?

勒索軟件成功地創(chuàng)造了大規(guī)模的破壞。隨之而來的是無數(shù)的受害者，一團糟的受損IT環(huán)境，以及數(shù)十億美元的損失。讓壞消息雪上加霜的是，這一全球現(xiàn)象并未顯示出放緩的跡象。那么，是什么讓勒索軟件如此難以阻止呢？

答案很簡單--進化。

?

就在安全專家似乎掌握了解決方案的時候，一個新的威脅出現(xiàn)了，以利用整個IT環(huán)境中的新漏洞。這種激增在很大程度上是由勒索軟件即服務(wù)(RAAS)實現(xiàn)的，它借鑒了云的基于訂閱的模式，使有抱負的黑客能夠利用現(xiàn)有工具執(zhí)行強大的攻擊。

?

勒索軟件有多種形式，沒有兩種變體是相同的。這篇文章將通過探索一些最新的野生威脅，讓你了解我們面臨的是什么。

Couti

Conti于2020年5月首次被發(fā)現(xiàn)，它通常通過鏈接到受感染的Google Drive文件的釣魚電子郵件來攻擊系統(tǒng)。點擊鏈接后，收件人被告知無法在瀏覽器中預(yù)覽該文件，建議改為下載該文件。按照已建立的惡意軟件做法，此操作會將惡意可執(zhí)行文件邀請到用戶的系統(tǒng)上。一旦被執(zhí)行，Conti就會安裝一個后門，該后門聯(lián)系控制與命令(C2)服務(wù)器，然后后者會安裝其他惡意軟件工具。

Conti可能是Ryuk變體的一個分支，通過與各種其他工具(包括合法和惡意工具)協(xié)同工作，從勒索軟件包中脫穎而出。例如，Windows重新啟動管理器可用于關(guān)閉原本會阻止文件加密的程序，從而使惡意軟件能夠在該過程中擴大其影響范圍。眾所周知，Conti還使用臭名昭著的TrickBot特洛伊木馬在最初感染后造成進一步破壞。

Hive(蜂巢)

勒索軟件命名約定通常受到部署它們的組織的啟發(fā)。蜂巢就是一個典型的例子，它是一種相對較新的變種，對醫(yī)療保健行業(yè)造成了嚴重破壞。據(jù)報道，所謂的“蜂巢幫”是2021年8月針對紀念健康系統(tǒng)的勒索軟件攻擊的幕后黑手，在那次攻擊中，它泄露了大量敏感的患者數(shù)據(jù)，包括他們的姓名、社保號碼、家庭地址和病史。雖然最初2.4億美元的贖金似乎不太可能，但紀念碑首席執(zhí)行官證實，確實支付了一筆錢來解鎖數(shù)據(jù)。

HIVE是勒索軟件的另一個例子，它使用經(jīng)過試驗和驗證的網(wǎng)絡(luò)釣魚策略來攻擊目標系統(tǒng)。為了規(guī)避現(xiàn)有的防御機制，該惡意軟件會禁用反病毒軟件以及文件復(fù)制、備份和恢復(fù)功能。贖金筆記被投放在每個受感染的目錄中，參考受害者如何購買解密密鑰并取回他們的信息。如果沒有支付贖金，蜂巢會在HiveLeaks上發(fā)布被盜數(shù)據(jù)，HiveLeaks是一個基于TOR的網(wǎng)站，黑客社區(qū)很容易訪問。

?

LockBit 2.0

部分由于被納入RAAS市場，LockBit成為網(wǎng)絡(luò)犯罪分子的首選武器。這款勒索軟件通過更新的網(wǎng)絡(luò)安全變體LockBit 2.0增強了它在社區(qū)中的光澤。與新改進的變體相關(guān)的一個顯著特征是，該組織采用了開箱即用的方法來入侵訪問權(quán)限。眾所周知，該團伙的成員賄賂能夠從組織內(nèi)部滲透到目標中的個人。他們還通過利用VPN和其他可公開訪問的網(wǎng)絡(luò)服務(wù)器中的漏洞獲得了成功。

對于勒索軟件參與者來說，泄露數(shù)據(jù)與加密數(shù)據(jù)一樣重要。如果受害者拒絕支付，LockBit 2.0可以調(diào)用一些補充技術(shù)來實施自己扭曲的復(fù)仇品牌。LockBit的內(nèi)部特洛伊木馬StealBit和合法的C2服務(wù)器Cobalt Strike都在已鏈接到勒索軟件的工具中。

閻羅王

一些黑客采取了一種更具哲理的方法來標記他們的勒索軟件攻擊。以閻羅王為例，受中國宗教傳說中對死者進行審判的神嚴洛·王的啟發(fā)，這種特殊的變體于2021年10月被發(fā)現(xiàn)，自那以來一直與美國幾家大公司遭受的襲擊有關(guān)。盡管它似乎有利于金融部門，但該勒索軟件也與針對咨詢、工程和IT服務(wù)行業(yè)的攻擊有關(guān)。

