感文件。DoppelPaymer 勒索軟件最早于2019年6月被發(fā)現(xiàn),主要通過RDP暴力破解和垃圾郵件進行傳播,郵件附件中帶有一個自解壓文件,運行后釋放勒索軟件程序并執(zhí)行。公開資料顯示,DoppelPaymer是BitPaymer 勒索軟件的一類新變種。DoppelPaymer至少有8種變體,它們逐漸擴展各自的特征集。
自解壓文件運行后在%Users%目錄下創(chuàng)建gratemin文件夾,釋放名為p1q135no. exe的勒索軟件程序并執(zhí)行,加密文件后,在原文件名后追加名為“.locked”的后綴,并在每個被加密文件的目錄中創(chuàng)建名為原文件名后追加“.readme2unlock.txt”格式的勒索信,勒索信中包含勒索說明、TOR下載地址、支付地址、DATA 數(shù)據(jù)信息和郵箱聯(lián)系方式等。DoppelPaymer勒索軟件變種使用“RSA+AES”算法加密文件,利用多線程快速加密文件,使用命令A(yù)RP–A以解析受害系統(tǒng)的地址解析協(xié)議(ARP)表,具體操作為刪除卷影副本、禁用修復(fù)、刪除本地計算機的備份目錄等。目前被加密的文件在未得到密鑰前暫時無法解密。
5、勒索軟件NetWalker
NetWalker(又名Mailto)勒索軟件最早于2019年8月首次發(fā)現(xiàn),Mailto是基于加密文件名格式的勒索軟件的名稱,Netwalker是基于勒索軟件的勒索信內(nèi)容給出的名稱,目前針對的目標是企業(yè)和政府機構(gòu),近期開始活躍。Netwalker活動背后的攻擊者使用常見的實用程序、開發(fā)后工具包和living-off-The-land,LOTL策略來探索一個受到破壞的環(huán)境,并盡可能多地獲取數(shù)據(jù)。這些工具可以包括mimikatz(及其變體)、各種PSTools、AnyDesk、TeamViewer、NLBrute等。勒索軟件利用PowerShell編寫,直接在內(nèi)存中執(zhí)行,沒有將實際的勒索軟件二進制文件存儲到磁盤中。惡意軟件利用了反射動態(tài)鏈接庫(DLL)注入的技術(shù),也稱reflective DLL加載,可以從內(nèi)存注入DLL,不需要實際DLL文件,也不需要任何Windows加載程序即可注入。這讓此勒索病毒成為了無檔案病毒(fileless malware),能夠保持持續(xù)性,并利用系統(tǒng)內(nèi)的工具來進行攻擊而不被偵測到和殺軟查殺。
在加密完成后,進程退出前最后會彈出勒索信,勒索提示信息文件[加密后綴]-Readme.txt,加密后的文件后綴名為隨機字符串。
6、勒索軟件CLOP
Clop勒索軟件于2019年2月出現(xiàn)在公眾視野中,Clop背后團隊的主要目標是加密企業(yè)的文件,收到贖金后再發(fā)送解密器。目前Clop仍處于快速發(fā)展階段。該惡意軟件暫無有效的解密工具,致受害企業(yè)大量數(shù)據(jù)被加密而損失嚴重。
與其他勒索病毒不同的是,Clop勒索軟件部分情況下攜帶了有效的數(shù)字簽名,數(shù)字簽名濫用和冒用在以往情況下多數(shù)發(fā)生在流氓軟件和竊密類木馬程序中。勒索軟件攜帶有效簽名的情況極為少見,這意味著該軟件在部分攔截場景下更容易獲取到安全軟件的信任,進而感染成功,造成無法逆轉(zhuǎn)的損失。
Clop勒索軟件通過多種途徑感染受害者的計算機設(shè)備。主感染文件會利用隨機腳本提取惡意可執(zhí)行文件,惡意Java腳本被設(shè)置為通過誘使受害者訪問或被重定向至惡意站點將惡意可執(zhí)行文件下載并安裝至受害者計算機上。另一種分發(fā)傳播Clop勒索軟件的途徑是利用插入到文檔中的惡意宏代碼。這些文檔常以垃圾郵件附件的形式發(fā)送給受害者。
