勒索软件变体数不胜数。但您可以根据与已知恶意活动相关的可疑域名、IP 地址和文件散列值,查看具体入侵指标,从而进一步了解攻击源站和应对方法。
了解勒索软件
勒索软件是恶意软件的类型之一,它会加密某公司的高价值数据,例如文件、文档和图像,随后要求该公司支付赎金来恢复数据访问权限。勒索软件的手段就是先获得目标系统的访问权限,接着加密其中的文件,然后向公司勒索赎金。攻击者通常要求用比特币或其他加密货币的形式支付赎金,以此作为解锁其加密的数据文件的条件。
勒索软件是恶意软件的类型之一,它会加密某公司的数据,随后要求该公司支付赎金来恢复访问数据的权限。
勒索软件一度只是令人烦恼,因为网络犯罪分子会用它来加密文件和数据,造成其无法正常访问,但时至今日,它已演变成一种能造成重大破坏的攻击方法。数据永久损失的威胁本身就足以令人不安,更何况网络犯罪分子和民族国家支持的黑客的技术已经足够娴熟,能够利用勒索软件渗透大型企业、联邦政府机构、全球基础架构和医疗保健公司,造成严重破坏。
勒索软件会造成怎样的影响?
2020 年,Snake 勒索软件攻击造成本田全球业务中断。就在同一周内,Snake 这种文件加密型恶意软件又袭击了南美配电公司 Enel Argentina。2019 年,网络犯罪分子侵入墨西哥国有天然气和石油集团 Pemex 的计算机网络,通过加密文件冻结了 Pemex 的计算机网络,并为此索要 500 万美元的高额赎金。2017 年,WannaCry 加密蠕虫病毒利用 Microsoft Windows 的一个漏洞,入侵了全球 23 万台电脑。
如今,陈旧过时的技术、仅关注安全边界和端点的那种所谓“够用就行”的防御策略、培训不足和不良的安全习惯,再加上没有已知的“万能型”解决方案,这些不利因素相互交织,造成各种规模的公司都面临风险。雪上加霜的是,当今的网络犯罪分子已经把勒索软件变成了一种谋生之道,用广撒网的方式加密尽可能多的公司网络上的计算机系统,并勒索赎金——从几千美元到数百万美元不等。根据之前对 2021 年的预测数据,2021 年每 11 秒就会发生一次勒索软件攻击,在全球造成高达 200 亿美元的高额损失。
勒索软件如何传播?
为了将勒索软件投放到新环境,盛行的方法是使用网络钓鱼或网络钓鱼电子邮件。这是指发送恶意电子邮件,在邮件正文中提供一个指向托管恶意软件下载网站的链接,或在附件中包含内置的下载器。如果收件人打开网络钓鱼邮件,勒索软件就会下载到其计算机上,并立即执行。
在某个端点或受害者的计算机被感染后,网络攻击会尝试在未获得授权的情况下执行横向移动,传播到整个网络中尽量多的机器,从而尽可能放大“爆炸半径”(即加密尽可能多的磁盘)。
另一种盛行的勒索软件感染媒介利用 远程桌面协议 (RDP) 。利用 RDP,获得登录凭据访问权限的黑客即可使用凭据通过身份验证,远程访问企业网络中的端点。在成功获得这种访问权限后,攻击者可直接在其控制范围内的机器上下载并执行恶意软件,并尝试在环境中横向移动,捕获和加密更多资产上的数据。
加密用户的文件是勒索软件攻击的独有特征。在加密高价值数据后,网络犯罪分子或勒索软件攻击者即可索要赎金,以此作为提供解密工具、解密密钥或解锁文件的条件。但就算公司支付了赎金,发动勒索软件攻击的黑客也不是总会如约解锁文件。
更多内容请见我们的博文 勒索软件究竟是如何传播的?
为什么传统防火墙无力防范勒索软件?
传统防火墙控制的是 VLAN 与区域之间的通信。但传统防火墙没有提供阻止 VLAN 内部流量的功能,所以在您想阻止网段内部的传播时,传统防火墙无济于事。这是由于原有传统防火墙模式存在多种不同的网络架构限制。在攻击者侵入一个 VLAN 中的一台机器后,最终会侵入同一 VLAN 上的另一台机器,并利用它作为跳板,以入侵 数据中心的其他资产,包括备份服务器在内。
如何检测和阻止勒索软件威胁
作为防御者,为了防止横向移动,您要尽可能限制机器之间的访问。特别要关注勒索软件活动经常利用的协议和服务。员工的笔记本电脑之间没有相互通信的理由,域成员之间也没有通过 SMB 连接的理由。
我们的分段解决方案 允许防御者限制任意两台机器之间的流量。我们的平台使用基于软件的分段方法,因此您可以创建策略来阻止笔记本电脑之间的通信,或限制域成员之间的 SMB 流量,仅允许他们访问域控制器等特定服务器。
Akamai 还提供了监测资产间通信和依赖关系的能力,细化至进程级别。这让您可以提前评估风险,并制定主动策略来保护关键资产和高风险组成部分,例如备份。
该平台还具有稳健的威胁检测功能,支持寻找与已知恶意域的通信,或者已知恶意进程在您环境中的踪迹,这些都可能是恶意软件入侵的迹象。
更多内容请见我们的博文 可及早检测勒索软件的 4 项技术
如果遇到了勒索软件攻击,我该怎么办?
