科技云報(bào)道原創(chuàng)。

今年上半年的數(shù)據(jù)表明，勒索軟件活動(dòng)和贖金金額有望創(chuàng)下歷史新高。

Check Point Research在《2023 年年中安全報(bào)告》中指出，今年上半年，隨著新的勒索軟件團(tuán)伙不斷涌現(xiàn)，勒索軟件攻擊態(tài)勢(shì)持續(xù)升級(jí)。

區(qū)塊鏈分析公司Chainaanalysis的報(bào)告顯示，勒索軟件是2023年迄今為止唯一呈上升趨勢(shì)的基于加密貨幣的犯罪形式，勒索贖金有望創(chuàng)下新的紀(jì)錄。

截至6月份，勒索軟件攻擊者已勒索至少4.491億美元，累計(jì)收入已達(dá)到2022年總收入的90%。

勒索攻擊已經(jīng)成為了互聯(lián)網(wǎng)世界的頑疾，近年來幾乎所有國家的政府、金融、教育、醫(yī)療、制造、交通、能源等行業(yè)均受勒索攻擊影響。

在面對(duì)新型勒索軟件攻擊時(shí)，大多數(shù)企業(yè)組織會(huì)處于極度弱勢(shì)，根本難以招架。

勒索攻擊呈五大趨勢(shì)

日前，安全服務(wù)商Heimdal Security的安全研究人員分析了近一年來的勒索攻擊典型案例后發(fā)現(xiàn)，各大勒索攻擊團(tuán)伙一直在不斷改進(jìn)攻擊手法和模式，使得新一代勒索軟件攻擊變得更加復(fù)雜和更有針對(duì)性。

關(guān)基設(shè)施勒索攻擊仍在繼續(xù)

“勒索軟件團(tuán)伙破壞了至少860個(gè)關(guān)鍵基礎(chǔ)設(shè)施組織的網(wǎng)絡(luò)?！边@一數(shù)據(jù)出自美FBI在今年一季度發(fā)布的2022年的互聯(lián)網(wǎng)犯罪報(bào)告。媒體報(bào)道指出，該數(shù)據(jù)僅限于“投訴數(shù)據(jù)”，實(shí)際數(shù)量可能更高。

安全機(jī)構(gòu)統(tǒng)計(jì)了2022年發(fā)生的600起勒索軟件攻擊事件稱，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊翻了一倍。

針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊要更具威脅性，這些企業(yè)可能的妥協(xié)（傾向于贖金支付）一方面來自于數(shù)據(jù)的重要性，更重要的是對(duì)企業(yè)核心生產(chǎn)連續(xù)性的威脅。

勒索軟件組織優(yōu)先考慮數(shù)據(jù)泄露

通常企業(yè)在遭受勒索軟件攻擊之后，支付贖金并不是他們的第一選擇?，F(xiàn)在，勒索組織將視野轉(zhuǎn)向數(shù)據(jù)，并威脅企業(yè)如不支付贖金就會(huì)泄露數(shù)據(jù)，從而主動(dòng)挑起企業(yè)安全違規(guī)事件。

勒索軟件組織越來越多地針對(duì)數(shù)據(jù)泄露，而不再是過去的系統(tǒng)不可用性。

這方面有多家安全組織的報(bào)告都支撐了這一點(diǎn)，如在2022年勒索軟件贖金支付下降了約40%，這一點(diǎn)也出自于企業(yè)已經(jīng)投資于更強(qiáng)的安全性和更好的備份。

數(shù)據(jù)備份、針對(duì)業(yè)務(wù)系統(tǒng)做好容災(zāi)建設(shè)，是安全企業(yè)在對(duì)應(yīng)勒索攻擊的后期兜底建議，有一部分企業(yè)認(rèn)識(shí)到了這一點(diǎn)，他們就可以有勇氣在受到勒索之后不支付贖金，利用安全系統(tǒng)來恢復(fù)業(yè)務(wù)或數(shù)據(jù)。但如果勒索組織威脅泄露數(shù)據(jù)，留給企業(yè)在安全與合規(guī)之間的問題就有些麻煩了。

勒索軟件受害者可能很快面臨后續(xù)攻擊

根據(jù)Akamai公司的研究報(bào)告，一旦受到勒索軟件的攻擊，企業(yè)很快就會(huì)面臨第二次攻擊的更高風(fēng)險(xiǎn)。報(bào)告稱，事實(shí)上，被多個(gè)勒索軟件組織攻擊的受害者在前三個(gè)月內(nèi)遭受后續(xù)攻擊的可能性幾乎是遭遇第一次攻擊之后的六倍。

該報(bào)告警告說，遭受勒索軟攻擊并支付贖金也不能保證企業(yè)的安全，與其相反，它增加了被同一個(gè)或多個(gè)勒索軟件組織再次攻擊的可能性。

如果受害企業(yè)沒有關(guān)閉其外圍的漏洞/修復(fù)攻擊者第一次破壞其網(wǎng)絡(luò)時(shí)濫用的漏洞，那么很可能會(huì)再次被利用。