此惡意軟件旨在通過附加“.Clop ”擴展名來加密受害計算機上的數(shù)據(jù)并重命名每個文件。例如,“sample.jpg”被重命名為“sample.jpg.Clop”。成功加密后,Clop會生成一個文本文件“ClopReadMe.txt”并在每個現(xiàn)有文件夾中放置一個副本,文本文件包含贖金通知消息。
7、勒索軟件EKANS
EKANS勒索軟件(也稱Snake),于2020年1月首次被發(fā)現(xiàn),是一種新的勒索軟件,專門針對工業(yè)控制系統(tǒng)。EKANS代碼中包含一系列特定用于工業(yè)控制系統(tǒng)功能相關(guān)的命令與過程,可導(dǎo)致與工業(yè)控制操作相關(guān)的諸多流程應(yīng)用程序停滯。EKANS勒索軟件是用Golang編寫的,將整個網(wǎng)絡(luò)作為目標,并且存在大量混淆。其中,包含了一種常規(guī)混淆,這種混淆在以前并不常見,通常是與目標方法結(jié)合使用。
EKANS在執(zhí)行時會刪除計算機的卷影副本,還會停止與SCADA系統(tǒng)、虛擬機、工業(yè)控制系統(tǒng)、遠程管理工具、網(wǎng)絡(luò)管理軟件等相關(guān)的眾多進程。然后,EKANS還會加密系統(tǒng)上的文件,從而跳過Windows系統(tǒng)文件和文件夾。在文件擴展名后面還會附加一個勒索5字符字符串(即名為invoice.doc的文件被加密并重命名為invoice.docIksrt)。該惡意軟件在每個加密文件后附加了“EKANS”文件標記。加密過程完成后,勒索軟件將在C:\Users\Public\Desktop文件夾中創(chuàng)建一個勒索記錄(名為“Fix Your Files.txt”),其中包含要聯(lián)系以接收付款指示的電子郵件地址。EKANS目前的主要感染媒介似乎是釣魚附件。
8、勒索軟件Nefilim
Nefilim出現(xiàn)于2020年3月,可能是通過公開的RDP(遠程桌面服務(wù))進行分發(fā)。Nefilim與Nemty共享許多相同的代碼,主要的不同之處在于,Nefilim移除了勒索軟件即服務(wù)(RaaS)的組件,依靠電子郵件進行支付,而不是Tor支付網(wǎng)站。Nefilim使用AES-128加密文件,每個加密的文件都將附加.NEFILIM擴展名,加密完成后,調(diào)用cmd命令進行自我刪除。釋放的勒索信中包含不同的聯(lián)系電子郵件,并且威脅如果在7天內(nèi)未支付贖金,將會泄漏數(shù)據(jù)。
從技術(shù)上講,Nefilim目前主要的傳播方法是利用易受攻擊的RDP服務(wù)。一旦攻擊者通過RDP進入了網(wǎng)絡(luò),他們就會繼續(xù)建立持久化,在可能的情況下查找和竊取其他憑證,然后將勒索軟件的payload傳播給潛在目標。
9、勒索軟件Ragnar Locker
RagnarLocker勒索軟件在2019年12月底首次出現(xiàn),是一種新的勒索軟件,將惡意軟件部署為虛擬機(VM),以逃避傳統(tǒng)防御。勒索軟件的代碼較小,在刪除其自定義加殼程序后僅有48KB,并且使用高級編程語言(C/C++)進行編碼。
RagnarLocke是使用GPO任務(wù)執(zhí)行Microsoft Installer(msiexec.exe),傳遞參數(shù)從遠程Web服務(wù)器下載并以靜默方式安裝制作的122 MB未經(jīng)簽名的MSI軟件包。MSI軟件包包含一個Oracle VirtualBox虛擬機管理程序和一個名為micro.vdi的虛擬磁盤映像文件(VDI),該文件是Windows XP SP3操作系統(tǒng)的精簡版本映像。由于vrun.exe勒索軟件應(yīng)用程序在虛擬客戶機內(nèi)部運行,因此其過程和行為可以不受阻礙地運行,物理主機上的安全軟件是無能為力的。