勒索软件的成功有赖于横向移动,因此公司应该重点关注这一环节。如果您确定有勒索软件攻击正在您的网络中活动,那么应该使用具有监测功能的工具来了解入侵范围。基于由此获得的信息,将网络中受攻击影响的部分与公司的其他部分隔离开来,并未关键应用程序和备份添加更多安全防护层。务必在采取缓解措施并且恢复服务之后,再逐步重新启用通信流。
获得所有受感染机器和 IOC(入侵指标)的列表后,即可启动消除感染的工作。将机器分为三个标签组:隔离、受监测和未感染。
更多内容请见我们的博文 通过分段,阻止勒索软件和横向移动
加密勒索软件是怎样运作的?
在勒索软件攻击的第一步中,攻击者会入侵网络,通常采取的支持技术是社会工程、钓鱼邮件、恶意电子邮件附件或网络安全边界中的漏洞。随后恶意软件开始在您的网络中移动,尝试充分利用其着陆点造成最大破坏。通常情况下,攻击者会尝试获得域控制器控制权、盗取凭据,并找到和加密各种数据备份,以防止操作人员恢复被感染和冻结的服务。
怎样确定您遇到的是什么勒索软件?
最常见的勒索软件形式有哪些?
一些攻击活动属于高度有针对性的高级持久性威胁 (APT),由攻击者手动发动;还有一些活动则具有投机性,通常通过脚本自动发动。但它们可以分成两大类别。一类是加密勒索软件,其攻击会加密文件并索要赎金;另一类是锁定勒索软件,会造成用户无法访问设备。
新型勒索软件、恶意代码、恶意软件、恶意附件、恐吓软件以及各种新型勒索软件变体层出不穷。甚至还有付费型勒索软件即服务 (RaaS),也有相应记录作为佐证,其中一个例子是 REvil(Ransomware Evil;也叫做 Sodinokibi),这是一个以俄罗斯为大本营或是以俄语为母语的运营者经营的私密 RaaS。
勒索软件是怎样发展起来的?
就在几年前,大多数勒索软件攻击都是将恶意广告用作初始渗透介质,将几乎所有可能加载这些恶意广告的人作为目标——无论是大公司里“财会部的张三”,还是试着查阅自己电子邮件的老奶奶。当时的勒索软件对目标的区分并不明确,而是把所有人都定为目标,如果受害者付了钱,那就再好不过了,就算没付钱也没关系,因为还有更多“待宰的羔羊”。
然而,2012 年,伊朗的攻击者针对 Saudi Aramco 公司发起了一次针对性网络攻击,即 Shamoon 攻击事件,自此改变了一切。借助 Shamoon,攻击者从 Aramco 窃取了大量信息,在渗透攻击完成后,攻击者使用 Shamoon 覆盖所攻击机器的主启动记录,导致其无法正常工作,唯一的解决方法只有重装系统。这种功能瘫痪导致该公司停机了相当长的时间。
Locky 是 2016 年发布的勒索软件。它通过电子邮件传递(邮件声称是需要付款的发票),附有一个 Microsoft Word 文档,其中包含恶意宏。用户打开文档时,只会看到一堆乱码,还有短短的一句话“如果数据编码不正确,请启用宏”,这是一种社会工程技术。
Petya 是一个加密恶意软件系列,最初发现于 2016 年。这种恶意软件的目标是基于 Microsoft Windows 的系统,感染主启动记录来执行攻击载荷,从而加密硬盘的文件系统表,并阻止 Windows 正常启动。随后,它会要求用户使用比特币支付赎金,以此来换取系统访问权限。
勒索软件的演变历程是怎样的?