此外，如果受害者選擇支付贖金，他們可能會(huì)被同一組織和其他人視為潛在的目標(biāo)。

勒索軟件智能化

隨著人工智能和機(jī)器學(xué)習(xí)技術(shù)不斷完善，攻擊者也開始利用這些創(chuàng)新技術(shù)使勒索軟件攻擊更具針對(duì)性和復(fù)雜性。

研究人員發(fā)現(xiàn)，勒索軟件組織開始使用人工智能技術(shù)來識(shí)別漏洞、撰寫逼真的網(wǎng)絡(luò)釣魚郵件，并根據(jù)防御措施實(shí)時(shí)調(diào)整攻擊策略，這對(duì)勒索軟件防護(hù)工作構(gòu)成了重大挑戰(zhàn)。

由于勒索軟件的智能化程度正在迅速增長(zhǎng)，組織也需要及時(shí)關(guān)注更先進(jìn)、更智能的網(wǎng)絡(luò)安全措施，同時(shí)加強(qiáng)員工安全意識(shí)培訓(xùn)，以防范這種日益嚴(yán)峻的威脅。

攻擊并不常見的應(yīng)用系統(tǒng)

任何泄露事件都可能帶來災(zāi)難，因此在面對(duì)新型勒索軟件攻擊時(shí)，任何攻擊途徑都不能被忽視。

在新型勒索軟件攻擊模式下，攻擊者會(huì)更加重視一些沒有備份的業(yè)務(wù)系統(tǒng)，或者一些并不常見的應(yīng)用，這些看上去的“小應(yīng)用”往往會(huì)給組織帶來大威脅。

佐治亞理工學(xué)院的安全研究人員已經(jīng)驗(yàn)證，勒索軟件攻擊可以通過屢試不爽的已知漏洞利用代碼部署到程序邏輯控制器（PLC）中。

遺憾的是，這類設(shè)備的重建或更換成本過高，新型勒索軟件組織正是瞅準(zhǔn)了這一點(diǎn)以勒索受害者。

企業(yè)應(yīng)如何防范勒索攻擊？

目前活躍在市面上的勒索攻擊病毒種類繁多，極高頻率的變種使得基于病毒特征庫的傳統(tǒng)殺毒軟件在應(yīng)對(duì)海量新型勒索病毒時(shí)，毫無用武之地。

要防范勒索病毒攻擊，需要從勒索病毒本身出發(fā)，深度剖析勒索病毒的普遍性特點(diǎn)，有針對(duì)性地進(jìn)行干預(yù)和防范。

其實(shí)，勒索病毒行為具有高度趨同性，整個(gè)勒索殺傷鏈涉及：感染準(zhǔn)備、遍歷加密、破壞勒索三個(gè)環(huán)節(jié)。

感染準(zhǔn)備階段主要行為是漏洞利用、自身模塊釋放、進(jìn)程中止和服務(wù)清除；遍歷加密階段主要行為是文件遍歷、數(shù)據(jù)加密；破壞勒索階段主要行為是刪除系統(tǒng)備份、彈出勒索通知。

摸清楚了勒索病毒殺傷鏈的典型行為特征，接下來就能有效應(yīng)對(duì)勒索病毒，企業(yè)可以從檢測(cè)、防護(hù)、恢復(fù)三個(gè)階段來應(yīng)對(duì)勒索病毒。

勒索行為監(jiān)測(cè)

勒索病毒的磁盤遍歷、進(jìn)程終止、文件加密、回收站清空等行為，實(shí)際上都是在調(diào)用操作系統(tǒng)底層驅(qū)動(dòng)的高危指令。

所以防勒索系統(tǒng)安裝操作系統(tǒng)后，會(huì)接管操作系統(tǒng)底層的進(jìn)程、文件、磁盤、網(wǎng)絡(luò)驅(qū)動(dòng)，勒索病毒在執(zhí)行高危指令調(diào)用時(shí)，必然優(yōu)先被防勒索系統(tǒng)感知。

防勒索系統(tǒng)內(nèi)置惡意行為監(jiān)測(cè)引擎，通過規(guī)則樹的匹配來識(shí)別惡意破壞行為，進(jìn)而實(shí)現(xiàn)對(duì)勒索病毒的攔截和阻斷。

關(guān)鍵業(yè)務(wù)保護(hù)

勒索病毒加密文件前，會(huì)優(yōu)先終止業(yè)務(wù)進(jìn)程，以解除文件占用，便于文件加密或刪除操作。所以防勒索系統(tǒng)安裝到操作系統(tǒng)后，會(huì)接管操作系統(tǒng)進(jìn)程驅(qū)動(dòng)。

當(dāng)有進(jìn)程終止或線程退出指令時(shí)，防勒索系統(tǒng)會(huì)對(duì)指令來源和指令類型進(jìn)行判斷。

如果是不可信的進(jìn)程發(fā)起的跨進(jìn)程、跨地址空間的指令行為，防勒索系統(tǒng)將會(huì)對(duì)指令操作進(jìn)行攔截，從而避免勒索病毒對(duì)關(guān)鍵業(yè)務(wù)進(jìn)程的破壞，在保障業(yè)務(wù)連續(xù)性的同時(shí)，保持關(guān)鍵應(yīng)用對(duì)數(shù)據(jù)文件的持續(xù)占用，進(jìn)而確保數(shù)據(jù)文件不會(huì)被加密勒索。