RagnarLocker在選擇受害者時是很有選擇性的。目標往往是公司,而不是個人用戶。該惡意軟件的目標是對可以加密的所有文件進行加密,并提出勒索,要求用戶支付贖金以進行解密。
10、勒索軟件PonyFinal
一種新型的人工勒索軟件“PonyFinal”,通過手動啟動有效載荷來部署攻擊。它對目標公司的系統(tǒng)管理服務(wù)器使用“暴力手段”,無需依靠誘騙用戶通過網(wǎng)絡(luò)釣魚鏈接或電子郵件來啟動有效負載。主要針對在COVID-19危機中的醫(yī)療衛(wèi)生機構(gòu)。
PonyFinal的入侵點通常是公司系統(tǒng)管理服務(wù)器上的一個賬戶,PonyFinal的黑客們使用猜測弱密碼的暴力攻擊來攻擊該帳戶。一旦黑客進入內(nèi)部系統(tǒng)后,他們會部署Visual Basic腳本,該腳本會運行PowerShell反向外殼程序以轉(zhuǎn)儲和竊取本地數(shù)據(jù)。
此外,PonyFinal勒索軟件還會部署遠程操縱器系統(tǒng)以繞過事件日志記錄。一旦PonyFinal的黑客們牢牢地掌握了目標網(wǎng)絡(luò),他們便會傳播到其他本地系統(tǒng)并部署實際的PonyFinal勒索軟件。PonyFinal是用Java語言編寫的,攻擊者還會將目標鎖定在安裝了Java Runtime Environment(JRE)的工作站上。攻擊者使用從系統(tǒng)管理服務(wù)器竊取的信息來鎖定已安裝JRE的端點。勒索軟件是通過包含兩個批處理文件的MSI文件交付的,其中包括將由攻擊者激活的有效負載。通常會在每個加密文件的末尾會被添加一個“.enc”文件擴展名。而贖金記錄通常名為README_files.txt,會包含贖金付款說明的簡單文本文件。
2020上半年典型勒索軟件一覽表 |
|||||||||
序號 |
勒索軟件 名稱 |
首次發(fā)現(xiàn) 時間 |
所屬家族 |
編寫語言 |
攻擊方式 |
攻擊目標 |
幕后運營者 |
攻擊事件 |
備注 |
1 |
MAZE |
2019年5月29日 |
ChaCha |
極其復(fù)雜的代碼,反逆向 |
利用漏洞、網(wǎng)絡(luò)釣魚、RDP |
技術(shù)提供商和公共服務(wù)(政府機構(gòu)、教育、衛(wèi)生) |
屬于俄羅斯聯(lián)邦的所有C2域 |
4月1日,石油公司 Berkine 遭受勒索攻擊 |
數(shù)據(jù)泄露 |
2 |
Ryuk |
2018年8月 |
Hermes |
未知 |
通過垃圾郵件傳播Emotet銀行木馬 |
大型工控企業(yè)、組織、機構(gòu)等 |
俄羅斯黑客團伙GrimSpider |
3月鋼鐵制造商EVRAZ遭受勒索攻擊 |
導(dǎo)致大多數(shù)工廠都已停止生產(chǎn) |
3 |
Sodinokibi/REvil |
2019年5月24日 |
GandCrab |
未知 |
通過 RDP爆破進行傳播、社會工程 |
MSP和其他組織(例如地方政府) |
未知 |
巴西電力公司Light S.A.遭受勒索攻擊 |
Salsa20流密碼加密;索要1400萬美元贖金 |
4 |
DoppelPaymer |
2019 年 6 月 |
BitPaymer |
未知 |
RDP、惡意附件、漏洞利用等 |
大型企業(yè)、組織 |
朝鮮 |
3月美國精密零件制造商Visser遭此勒索攻擊 |
數(shù)據(jù)泄露 |
5 |
NetWalker |
2019年8月 |
NEMTY |
PowerShell |
