Check Point Research (CPR) 最近指出,在过去 12 个月中,平均每周勒索软件攻击次数增加了 93%。每周,全球有 1,200 多个组织沦为勒索软件攻击受害者,所有企业无一不面临着严峻风险。Cybersecurity Ventures 称,今年勒索软件造成的损失将达到约 200 亿美元,较之 2015 年激增 57 倍。很难相信,到 2031 年,勒索软件事件成本甚至可能超过 2650 亿美元。
勒索软件攻击次数日益增长,原因很简单,黑客正不断攫取赎金。受害者支付意愿导致恶性循环,让攻击者得寸进尺。此外,网络风险保险正变得越来越普及,因此公司会毫不犹豫地满足网络犯罪分子需求,致使问题进一步恶化。
此外,攻击次数增加也与威胁手段可用性有关。许多黑客组织提供勒索软件即服务,因此任何人都可以租用此类威胁侵害,包括利用基础设施、与受害者谈判或访问可发布被盗信息的勒索网站。然后赎金被“合作伙伴”瓜分。
但勒索软件攻击通常并非始于勒索软件,而往往是从一封“简单”的网络钓鱼电子邮件开始。此外,黑客组织经常狼狈为奸。例如,在 Ryuk 勒索软件攻击中,Emotet 恶意软件被用于侵入网络,然后网络感染 Trickbot,最后勒索软件对数据进行了加密。
企业如何知道自己是否已沦为勒索软件攻击受害者,又该如何有效应对呢?如果没有及时发现,那么比较简单,因为企业会收到一则索要赎金的消息,并将无法访问企业数据。
此外,网络犯罪分子还不断升级勒索手段,增加赎金支付压力。最初,勒索软件“只是”加密数据,并要求受害者支付赎金才会对其进行解锁。攻击者很快增加了第二阶段并在加密前窃取宝贵信息,并威胁称如不支付赎金就将其公之于众。除了加密以外,大约 40% 的新勒索软件家族还通过某种方式利用数据窃取。此外,最近勒索手段已发展到第三阶段,被攻击公司的合作伙伴或客户也被联系索要赎金,这是一种称为三重勒索的新伎俩。
Check Point 软件技术公司事件响应团队处理过全球无数勒索软件案例,建议您在遭到勒索软件攻击时遵循以下步骤:
1) 保持冷静
如果贵企业沦为勒索软件攻击受害者,切勿惊慌。请立即联系您的安全团队,并对勒索信进行拍照取证,以供执法部门执行进一步调查。
2) 隔离受感染系统
立即断开受感染系统与网络其余部分的连接,防止遭到进一步破坏。同时,确定感染源。当然,如前所述,勒索软件攻击通常始于另一威胁,黑客可能已经长期侵入系统,逐渐掩盖其踪迹,因此在没有外部协助的情况下,大多数公司可能无法检测“零号病人”。
3) 注意备份
攻击者知道,企业将尝试从备份中恢复数据,以避免支付赎金。正因如此,攻击的一个环节通常是尝试定位并加密或删除备份。此外,切勿将外部设备连接到受感染设备。恢复加密数据可能会造成损坏,例如,密钥错误所致。因此,创建加密数据副本将非常实用。解密工具也逐渐开发出来,可帮助破解以前未知的代码。如果您确有尚未加密的备份,请在完全还原前检查数据完整性。
4) 请勿重启或执行系统维护
关闭受感染系统上的自动更新及其他维护任务。删除临时文件或进行其他更改只会徒增调查和修复复杂度。同时,请勿重启系统,因为某些威胁侵害可能会开始删除文件。
5) 展开合作
在打击网络犯罪,尤其是勒索软件的保卫战中,协作是关键。因此,请联系执法部门和国家网络部门,并毫不犹豫地联系可靠网络安全公司的专门事件响应团队。将攻击事件告知员工,包括发现任何可疑行为时的处理方法说明。
6) 确定勒索软件类型
如果攻击者所发消息没有直接说明其勒索软件类型,那么您可以使用一套免费工具,请访问 No More Ransom 项目网站,从中找到专门针对您所遇勒索软件的解密工具。
7) 是否支付赎金?
如果勒索软件攻击成功,企业将面临是否支付赎金的选择。不管怎样,企业都必须回到事件伊始,找出事件发生的原因。无论是人为因素还是技术失灵,再次审查所有流程并重新审视整个策略,确保类似事件不再发生。无论企业是否支付赎金,都必须采取这一措施。绝不可因实现某种程度上的数据恢复并认为事件得到解决而感到释怀。
是否支付赎金呢?答案并不像乍看起来那么简单。尽管赎金数额有时高达数十万或数百万美元,但关键系统中断所造成的损失往往超过上述金额。然而,企业必须切记,即使支付了赎金,也不意味着数据或部分数据将得以解密。甚至还发生过这种情况:攻击者代码存在漏洞,因此即便他们想要解密,企业也无法恢复数据。
不要匆忙做出决定,请慎重思量所有选择。支付赎金应是万不得已之举。
如何将沦为下一个勒索软件受害者的风险降至最低?
1.周末和节假日要格外警惕。过去一年中,大多数勒索软件攻击都发生在周末或节假日,此时企业的威胁响应速度很可能较慢。
2. 定期安装更新和补丁。WannaCry 于 2017 年 5 月重创了全球组织,三天内感染了超过 200,000 台电脑。然而,在攻击发生前一个月,针对被利用的 EternalBlue 漏洞的补丁便已提供。更新和补丁均需即时安装并采用自动设置。
3. 安装反勒索软件。反勒索软件防护可监视任何异常活动,例如打开和加密大量文件,如果检测到任何可疑行为,它可以即时响应并防止大规模破坏。
4. 安全教育是实施防护的重要组成部分。许多网络攻击都是从一封不含恶意软件的针对性电子邮件开始,利用社交工程技术企图诱骗用户点击危险链接。因此,用户安全教育是实施防护的最重要部分之一。
5.勒索软件攻击并非始于勒索软件,因此要警惕其他恶意代码,例如 Trickbot 或 Dridex,它们会侵入企业并为后续勒索软件攻击创造条件。
6. 备份和归档数据必不可少。如果出现问题,您的数据应可轻松快速恢复。必须始终备份,包括在员工设备上自动备份,而非依靠他们记住自己启动备份。
7. 限制仅访问必要信息并实施分段访问。如果您希望最大限度地减少潜在成功攻击的影响,那么务必确保用户仅可访问其完成工作所必需的信息和资源。网络分段将勒索软件在整个网络中肆意传播的风险降至最低。对针对一个系统发起的勒索软件攻击进行善后可能并非易事,而在遭遇全网攻击后修复损害将更具挑战性。