让我们将时光机定位到 2017 年。毁灭性的 WannaCry 和 NotPetya 勒索软件攻击汹汹来袭,给多家大型企业和政府机构造成了巨大破坏。这些攻击的特别之处在于,它们揭示了互联网的脆弱性,而且利用零日漏洞在网络上的计算机之间进行病毒式横向移动,感染其接触到的每一台机器,导致其彻底瘫痪。关于 NotPetya 和 WannaCry 的文章资料有很多,我们如今已经了解到,这些攻击背后的动机涉及到某个民族国家攻击者发起的网络攻击。
后续,犯罪软件团伙开始利用这些赎金软件攻击,而在此之前,这类团伙还主要是利用 Zeus(及其所有变体)这种恶意软件,入侵人们的银行账户,从中窃取资金。这往往涉及到时间长、复杂度高、风险高的操作,尤其是在涉及到实际收款时。时至今日的主流观点仍然认为,更容易得手的做法是只将大公司作为敲诈目标,让他们用比特币支付高额赎金,因此勒索软件更多地是 CISO 需要操心的企业威胁,毫无戒心的平民不必为此担忧。
Ryuk 是一个勒索软件系列,最初发现于 2018 年 8 月。它以广受欢迎的日系动漫中的一个虚拟角色命名,现已成为最为恶性的勒索软件系列之一,困扰着全球系统。
我们再将时光机快进到 2020 年。新冠疫情席卷全球,大多数人被迫在家办公,在短短的时间内,威胁模型、风险因素和网络架构发生了彻底的改变,全世界的勒索软件攻击操纵者都开始改变其攻击套路。如今,他们将大公司作为目标,采用双重勒索攻击手法,攻击者不仅会入侵公司、加密文件并以此提出勒索条件,还开始通过渗透攻击技术将这些宝贵的高价值数据发回给攻击者,并以此要挟受害者支付赎金,否则就公开这些数据。
敦促实施网络分段以降低勒索软件传播速度的行政命令出台
2021 年,美国发布一份白宫备忘录,探讨了勒索软件攻击的增长趋势,其中提到的应对方案不但包括较为传统的预防措施与建议,比如安装补丁、启用 2FA 和及时更新安全产品,更着重强调了往往被忽视的网络分段的重要意义。
网络分段不仅能在某些情况下缓解风险,如果实施得当,它还能控制并尽可能缩小勒索软件攻击的“爆炸半径”,从而大幅度降低双重勒索攻击的风险。即使防病毒软件和 EDR 未能阻止勒索软件执行,适当的网络分段也能控制损害程度,避免攻击者在网络中横向移动以窃取更多敏感数据、加密更多机器。
利用 Akamai 独特的软件方法进行网络分段,即可在服务器、应用程序、不同的操作系统、云实例等资产之间建立“网络孤岛”。利用适当分段策略降低勒索软件风险的优势在于其简单性,一个比特位可以通过连接(或虚拟交换机)传输到不同的机器(或虚拟机/容器),也可加以阻止,因此攻击者尝试访问网络上更多资源的尝试只会徒劳无功,这也给测试蓝队留出更充分的时间来应对攻击、向公司中的主要利益相关者通报情况,从而让他们能够就此类攻击的损害做出更明智的决定。
网络分段不能取代防病毒、防恶意软件或 EDR 平台,只是作为补充机制,事实已经证明,它能大幅减少乃至完全消除公司范围内的大规模横向移动攻击风险。
更多内容请见我们的博文 EDR 与分段解决方案比较:区别简介
如何应对勒索软件威胁?
勒索软件攻击的这个新时代揭示了一个很久之前就该解决的问题:横向移动。
出于通过渗透技术窃取所有数据的目的,攻击者必须了解这些数据在网络上的位置,而为了了解这些信息,他们需要摸清网络情况,对网络的了解程度要达到与最初的网络设计者同等(乃至更深入)的程度。这就要求攻击者从一台机器/服务器“横向移动”到另一台机器/服务器,实现方法通常是从网络上的不同机器中窃取各种凭据。
许多安全服务供应商都尝试解决这个难题,有些供应商要更成功一些。多年来,安全市场出现了许多旨在防御这个问题的新型产品,包括 DLP 解决方案、EDR 和 EPP 等,它们都努力去应对横向移动问题,但成效非常有限。
解决横向移动问题极为困难,攻击者利用的是网络自身的特点,也就是“以彼之矛,攻彼之盾”。
他们使用管理员凭据和各种合法管理员工具(如 Microsoft 自己的 Psexec、远程桌面,甚至是 WMI)从一台机器移动到另一台机器,执行恶意命令和攻击载荷,从而窃取数据,随后加密网络并发动勒索行动。许多企业都在投入资源,试着使用 EDR/EPP 产品以超出必要的严密程度监控各种资源,但这种权宜之计在抵御勒索软件攻击方面的成效有限,甚至降低此类风险的效果也不够明显。
通过网络分段阻止横向移动
实际上,解决方案是存在的,而且实施起来要比您想象得简单得多,那就是 网络分段。网络分段常常被遗忘,乃至被完全忽略,因为人们认为它的实施难度太大,需要严密关注网络工程和资产管理。正因如此,企业经常不考虑网络分段,造成其网络“扁平化”,也就是说,各终端或服务器可以不受任何限制地相互通信。
过去,网络分段意味着将不同的资产分别纳入不同的子网,并在子网间设置防火墙。这没有留出精细调节的空间,极大地增加了网络管理难度,还要求管理员管理复杂的防火墙配置,以及不同子网的 IP 地址分配,这又进一步加大了 IT 人员设计和扩展网络的难度,一旦配置不当,就会造成安全风险或网络故障(有时甚至同时造成这两大问题!)。这又造成 IT 人员不重视网络分段,而是给予预防型产品更多信任,造成完全扁平化、无分段的网络。
客户为什么选择 Akamai
Akamai 支持并保护网络生活。全球各大优秀公司纷纷选择 Akamai 来打造并提供安全的数字化体验,为数十亿人每天的生活、工作和娱乐提供助力。 Akamai Connected Cloud是一个大规模分布式边缘和 云平台,让应用程序和体验更靠近用户,帮助用户远离威胁。