勒索软件变体数不胜数。但您可以根据与已知恶意活动相关的可疑域名、IP 地址和文件散列值,查看具体入侵指标,从而进一步了解攻击源站和应对方法。
了解勒索软件
勒索软件是恶意软件的类型之一,它会加密某公司的高价值数据,例如文件、文档和图像,随后要求该公司支付赎金来恢复数据访问权限。勒索软件的手段就是先获得目标系统的访问权限,接着加密其中的文件,然后向公司勒索赎金。攻击者通常要求用比特币或其他加密货币的形式支付赎金,以此作为解锁其加密的数据文件的条件。
勒索软件一度只是令人烦恼,因为网络犯罪分子会用它来加密文件和数据,造成其无法正常访问,但时至今日,它已演变成一种能造成重大破坏的攻击方法。数据永久损失的威胁本身就足以令人不安,更何况网络犯罪分子和民族国家支持的黑客的技术已经足够娴熟,能够利用勒索软件渗透大型企业、联邦政府机构、全球基础架构和医疗保健公司,造成严重破坏。
勒索软件会造成怎样的影响?
2020 年,Snake 勒索软件攻击造成本田全球业务中断。就在同一周内,Snake 这种文件加密型恶意软件又袭击了南美配电公司 Enel Argentina。2019 年,网络犯罪分子侵入墨西哥国有天然气和石油集团 Pemex 的计算机网络,通过加密文件冻结了 Pemex 的计算机网络,并为此索要 500 万美元的高额赎金。2017 年,WannaCry 加密蠕虫病毒利用 Microsoft Windows 的一个漏洞,入侵了全球 23 万台电脑。
如今,陈旧过时的技术、仅关注安全边界和端点的那种所谓“够用就行”的防御策略、培训不足和不良的安全习惯,再加上没有已知的“万能型”解决方案,这些不利因素相互交织,造成各种规模的公司都面临风险。雪上加霜的是,当今的网络犯罪分子已经把勒索软件变成了一种谋生之道,用广撒网的方式加密尽可能多的公司网络上的计算机系统,并勒索赎金——从几千美元到数百万美元不等。根据之前对 2021 年的预测数据,2021 年每 11 秒就会发生一次勒索软件攻击,在全球造成高达 200 亿美元的高额损失。
勒索软件如何传播?
为了将勒索软件投放到新环境,盛行的方法是使用网络钓鱼或网络钓鱼电子邮件。这是指发送恶意电子邮件,在邮件正文中提供一个指向托管恶意软件下载网站的链接,或在附件中包含内置的下载器。如果收件人打开网络钓鱼邮件,勒索软件就会下载到其计算机上,并立即执行。
在某个端点或受害者的计算机被感染后,网络攻击会尝试在未获得授权的情况下执行横向移动,传播到整个网络中尽量多的机器,从而尽可能放大“爆炸半径”(即加密尽可能多的磁盘)。
另一种盛行的勒索软件感染媒介利用 远程桌面协议 (RDP) 。利用 RDP,获得登录凭据访问权限的黑客即可使用凭据通过身份验证,远程访问企业网络中的端点。在成功获得这种访问权限后,攻击者可直接在其控制范围内的机器上下载并执行恶意软件,并尝试在环境中横向移动,捕获和加密更多资产上的数据。
加密用户的文件是勒索软件攻击的独有特征。在加密高价值数据后,网络犯罪分子或勒索软件攻击者即可索要赎金,以此作为提供解密工具、解密密钥或解锁文件的条件。但就算公司支付了赎金,发动勒索软件攻击的黑客也不是总会如约解锁文件。
更多内容请见我们的博文 勒索软件究竟是如何传播的?
为什么传统防火墙无力防范勒索软件?
传统防火墙控制的是 VLAN 与区域之间的通信。但传统防火墙没有提供阻止 VLAN 内部流量的功能,所以在您想阻止网段内部的传播时,传统防火墙无济于事。这是由于原有传统防火墙模式存在多种不同的网络架构限制。在攻击者侵入一个 VLAN 中的一台机器后,最终会侵入同一 VLAN 上的另一台机器,并利用它作为跳板,以入侵 数据中心的其他资产,包括备份服务器在内。
如何检测和阻止勒索软件威胁
作为防御者,为了防止横向移动,您要尽可能限制机器之间的访问。特别要关注勒索软件活动经常利用的协议和服务。员工的笔记本电脑之间没有相互通信的理由,域成员之间也没有通过 SMB 连接的理由。
我们的分段解决方案 允许防御者限制任意两台机器之间的流量。我们的平台使用基于软件的分段方法,因此您可以创建策略来阻止笔记本电脑之间的通信,或限制域成员之间的 SMB 流量,仅允许他们访问域控制器等特定服务器。
Akamai 还提供了监测资产间通信和依赖关系的能力,细化至进程级别。这让您可以提前评估风险,并制定主动策略来保护关键资产和高风险组成部分,例如备份。
该平台还具有稳健的威胁检测功能,支持寻找与已知恶意域的通信,或者已知恶意进程在您环境中的踪迹,这些都可能是恶意软件入侵的迹象。
更多内容请见我们的博文 可及早检测勒索软件的 4 项技术
如果遇到了勒索软件攻击,我该怎么办?
