勒索软件是一种恶意软件,它会阻止用户访问计算机系统或其存储的数据,直至受害者向攻击者支付赎金。2022 年,全球发生了 4.9333 亿起勒索软件攻击,勒索软件成为当今企业面临的最严重的网络威胁之一。在本指南中,我们将探讨常见的勒索软件攻击及其防御方法。
如果您担心遭到勒索软件攻击,请立即使用 Veeam 勒索软件防护来保护您的数据。
勒索软件对现代企业来说是一种日益严峻的威胁
在勒索软件攻击泛滥的今天,大多数人都至少已经对勒索软件有了基本的了解,但他们可能不完全理解其运作机制或攻击活动如此猖獗的原因。根据《英国犯罪经济和社会损失》报告,网络犯罪给英国造成的损失高达“数十亿美元”。 到 2031 年,勒索软件攻击给全球造成的损失预计将达到 2,650 亿美元。
虽然一些勒索软件的受害者足够幸运,成功解密了其数据,但事实上许多类型的勒索软件都没有适用的解密工具,这意味着组织必须还原备份才能从攻击中恢复。如果他们没有备份或备份也受到攻击,则可能会遭受惨重的数据和运营时间损失。我们的《2023 年勒索软件趋势报告》重点介绍了勒索软件攻击对一些组织的严重危害。
理解勒索软件防御
勒索软件防御需要多管齐下。首先,实施基本的网络安全最佳实践,采用针对性较强的策略和技术来检测和响应勒索软件攻击,包括正在进行中的攻击。
传统防火墙和杀毒软件可以阻止一些攻击,而且开展有关如何识别网络钓鱼电子邮件、恶意网站和潜在危险可执行文件的全员培训对于防止攻击也大有帮助。然而,现代勒索软件防御工具可能更胜一筹,它们能够监控网络活动和文件系统活动,识别攻击迹象,如异常通信模式或文件访问/加密活动。
网络管理员可应用大量安全和 IT 工具进行勒索软件防御。终端保护、入侵检测系统 (IDS) 和入侵防御系统 (IDS) 能够与基于行为的分析技术相结合,快速发现攻击,从而减轻损害。
每种策略都无法单独保护企业 IT 系统免遭勒索软件的攻击。通过组合使用防御技术、被动扫描和主动防御措施,我们可减小攻击面,并提高任何补救措施成功抵御攻击的可能性。
勒索软件防御的关键组件
有效的勒索软件防御需要采用多管齐下的方法。
网络安全和监控
防火墙和入侵检测系统 (IDS) 是抵御各种攻击的第一道防线,不仅限于勒索软件。防火墙会扫描传入和传出的网络活动,并阻止被其视作未经授权的连接。
未经授权的活动可能是端口扫描,即攻击者尝试随机连接端口,以发现服务器上正在运行的服务。或者,可能是攻击者试图暴力登录服务器,或通过快速连续发送大量请求对服务器发起拒绝服务攻击。
入侵检测系统类似于防火墙,也可以检测恶意活动。然后,这些工具会根据一组预定义的规则采取操作。例如,它们可能会触发其他工具运行或提醒系统管理员,以便他们可以分析问题并手动干预。
勒索软件防御是一场军备竞赛,不可能仅仅依赖于静态规则和恶意软件定义。即使是启发式病毒扫描,也无法保证能够识别所有恶意代码。因此,必须采用实时监控和行为分析来识别系统上活动的变化。采用这种形式的监控会增加发现可疑活动的可能性。
例如,实时监控可发现短时间内访问或更改大量文件的情况。它还能够发现长期未用文件被突然打开的情况。即使事实证明该活动不是勒索软件,它也可能是一些其他安全问题,比如内部威胁。
事件响应和恢复
安全工具只是策略之一。即使部署了复杂的工具,仍存在发生安全漏洞的风险,拥有清晰而有效的事件响应计划对于最大限度地减少攻击造成的破坏至关重要。
勒索软件事件响应计划包括以下几个步骤:
- 确定受影响的系统。
- 尽可能断开设备与网络的连接。
- 必要时关闭受影响的设备。
- 查看系统日志,以确定攻击是如何发生的。
- 识别勒索软件,并确定该系统上是否有任何其他恶意软件。
您所遵循的步骤可能会因攻击的性质而有所不同。对于是保持受感染设备的运行状态(攻击得以继续进行),还是关闭系统(但会丢失易失性内存中所存的任何证据),管理员必须权衡利弊。
如果最近的备份可用,并且据知已受到保护/与勒索软件隔离,那么打开受感染的系统但断开任何 Wi-Fi 或 LAN 连接以进行分析可能是合理之举。
数据恢复也只是策略之一。迅速控制攻击以防止其蔓延是最理想的情况。在许多情况下,通过对员工的笔记本电脑进行有针对性的网络钓鱼攻击,勒索软件得以侵入网络,进而渗透到网络硬盘和其他系统,寻找其有权限访问和写入的任何位置。
快速识别攻击意味着恶意软件有更少的时间来传播和感染硬盘。破坏范围可能仅限于用户设备和一些非关键任务的网络共享,具体取决于最初感染的系统以及网络上文件访问权限的配置完备性。
采取系统性遏制和恢复方法