勒索病毒誘捕

勒索病毒在遍歷文件時(shí)，會(huì)優(yōu)先檢索系統(tǒng)常規(guī)路徑，如桌面、文檔路徑、磁盤根目錄等，然后破壞這些文件。

防勒索系統(tǒng)安裝后在系統(tǒng)中投放誘餌文件，并持續(xù)監(jiān)控對(duì)誘餌文件的操作，由于正常應(yīng)用一般不會(huì)訪問誘餌文件，因此對(duì)誘餌文件的操作基本上可以判定為勒索病毒，防勒索系統(tǒng)會(huì)直接殺死可疑進(jìn)程并置于隔離區(qū)。

核心數(shù)據(jù)保護(hù)

未安裝防勒索系統(tǒng)時(shí)，無論是正常的應(yīng)用如word、數(shù)據(jù)庫服務(wù)，還是勒索病毒，對(duì)應(yīng)用數(shù)據(jù)的讀寫都是不受限制的，勒索病毒隨意的對(duì)數(shù)據(jù)文件進(jìn)行加密寫入，致使用戶無法正常使用數(shù)據(jù)文件。

安裝防勒索系統(tǒng)后，通過內(nèi)置規(guī)則及動(dòng)態(tài)識(shí)別技術(shù)，可以很方便地建立可信應(yīng)用與應(yīng)用數(shù)據(jù)間的訪問關(guān)系模型。

因?yàn)槔账鞑《静辉诳尚艖?yīng)用列表內(nèi)，不具備應(yīng)用數(shù)據(jù)的訪問權(quán)限，所以勒索病毒嘗試加密系統(tǒng)中文檔、數(shù)據(jù)庫、工程文件、音視頻等數(shù)據(jù)文件時(shí)，將會(huì)被攔截阻斷。

核心數(shù)據(jù)保護(hù)功能一方面可避免應(yīng)用數(shù)據(jù)被惡意加密，防范典型的文件加密勒索行為，另一方面還可以防范雙重勒索中文件信息泄露的勒索行為。

數(shù)據(jù)智能備份

備份恢復(fù)技術(shù)用于對(duì)抗勒索病毒很有效，因?yàn)橛捎谡`操作、安全策略配置不當(dāng)可能導(dǎo)致檢測(cè)、防護(hù)能力被繞過，所以還需要備份恢復(fù)能力做技術(shù)兜底。

防勒索系統(tǒng)安裝后，任何文件的操作均會(huì)觸發(fā)防勒索的安全檢查，可信應(yīng)用文件操作放行，非可信應(yīng)用文件操作將觸發(fā)備份動(dòng)作。

在備份入庫前，防勒索系統(tǒng)會(huì)檢查入庫數(shù)據(jù)的安全性，通過文件名、后綴名、信息熵、方差值完成文件是否被勒索加密的判斷。

這是因?yàn)楸焕账鞑《炯用艿奈募?huì)被修改文件名、后綴名，文件的熵值和方差值會(huì)發(fā)生顯著變化，基于防勒索系統(tǒng)可識(shí)別被勒索加密的文件，已經(jīng)被勒索加密的文件將直接丟棄，并對(duì)操作該文件的進(jìn)程進(jìn)行終止和隔離操作，被識(shí)別為正常的數(shù)據(jù)文件則經(jīng)過重復(fù)檢查后進(jìn)入備份區(qū)。

此外，防勒索系統(tǒng)的備份機(jī)制并非是全盤備份，而是經(jīng)過巧妙設(shè)計(jì)的按需觸發(fā)，既可以實(shí)現(xiàn)勒索病毒的精準(zhǔn)防范，又能確保最小的系統(tǒng)資源消耗。

結(jié)語

未來的勒索軟件攻擊還將持續(xù)演進(jìn)，并且增長(zhǎng)速度也會(huì)更快，攻擊的目標(biāo)和形勢(shì)不斷變化，防御對(duì)抗將是長(zhǎng)期性的。

為了共同抵抗這項(xiàng)威脅，還需要全行業(yè)攜手合作、推動(dòng)創(chuàng)新，共同應(yīng)對(duì)勒索攻擊的挑戰(zhàn)，才能保障企業(yè)的安全和穩(wěn)定發(fā)展，打贏這場(chǎng)持久戰(zhàn)。

【關(guān)于科技云報(bào)道】

專注于原創(chuàng)的企業(yè)級(jí)內(nèi)容行家——科技云報(bào)道。成立于2015年，是前沿企業(yè)級(jí)IT領(lǐng)域Top10媒體。獲工信部權(quán)威認(rèn)可，可信云、全球云計(jì)算大會(huì)官方指定傳播媒體之一。深入原創(chuàng)報(bào)道云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等領(lǐng)域。

審核編輯 黃宇