勒索软件的成功有赖于横向移动,因此公司应该重点关注这一环节。如果您确定有勒索软件攻击正在您的网络中活动,那么应该使用具有监测功能的工具来了解入侵范围。基于由此获得的信息,将网络中受攻击影响的部分与公司的其他部分隔离开来,并未关键应用程序和备份添加更多安全防护层。务必在采取缓解措施并且恢复服务之后,再逐步重新启用通信流。
获得所有受感染机器和 IOC(入侵指标)的列表后,即可启动消除感染的工作。将机器分为三个标签组:隔离、受监测和未感染。
更多内容请见我们的博文 通过分段,阻止勒索软件和横向移动
加密勒索软件是怎样运作的?
在勒索软件攻击的第一步中,攻击者会入侵网络,通常采取的支持技术是社会工程、钓鱼邮件、恶意电子邮件附件或网络安全边界中的漏洞。随后恶意软件开始在您的网络中移动,尝试充分利用其着陆点造成最大破坏。通常情况下,攻击者会尝试获得域控制器控制权、盗取凭据,并找到和加密各种数据备份,以防止操作人员恢复被感染和冻结的服务。
怎样确定您遇到的是什么勒索软件?
最常见的勒索软件形式有哪些?
一些攻击活动属于高度有针对性的高级持久性威胁 (APT),由攻击者手动发动;还有一些活动则具有投机性,通常通过脚本自动发动。但它们可以分成两大类别。一类是加密勒索软件,其攻击会加密文件并索要赎金;另一类是锁定勒索软件,会造成用户无法访问设备。
新型勒索软件、恶意代码、恶意软件、恶意附件、恐吓软件以及各种新型勒索软件变体层出不穷。甚至还有付费型勒索软件即服务 (RaaS),也有相应记录作为佐证,其中一个例子是 REvil(Ransomware Evil;也叫做 Sodinokibi),这是一个以俄罗斯为大本营或是以俄语为母语的运营者经营的私密 RaaS。
勒索软件是怎样发展起来的?
就在几年前,大多数勒索软件攻击都是将恶意广告用作初始渗透介质,将几乎所有可能加载这些恶意广告的人作为目标——无论是大公司里“财会部的张三”,还是试着查阅自己电子邮件的老奶奶。当时的勒索软件对目标的区分并不明确,而是把所有人都定为目标,如果受害者付了钱,那就再好不过了,就算没付钱也没关系,因为还有更多“待宰的羔羊”。
然而,2012 年,伊朗的攻击者针对 Saudi Aramco 公司发起了一次针对性网络攻击,即 Shamoon 攻击事件,自此改变了一切。借助 Shamoon,攻击者从 Aramco 窃取了大量信息,在渗透攻击完成后,攻击者使用 Shamoon 覆盖所攻击机器的主启动记录,导致其无法正常工作,唯一的解决方法只有重装系统。这种功能瘫痪导致该公司停机了相当长的时间。
Locky 是 2016 年发布的勒索软件。它通过电子邮件传递(邮件声称是需要付款的发票),附有一个 Microsoft Word 文档,其中包含恶意宏。用户打开文档时,只会看到一堆乱码,还有短短的一句话“如果数据编码不正确,请启用宏”,这是一种社会工程技术。
Petya 是一个加密恶意软件系列,最初发现于 2016 年。这种恶意软件的目标是基于 Microsoft Windows 的系统,感染主启动记录来执行攻击载荷,从而加密硬盘的文件系统表,并阻止 Windows 正常启动。随后,它会要求用户使用比特币支付赎金,以此来换取系统访问权限。
勒索软件的演变历程是怎样的?