系统管理员应始终谨记,勒索软件有着多变的攻击方式。 一些勒索软件只对文件进行加密;如不支付赎金,其他恶意脚本会在一段设定时间之后删除受害者的数据。还有一些特别危险的勒索软件会扫描文件,寻找有潜在价值的数据,并将这些数据发送给攻击者,然后攻击者会威胁称,如不支付赎金,就泄露这些数据。
此类数据泄露对任何企业都别具破坏力,因此在应对勒索软件攻击时必须谨慎处理。与其匆忙进行数据还原,不如花一些时间对任何受感染的系统进行彻底消毒。根据攻击的严重程度,只擦除或重映像受感染系统的做法可能更高效。
为了降低再次遭遇攻击的风险,请更改您所有系统的密码,并审查您现有的任何防火墙规则、拦截列表和恶意软件检测系统,以确保它们得能及时更新和正常运行。为员工提供有关网络钓鱼和社会工程攻击的培训。
确信恶意软件已完全从网络中删除后,方可开始从备份中还原关键数据。在还原备份之前,务必要扫描备份本身,以确保它们未被感染。如果能迅速发现感染,那么备份不太可能被感染。但如果您经常执行备份,则最近的备份可能被感染,为此您需要还原更早的“冷”备份或“异地”备份。
避免支付赎金
虽然在一些备受瞩目的案例中,勒索软件攻击者将目标瞄准大型组织,并向他们索要巨额赎金,但其实大多数勒索软件攻击者都抱着投机心态。攻击者通常索要较少的金额,从 700 美元到 1,500 美元不等,认为一心只想尽快恢复文件的受害者更有可能支付金额较低的赎金。
最常见的勒索软件赎金支付方式是加密货币,如比特币、莱特币,甚至狗狗币。之所以选择这些代币,是因为它们在主流交易所广泛使用,受害者更容易购买。攻击者还发现,可轻松使用“转币器”洗白非法所得货币的历史,以便日后将这些币种转换成现金。
对于经受不起电脑锁屏的企业主来说,支付赎金可能是一个比较好的选择。然而,在数据恢复和支付赎金之间做出抉择时,您必须认真考虑每种选择的影响。支付赎金后恢复数据的唯一保证是勒索软件开发者能够遵守承诺,但选择这种赚钱方式的人毫无道德可言。此外,即使您恢复了数据,如若不对系统进行消毒,也无法保证剩余恶意软件日后不会通过其他方式再次向您发起攻击。
支付勒索软件赎金的道德问题也值得深思。加密货币经常被用来资助贩毒、洗钱、人口贩运和恐怖主义活动。当您购买加密货币时,您就是在间接地支持此类活动,而支付赎金也是在鼓励网络犯罪。
在世界上的一些国家和地区,支付勒索软件赎金可能是非法行为,因为这可能涉及向受到金融制裁的实体支付款项。并非每个国家和地区都是如此,但我们要注意。如果您是勒索软件攻击的受害者,并且正在考虑支付赎金,请务必在采取行动之前寻求法律建议。
持续改进和学习
如果成为勒索软件攻击的受害者,贵公司可能会感到尴尬。您可能诧异这是怎么发生的,后悔没做些什么来阻止攻击。要知道网络犯罪的受害者中不乏拥有专门 IT 团队和巨额预算的大型组织。试着从攻击事件中汲取教训,并制定新的策略来击败勒索软件。
您可以在不违反保密协议或分享公司数据的情况下,公开探讨攻击事件,并帮助其他人从中汲取教训。分享您的失误所在,并讨论您(和其他人)如何才能更好地保护自己。
您还可以选择运行模拟勒索软件训练,以测试您的就绪程度,并确定可能需要额外培训的领域,或者您的 IDS 或其他系统的有待改进之处。
与其他勒索软件措施的联系
本文聚焦于勒索软件防御,但其他一些相关问题也值得关注:
- 首先,防止攻击的发生
- 识别攻击后,响应攻击
- 在攻击之后恢复数据
综合运用所有这些措施,形成有效的勒索软件防护策略。它们之间有很多重叠部分。良好的勒索软件防御策略可能采用类似的工具来预防勒索软件,并包含快速响应计划。不过,单独制定自己的策略意义重大,可确保您拥有强大的安全和备份系统。
增强贵公司的勒索软件防御
如果贵公司担心勒索软件的潜在影响,则可借此机会审查您的防御策略。
创建全面的策略
审查您现有的网络安全措施,并执行全面的安全审计。考虑运行突发事件模拟,以识别潜在的安全漏洞。
在执行审查之后,起草一份集预防、保护、防御和响应于一体的计划,以涵盖您能想到的每一种可能性。不要盲目地复制他人的计划;务必要根据贵公司的具体需求定制计划。
充分利用技术并加强协作
在勒索软件无所不在的今天,有许多工具可用于监控和检测入侵以及收集威胁情报。不要试图自行创建工具。利用现有的丰富专业知识,与业内其他人士合作。我们可以携手击败勒索软件。
勒索软件是不认人的
勒索软件是一种无法摆脱的投机性威胁。它感染单个家庭用户的概率同感染一家跨国公司的概率相差无几。因此,对于担心数据保护的人来说,积极主动地防御勒索软件至关重要。
通过制定一个集预防、保护、响应和恢复于一体的多方面勒索软件防御策略,我们可构建灵活的网络安全框架,有效应对不断演变的勒索软件攻击威胁环境。
如要详细了解我们可如何帮助保护贵公司的数据,请下载我们的《勒索软件恢复的七大最佳实践》白皮书。