勒索软件的风险正在影响企业的核心业务。数据安全治理供应商Netwrix公司高级副总裁Jeff Warren指出,认识到勒索软件运营商越来越成功的关键因素,并了解如何准备有效的纵深防御策略,这一点很重要。
很多企业经常以错误的眼光看待勒索软件攻击者,认为它只是一些为了盈利而暴露漏洞的居心不良者。事实上,勒索软件如今已经成为一个蓬勃发展的行业:在2022年,勒索软件涉及了所有违规行为的25%。根据调查,勒索软件攻击造成的平均损失达到了惊人的454万美元。因此,网络安全专业人员需要确切地了解勒索软件攻击成功的原因以及如何防御这种攻击。
以下探讨勒索软件运营商越来越成功的四个关键因素,并以Lockbit 3.0为例进行说明。然后,它解释了有效的深度防御策略的关键组成部分,以减轻企业的风险。
勒索软件攻击越来越成功的四个要素
以下是勒索软件威胁增长的四个关键因素:
(1)勒索软件即服务(RaaS)
一些勒索软件组织已经成功地采用了软件即服务(SaaS)模式,创建了一个强大的RaaS市场。他们提供执行勒索软件攻击的复杂工具,并从每次支付的赎金中赚取一定比例的佣金,从而创建了一个RaaS销售团队。这种模式催生了一些最具破坏性的勒索软件,包括Lockbit 3.0。
(2)基本方法仍然有效
勒索软件攻击者知道“如果没有坏,就不要修复它”的规则。许多勒索软件技术多年来一直保持不变,因为它们很有效。特别是,常见的漏洞仍然是勒索软件初始渗透的主要途径。“登陆并扩展”过程的下一步是横向移动,升级权限并实现持久性,然后最终加密数据(并可能威胁泄漏数据)以勒索赎金。在勒索软件攻击初始阶段,网络犯罪分子可能需要花费数天或数周的时间来了解受害者环境的拓扑结构和安全基础设施,当他们准备好部署阶段时,现代勒索软件可能在几分钟内像野火一样蔓延。
(3)更多的人为操作
在勒索软件的早期,攻击的成功率很低。网络犯罪分子越来越多地在勒索软件攻击之前的阶段运用他们的知识和洞察力,使他们能够成功地攻击三分之一的目标。
(4)双重勒索和三重勒索
就像任何聪明的商人一样,勒索软件的参与者和他们的同伙已经找到使其“收入”最大化的方法。一旦他们访问并加密受害者的关键数据,他们就可以进行勒索。首先,勒索软件攻击者将要求为解密密钥支付赎金。接下来,如果没有支付赎金,勒索者可能会威胁出售或泄露受害者的敏感数据。最后,他们可能会向其他可能受到数据泄露影响的受害者的客户或合作伙伴寻求赔偿。三重勒索已经成为勒索软件商业模式中越来越有利可图的组成部分,拥有广泛第三方网络的企业正成为被高度关注的目标。
LockBit 3.0示例
自从2019年推出以来,LockBit一直是最具破坏性和最多产的勒索软件之一。它通常用于勒索软件攻击提供关键服务的目标,包括卫生系统和医院,阻止用户访问重要系统和数据,并要求支付赎金。
LockBit操作者使用受损的服务器,发送网络钓鱼电子邮件或强制使用不安全的RDP或VPN凭据渗透到受害企业。
LockBit之所以脱颖而出,是因为它是最成功的勒索软件即服务(RaaS)之一。美国司法部声称,LockBit成员至少赚取了1亿美元以上,这为赎金要求打开了一个新的窗口。一个勒索软件团队开发恶意软件,并将代码授权给实施攻击的分支机构。由于LockBit利润丰厚,它的开发人员像一个复杂的商业软件企业一样运作,改进其功能,修复错误,提高其效率。
LockBit 3.0于2022年7月首次被发现。到2022年第三季度末,最近观察到的针对工业企业和基础设施的勒索软件攻击中有三分之一与此有关。这次发布的一个关键改进是,它使受害者的数据以一种易于搜索的形式免费提供。该公司还推出了一项漏洞赏金计划,向发现并提交漏洞报告的安全研究人员提供高达100万美元的奖励。
如何降低勒索软件攻击的风险
就像硬币的两面一样:如果企业想要减少勒索软件攻击的成功几率,也想最大限度地减少攻击成功之后可能造成的伤害。因此,需要一种分层安全和纵深防御的方法。以下是主要组成部分:
(1)提高员工安全意识:只有当员工至少了解安全要点时,安全计划才会起作用。因此,投资于定期、有效的教育和培训至关重要。
(2)清点数据:为了降低失去对关键数据的访问权限的风险,企业必须知道他们存储的数据类型,并根据其价值对其进行保护。因为不可能保护所有的数据,所以专注于保护重要的数据。
(3)采用零权限方法:为了减少攻击面,只有在需要的时候,并且只有在验证了请求的有效性之后,才应授予对敏感数据的访问权限。
(4)注意可疑活动:数据加密和泄露需要时间。在网络攻击的早期阶段检测异常用户行为对于最大限度地减少损害至关重要。
(5)记录和测试事件响应计划(IRP):企业必须制定并实践对正在进行的攻击做出快速适当反应的步骤,包括谁应对什么负责。在理想情况下,实现可以立即采取行动的自动化控制,例如,终止用户会话、加密或复制大量数据。
(6)确保企业拥有可靠的备份和有效的恢复:为了最大限度地减少业务中断,IT团队必须能够快速恢复最重要的数据和服务。他们将需要存储在恶意软件无法触及的最新备份,并需要在勒索软件攻击期间修改或删除哪些文件的详细信息,以减少恢复工作的范围。
勒索软件的风险正在影响各行业组织。虽然数字化转型和基础设施现代化仍然是重中之重,但这些目标通常需要根据维护安全性和业务连续性的需要进行修改。勒索软件预防是任何风险缓解策略的关键部分。
事实上,没有任何企业愿意在支付高额赎金或因拒绝支付而遭受严重损害之间做出选择。因此,他们应该采取多层次的方法,强调防止勒索病毒攻击,并为最坏的情况做好准备。