經(jīng)過進一步的分析，網(wǎng)絡(luò)安全研究人員確定，閻羅王的文件是經(jīng)過數(shù)字簽名的，這是威脅行為者最近采取的一種趨勢，他們繞過了反病毒掃描儀和內(nèi)置的防御機制。一旦執(zhí)行，它將終止各種系統(tǒng)進程，使勒索軟件能夠解鎖對虛擬機、數(shù)據(jù)庫和備份文件的訪問。最后，在提供贖金紙條之前，它會在加密文件上附加一個“閻羅王”擴展名，警告受害者在做出付款安排之前不要聯(lián)系當(dāng)局。

DarkSide

大多數(shù)黑客更喜歡在幕后行動，限制了他們對網(wǎng)絡(luò)犯罪社區(qū)的可見性。其他人無法抗拒成為聚光燈下的機會。Darkside在2020年夏天聲名狼藉，甚至在一份專業(yè)撰寫的新聞稿中公布了勒索軟件的到來。這次襲擊的幕后黑手聲稱，他們的目標不是醫(yī)院、學(xué)?；蚍菭I利組織。相反，它更傾向于追查有能力支付高額贖金要求的大型高收入組織。

DarkSide以其對隱形的有效利用而聞名。勒索軟件是為個別目標量身定做的，配有定制代碼和連接主機，使得攻擊難以追蹤。此外，它會在文件加密之前保持耐心，花時間首先確定環(huán)境的范圍。這一過程需要劫持特權(quán)帳戶、獲取憑據(jù)和其他有價值的數(shù)據(jù)，以及刪除備份。襲擊的復(fù)雜性和高調(diào)的目標促使美國政府懸賞1000萬美元尋找逮捕黑暗勢力領(lǐng)導(dǎo)人的細節(jié)。

?

永久勒索軟件防御措施

隨著勒索軟件攻擊的名單持續(xù)增長，這些破壞性威脅的能力肯定會與它們一起發(fā)展。雖然每個變種都面臨著獨特的挑戰(zhàn)，但您可以遵循一些基本的指導(dǎo)原則來降低風(fēng)險和潛在影響。

采取終端安全戰(zhàn)略：網(wǎng)絡(luò)犯罪分子將試圖利用每一個可能的入口點。通過將強大的安全技術(shù)從USB端口和系統(tǒng)登錄應(yīng)用到應(yīng)用程序和移動設(shè)備，保護您的網(wǎng)絡(luò)。

?

使系統(tǒng)保持最新：運行過時的軟件類似于敞開設(shè)施的大門。確保您的核心系統(tǒng)和應(yīng)用程序穩(wěn)定地接收更新以解決已知漏洞，并將安全工具配置為檢測最新威脅。

制定應(yīng)急計劃：當(dāng)整理數(shù)十個勒索軟件恐怖故事時，一個共同的主題脫穎而出--受害者做好了最壞的準備，能夠更好地從攻擊中恢復(fù)過來。備份您的系統(tǒng)數(shù)據(jù)，在多個位置保存多份副本，并定期測試這些備份，以確保它們可以在危機情況下恢復(fù)。

保持警惕：無論是好是壞，勒索軟件都嵌入了數(shù)字社會的結(jié)構(gòu)中?；c時間確保您的員工接受了有關(guān)如何識別、避免和緩解潛在致命攻擊的培訓(xùn)。有大量可用的資源可以幫助您提高對既有和新出現(xiàn)的威脅的認識。

虹科DataLocker的加密USB驅(qū)動器可以增強您抵御任何勒索軟件攻擊的能力。

擴展閱讀

Datalocker 數(shù)據(jù)加密解決方案

DataLocker 是高級加密解決方案的領(lǐng)先供應(yīng)商。憑借一整套硬件加密產(chǎn)品、加密虛擬驅(qū)動器和中央管理平臺，DataLocker 為政府、軍隊和 70% 的財富 100 強公司保護敏感數(shù)據(jù)和知識產(chǎn)權(quán)。

DataLocker 產(chǎn)品將卓越的便利性和可用性與最先進的安全性相結(jié)合。從加密的外部驅(qū)動器和光學(xué)媒體到托管 DLP 解決方案，DataLocker 產(chǎn)品使控制、傳輸和共享敏感數(shù)據(jù)變得容易。

加密硬盤驅(qū)動器

?

H300是一款經(jīng)濟實惠的加密硬盤，也可以遠程管理。

DataLocker(IronKey)H300硬盤可保護數(shù)據(jù)、文件和目錄，因此您可以放心地保護敏感數(shù)據(jù)。提供用于獨立實施的基本版或允許遠程管理的企業(yè)版。

特點：簡單安全，強大的密碼保護，多語言支持，USB 3.0 性能，多種容量選項，堅固耐用……

加密USB驅(qū)動器

?

K350是一款受密碼保護、經(jīng)過FIPS 140-2 3級認證的加密USB驅(qū)動器，其屏幕可簡化設(shè)置和操作。滿足最嚴格的要求，在任何有USB大容量存儲的地方輕松工作。

K350是DataLocker完整的安全管理解決方案組合中輕薄而強大的補充，此外，它還擁有3年有限保修支持。

特點：FIPS 140-2 3 級認證，管理策略和數(shù)據(jù)恢復(fù)，無需安裝，完全可管理的設(shè)備，暴力破解密碼保護，防塵，防水，防震，抗震。

?