無文件勒索軟件 |
醫(yī)療和教育機構(gòu) |
未知 |
6月,美國醫(yī)療系統(tǒng)Crozer-Keystone最近遭受勒索攻擊 |
因未支付比特幣贖金,其數(shù)據(jù)在暗網(wǎng)上被拍賣 |
6 |
CLOP |
2019年2月 |
CryptoMix |
未知 |
以垃圾郵件附件的形式 |
大型企業(yè) |
未知 |
3月美國生物制藥公司ExecuPharm遭受勒索攻擊 |
數(shù)據(jù)泄露 |
7 |
EKANS/SNAKE |
2020年1月 |
未知 |
Golang |
利用釣魚附件 |
針對工業(yè)控制系統(tǒng)環(huán)境 |
未知 |
6月本田汽車Honda遭受勒索攻擊 |
造成部分工廠停工,損失十分嚴重 |
8 |
Nefilim |
2020年3月 |
未知 |
未知 |
利用RDP服務(wù) |
企業(yè)、組織等 |
未知 |
5月臺灣石油、汽油和天然氣公司CPC公司及其競爭對手臺塑石化公司(FPCC)遭受勒索攻擊 |
導(dǎo)致服務(wù)中斷,其IT和計算機系統(tǒng)關(guān)閉 |
9 |
RagnarLocker |
2019年12月 |
未知 |
C/C++ |
惡意軟件部署為虛擬機(VM) |
針對托管服務(wù)提供商的常用軟件 |
未知 |
4月葡萄牙跨國能源公司EDP遭受攻擊 |
索要1580的比特幣贖金(折合約1090萬美元) |
10 |
PonyFinal |
2020年4月 |
未知 |
Java |
人為操縱,使用暴力攻擊 |
醫(yī)療衛(wèi)生、教育 |
未知 |
4月美國最大ATM 供應(yīng)商 Diebold Nixdorf遭受勒索攻擊 |
未支付贖金 |
思考及建議
2020年,熱度飆升的勒索軟件已經(jīng)成為與APT并列的最危險的網(wǎng)絡(luò)安全威脅。針對性、復(fù)雜化和高傷害成本是2020年勒索軟件加速“進化”的三大特征。勒索軟件不僅數(shù)量增幅快,而且危害日益嚴重,特別是針對關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的勒索攻擊,影響更為廣泛。被勒索機構(gòu)既有巨額經(jīng)濟損失,又有數(shù)據(jù)無法恢復(fù)甚至被惡意泄露的風險,雙重勒索的陰影揮之不去。勒索攻擊的危害遠不止贖金造成的經(jīng)濟損失,更嚴重的是會給企業(yè)和組織機構(gòu)帶來額外的復(fù)雜性,造成數(shù)據(jù)損毀或遺失、生產(chǎn)力破壞、正常業(yè)務(wù)中斷、企業(yè)聲譽損害等多方面的損失。比如3月初,美國精密零件制造商Visser Precision遭受勒索軟件DoppelPayment攻擊,攻擊者入侵了Visser的電腦對其文件進行加密,并要求Visser在3月底支付贖金,否則將把機密文件內(nèi)容公開到網(wǎng)絡(luò)上。由于沒有收到勒索款項,DoppelPaymer在網(wǎng)上公開了關(guān)于SpaceX、Lockheed-Martin、特斯拉、波音等公司的機密信息,被泄露的資訊包括Lockheed-Martin設(shè)計的軍事裝備的細節(jié),比如反迫擊炮防御系統(tǒng)中的天線規(guī)格、賬單和付款表格、供應(yīng)商資訊、數(shù)據(jù)分析報告以及法律文書等。此外,Visser與特斯拉 SpaceX之間的保密協(xié)議也在泄露文件中。
