时间:2022-08-25
作者:
法国网络安全官员首次预警一个勒索软件附属团伙Lockean,该团伙兴起于2020年6月,至少与七家法国企业的攻击活动有关,其中包括运输物流公司Gefco、制药集团Fareva与Pierre Fabre以及当地报纸Ouest-France等。
该团伙通常会租用已经被Emotet网络钓鱼邮件所感染的企业网络访问权限,然后部署QakBot恶意软件与CobaltStrike后渗透框架。会使用AdFind、BITSAdmin以及BloodHound等工具,在网络内横向移动,借以扩大对目标企业系统的访问与控制范围。
使用RClone工具程序从受害者网络内复制敏感文件,最后部署文件加密勒索软件。勒索软件附属团伙,还租用勒索软件即服务(RaaS)平台实施攻击赚取赎金分成的犯罪组织,通过这些平台,附属团伙能够随时访问、筹备并部署新的勒索软件,将这些勒索软件部署在已侵入的网络之上,它与勒索软件开发者、RaaS运营平台等共同组成勒索软件生态,按比例瓜分勒索赎金。
如果受害者方面拒绝付款,则其数据将被发布在RaaS平台运营的所谓“泄密网站”之上。这种行为堪称游街示众,往往会激起公众舆论对于被黑企业的口诛笔伐。
安全专家指出,勒索软件攻击将是信息世界长期存在的威胁。根据Resecurity发布的报告预测,到2031年,全球勒索软件勒索活动将达到2650亿美元,对全球企业造成的总损失将达到10.5万亿美元。这些指标表明勒索软件造成的费用损失将超过自然灾害。
为了躲避检测,勒索软件通常要不断变种升级,2022年第二季度经安全机构、媒体公开报道的变种、升级的事件多到惊人,甚至无法一一陈列。这也表明对抗正在升级。还有迹象显示,多款勒索软件正在转向Rust编程语言,作为一种专注安全的编辑语言,这会将病毒程序的逆向分析工作变得复杂。
当然安全机构也会不断地升级安全软件的检测能力,这也将是一种长期存在的善与恶之间的持续对抗。
LockBit勒索软件组织在6月份已经完成了升级, LockBit 3.0持续优化阻碍安全软件检测能力,同时他们还提出了首个勒索软件的“赏金计划”,如果有人能够发现该勒索软件的脆弱性、漏洞问题,就可能获得甚至高达百万美元的奖励。
第二季度,对几款流行的勒索软件的一项研究发现,他们本身均带有一定的安全问题,从而有利于阻止攻击的最后和最具破坏性的步骤,即文件加密。安全研究人员指出并演示了病毒样本容易受到的DLL劫持攻击,在真实对抗场景中,则可以将DLL 放置在“重要位置”,一旦加载了漏洞利用DLL,勒索软件进程将会在开始数据加密操作之前被终止。
随着近年来勒索攻击逐渐泛滥,面向大多数在线业务、生产系统等场景的灾备解决方案也可以为企业提供勒索快速恢复,方案优势相较于数据备份要更具时效性,以及更加快速的业务恢复能力。
根据行业安全厂商数据,勒索攻击在我国也是一种常见的网络安全威胁,而公开报道多为国外企业,主要是国内还没有实行网络安全披露制度,企业一侧通常不会主动向外披露,所以才会有国内很少被勒索软件攻击的假象。
勒索攻击最终指向的是系统、应用和数据,对于处于数字经济时代的我们,如何让数据在各业务线上安全流通已成当务之急。《数据安全法》催生了数据安全产业的迅猛发展,以数据保护为抓手,应对勒索攻击已是可行方案;
中小企业限于没有专业的运维人员来管理网络安全,会存在即使部署了安全产品也没有得到有效利用,这是广泛存在的现状问题,大中型企业尚能自行解决问题。现在安全企业也注意到了这一问题,安全托管服务可以帮助企业解决这一难题。
企业应该认识到针对性地勒索攻击致使数据加密,当前技术上是无法恢复的,应该立即着手数据备份工作,且强化数据备份的隔离加密,始终让备份数据保持高可用性。对于生产经营性质企业,为了追求业务的持续运营,容灾备份解决方案已成为他们的最佳选择,该方案在保证数据高可用前提下,可支持系统在异地迅速再生。