“诚实的”勒索软件团伙的过去早已一去不复返了。过去,勒索软件团体相互施压,要求对方在支付赎金后兑现文件解密承诺。然而,他们的动机远非利他主义。他们认为,如果他们的文件永远无法恢复的消息传开,受害者将不太愿意支付。今天,游戏规则已经发生了巨大的变化。
现在,勒索软件环境就像狂野的西部。几乎任何事情都会发生,即使是技术技能有限的演员也可以参与其中。但最终,威胁组织可能搬起石头砸自己的脚。如果攻击者破坏了您的文件,那么支付赎金有什么意义呢?
不再有勒索软件荣誉代码
在勒索软件相对较新的时代,数据窃贼之间有一种荣誉准则。他们互相鼓励,一定要在收款后解密受害者的档案。过去,敲诈勒索者担心,如果人们认为他们无法取回文件,他们可能不会付款。
快进到今天,我们发现了什么?我们有像Onyx这样的勒索软件,它会删除任何大小超过 2MB 的文件,从而导致它们永久丢失。如果受害者支付赎金,则只能检索小于此阈值的文件。
最初,安全专家认为覆盖文件是蓄意针对最大可用文件的尝试。但是,鉴于目前的理解是阈值是 2MB,文件覆盖可能是偶然的。无论是故意的恶意行为还是无意的编码错误,结果都是一样的:Onyx 受害者永远无法取回更大、更重要的文件。
勒索软件三重勒索
早期的勒索软件威胁非常简单:攻击者仅通过文件加密和渗漏来威胁受害者。接下来,犯罪分子也开始威胁要在暗网或公共互联网上泄露或出售数据。专家称这种做法为“双重勒索”。但网络罪犯并没有就此止步。现在,有三重勒索,其中包括:
- 数据加密和泄露
- 数据泄露或出售的威胁
- 针对受害者伴侣的攻击或其他施压策略。
三重勒索攻击带来了新的危险。恶意行为者可能会采取各种方法来增加对受害者的压力。他们可能会向受害者的客户或供应商索要赎金,包括发出数据泄露威胁、发动 DDoS 攻击甚至拨打恐吓电话。在一个特别值得注意的案例中,网络罪犯通过劫持一家公司的打印机并打印炸弹勒索赎金票据,进行了三重勒索勒索软件攻击,直到受害者付清赎金。
勒索软件的狂野西部
如今,勒索软件已成为勒索软件即服务(RaaS) 的主流。RaaS 已成为更大的恶意软件即服务(MaaS) 趋势的一部分。与 SaaS 同行一样,MaaS 品牌可以拥有精美的网站、每月新闻通讯、新功能公告和定制。他们甚至拥有自己的视频教程、白皮书和 Twitter 帐户。
通过以服务形式提供勒索软件,几乎任何人都可以成为威胁者。有些包甚至是免费提供的,这让事情变得更加难以预测。10 月,Cryptonite勒索软件成为对 Microsoft Windows 系统的威胁。威胁行为者用 Python 编写恶意软件并将其作为可访问的开源工具包的一部分进行分发。结果,任何人都可以免费获取和使用 Cryptonite。
Fortinet网络安全研究人员对 Cryptonite 进行了分析,得出的结论是该勒索软件的功能有限,仅提供基本功能。然而,研究人员发现了更糟糕的事情。即使受害者支付了赎金,Cryptonite 也不提供任何解密加密文件的方法。相反,它本质上是一种擦除器恶意软件,类似于 Onyx。
值得支付赎金吗?
Sophos 的研究表明,在 2021 年支付赎金的组织仅取回了 61% 的数据,低于 2020 年的 65%。同样,支付赎金的组织中只有 4% 在 2021 年取回了所有数据,低于 8% 2020年。
Sophos 报告还显示,2021 年遭受勒索软件攻击的组织中有 99% 恢复了一些加密数据。数据备份是用于恢复数据的首选方法,73% 的数据被加密的组织都使用这种方法。同时,46% 的人表示他们支付了赎金以恢复数据。研究结果表明,许多组织使用多种恢复方法来最大限度地提高恢复文件的速度和效率。
联邦政府建议组织不要支付任何赎金。相反,公司应该为恶意软件攻击做好准备。例如,IT 团队应该在异地维护关键数据的经过测试的备份。此外,关于如何发现网络钓鱼企图的持续安全培训应该成为公司员工网络意识战略的一部分。
还有“不再勒索”倡议来对抗勒索软件的影响。该计划已成功帮助超过150 万受害者在不屈服于勒索要求的情况下解密他们的机器。在该计划六周年之际,超过 1000 万人下载了解密工具。
2016 年,欧洲刑警组织、荷兰国家警察 (Politie) 以及私人网络安全和 IT 公司发起了 No More Ransom。随着时间的推移,该计划不断壮大,现在为 165 种勒索软件变体提供 136 种免费解密工具,其中包括臭名昭著的毒株,如 GandCrab、REvil 和 Maze。
No More Ransom 已经聚集了超过 188 个来自公共和私营部门、执法部门、学术界和其他部门的合作伙伴。该计划继续开发新的解密工具,并凭借其提供 37 种语言的门户,不断帮助全球的勒索软件受害者。
停止勒索软件
为防止成为勒索软件攻击的受害者,每个人都可以采取某些措施。数据备份比以往任何时候都更加重要。对于破坏文件的新勒索软件变种,备份是取回文件的唯一方法。
此外,使用最新的安全补丁使安全软件和操作系统保持最新状态也至关重要。采用多因素身份验证还有助于防止勒索软件攻击经常利用的帐户黑客攻击和滥用行为。
编译自:IBM securityintelligence
原作者:苏波伦巴