毫無疑問,勒索軟件攻擊在今后很長一段時間內(nèi)仍然是政府、企業(yè)、個人共同面對的主要安全威脅。勒索軟件的攻擊方式隨著新技術(shù)的應(yīng)用發(fā)展不斷變化,有針對性的勒索軟件事件給不同行業(yè)和地區(qū)的企業(yè)帶來了破壞性攻擊威脅,勒索攻擊產(chǎn)業(yè)化、場景多樣化、平臺多元化的特征會更加突出。在工業(yè)企業(yè)場景中,勒索軟件慣用的攻擊向量主要是弱口令、被盜憑據(jù)、RDP服務(wù)、USB設(shè)備、釣魚郵件等,有效防范勒索軟件攻擊,仍需要針對性做好基礎(chǔ)防御工作,構(gòu)建和擴張深度防御,從而保障企業(yè)數(shù)據(jù)安全,促進業(yè)務(wù)良性發(fā)展。
1、強化端點防護
及時加固終端、服務(wù)器,所有服務(wù)器、終端應(yīng)強行實施復(fù)雜口令策略,杜絕弱口令;安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫;及時安裝漏洞補?。环?wù)器開啟關(guān)鍵日志收集功能,為安全事件的追溯提供基礎(chǔ)。
2、關(guān)閉不需要的端口和服務(wù)
嚴格控制端口管理,盡量關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口(RDP服務(wù)的3389端口),同時使用適用的防惡意代碼軟件進行安全防護。
3、采用多因素認證
利用被盜的員工憑據(jù)來進入網(wǎng)絡(luò)并分發(fā)勒索軟件是一種常見的攻擊方式。這些憑據(jù)通常是通過網(wǎng)絡(luò)釣魚收集的,或者是從過去的入侵活動中獲取的。為了減少攻擊的可能性,務(wù)必在所有技術(shù)解決方案中采用多因素身份驗證(MFA)。
4、全面強化資產(chǎn)細粒度訪問
增強資產(chǎn)可見性,細化資產(chǎn)訪問控制。員工、合作伙伴和客戶均遵循身份和訪問管理為中心。合理劃分安全域,采取必要的微隔離。落實好最小權(quán)限原則。
5、深入掌控威脅態(tài)勢
持續(xù)加強威脅監(jiān)測和檢測能力,依托資產(chǎn)可見能力、威脅情報共享和態(tài)勢感知能力,形成有效的威脅早發(fā)現(xiàn)、早隔離、早處置的機制。
6、制定業(yè)務(wù)連續(xù)性計劃
強化業(yè)務(wù)數(shù)據(jù)備份,對業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進行及時備份,并驗證備份系統(tǒng)及備份數(shù)據(jù)的可用性;建立安全災(zāi)備預(yù)案。同時,做好備份系統(tǒng)與主系統(tǒng)的安全隔離,避免主系統(tǒng)和備份系統(tǒng)同時被攻擊,影響業(yè)務(wù)連續(xù)性。業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)(BCDR)解決方案應(yīng)成為在發(fā)生攻擊時維持運營的策略的一部分。
7、加強安全意識培訓(xùn)和教育
員工安全意識淡漠,是一個重要問題。必須經(jīng)常提供網(wǎng)絡(luò)安全培訓(xùn),以確保員工可以發(fā)現(xiàn)并避免潛在的網(wǎng)絡(luò)釣魚電子郵件,這是勒索軟件的主要入口之一。將該培訓(xùn)與網(wǎng)絡(luò)釣魚演練結(jié)合使用,以掌握員工的脆弱點。確定最脆弱的員工,并為他們提供更多的支持或安全措施,以降低風險。
8、定期檢查
每三到六個月對網(wǎng)絡(luò)衛(wèi)生習慣、威脅狀況、業(yè)務(wù)連續(xù)性計劃以及關(guān)鍵資產(chǎn)訪問日志進行一次審核。通過這些措施不斷改善安全計劃。及時了解風險,主動防御勒索軟件攻擊并減輕其影響。
此外,無論是企業(yè)還是個人受害者,都不建議支付贖金。支付贖金不僅變相鼓勵了勒索攻擊行為,而且解密的過程還可能會帶來新的安全風險。