让我们将时光机定位到 2017 年。毁灭性的 WannaCry 和 NotPetya 勒索软件攻击汹汹来袭,给多家大型企业和政府机构造成了巨大破坏。这些攻击的特别之处在于,它们揭示了互联网的脆弱性,而且利用零日漏洞在网络上的计算机之间进行病毒式横向移动,感染其接触到的每一台机器,导致其彻底瘫痪。关于 NotPetya 和 WannaCry 的文章资料有很多,我们如今已经了解到,这些攻击背后的动机涉及到某个民族国家攻击者发起的网络攻击。
后续,犯罪软件团伙开始利用这些赎金软件攻击,而在此之前,这类团伙还主要是利用 Zeus(及其所有变体)这种恶意软件,入侵人们的银行账户,从中窃取资金。这往往涉及到时间长、复杂度高、风险高的操作,尤其是在涉及到实际收款时。时至今日的主流观点仍然认为,更容易得手的做法是只将大公司作为敲诈目标,让他们用比特币支付高额赎金,因此勒索软件更多地是 CISO 需要操心的企业威胁,毫无戒心的平民不必为此担忧。
Ryuk 是一个勒索软件系列,最初发现于 2018 年 8 月。它以广受欢迎的日系动漫中的一个虚拟角色命名,现已成为最为恶性的勒索软件系列之一,困扰着全球系统。
我们再将时光机快进到 2020 年。新冠疫情席卷全球,大多数人被迫在家办公,在短短的时间内,威胁模型、风险因素和网络架构发生了彻底的改变,全世界的勒索软件攻击操纵者都开始改变其攻击套路。如今,他们将大公司作为目标,采用双重勒索攻击手法,攻击者不仅会入侵公司、加密文件并以此提出勒索条件,还开始通过渗透攻击技术将这些宝贵的高价值数据发回给攻击者,并以此要挟受害者支付赎金,否则就公开这些数据。
敦促实施网络分段以降低勒索软件传播速度的行政命令出台
2021 年,美国发布一份白宫备忘录,探讨了勒索软件攻击的增长趋势,其中提到的应对方案不但包括较为传统的预防措施与建议,比如安装补丁、启用 2FA 和及时更新安全产品,更着重强调了往往被忽视的网络分段的重要意义。
网络分段不仅能在某些情况下缓解风险,如果实施得当,它还能控制并尽可能缩小勒索软件攻击的“爆炸半径”,从而大幅度降低双重勒索攻击的风险。即使防病毒软件和 EDR 未能阻止勒索软件执行,适当的网络分段也能控制损害程度,避免攻击者在网络中横向移动以窃取更多敏感数据、加密更多机器。
利用 Akamai 独特的软件方法进行网络分段,即可在服务器、应用程序、不同的操作系统、云实例等资产之间建立“网络孤岛”。利用适当分段策略降低勒索软件风险的优势在于其简单性,一个比特位可以通过连接(或虚拟交换机)传输到不同的机器(或虚拟机/容器),也可加以阻止,因此攻击者尝试访问网络上更多资源的尝试只会徒劳无功,这也给测试蓝队留出更充分的时间来应对攻击、向公司中的主要利益相关者通报情况,从而让他们能够就此类攻击的损害做出更明智的决定。
网络分段不能取代防病毒、防恶意软件或 EDR 平台,只是作为补充机制,事实已经证明,它能大幅减少乃至完全消除公司范围内的大规模横向移动攻击风险。
更多内容请见我们的博文 EDR 与分段解决方案比较:区别简介
如何应对勒索软件威胁?
勒索软件攻击的这个新时代揭示了一个很久之前就该解决的问题:横向移动。
出于通过渗透技术窃取所有数据的目的,攻击者必须了解这些数据在网络上的位置,而为了了解这些信息,他们需要摸清网络情况,对网络的了解程度要达到与最初的网络设计者同等(乃至更深入)的程度。这就要求攻击者从一台机器/服务器“横向移动”到另一台机器/服务器,实现方法通常是从网络上的不同机器中窃取各种凭据。
许多安全服务供应商都尝试解决这个难题,有些供应商要更成功一些。多年来,安全市场出现了许多旨在防御这个问题的新型产品,包括 DLP 解决方案、EDR 和 EPP 等,它们都努力去应对横向移动问题,但成效非常有限。
解决横向移动问题极为困难,攻击者利用的是网络自身的特点,也就是“以彼之矛,攻彼之盾”。
他们使用管理员凭据和各种合法管理员工具(如 Microsoft 自己的 Psexec、远程桌面,甚至是 WMI)从一台机器移动到另一台机器,执行恶意命令和攻击载荷,从而窃取数据,随后加密网络并发动勒索行动。许多企业都在投入资源,试着使用 EDR/EPP 产品以超出必要的严密程度监控各种资源,但这种权宜之计在抵御勒索软件攻击方面的成效有限,甚至降低此类风险的效果也不够明显。
通过网络分段阻止横向移动
实际上,解决方案是存在的,而且实施起来要比您想象得简单得多,那就是 网络分段。网络分段常常被遗忘,乃至被完全忽略,因为人们认为它的实施难度太大,需要严密关注网络工程和资产管理。正因如此,企业经常不考虑网络分段,造成其网络“扁平化”,也就是说,各终端或服务器可以不受任何限制地相互通信。
过去,网络分段意味着将不同的资产分别纳入不同的子网,并在子网间设置防火墙。这没有留出精细调节的空间,极大地增加了网络管理难度,还要求管理员管理复杂的防火墙配置,以及不同子网的 IP 地址分配,这又进一步加大了 IT 人员设计和扩展网络的难度,一旦配置不当,就会造成安全风险或网络故障(有时甚至同时造成这两大问题!)。这又造成 IT 人员不重视网络分段,而是给予预防型产品更多信任,造成完全扁平化、无分段的网络。
客户为什么选择 Akamai
Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、规模和专业知识,帮助企业满怀信心地实现业务增长。