想象一下,经营豪华酒店的运营,你的客人突然被锁在他们的房间外,直到你向***支付比特币赎金。或者考虑如果主要公共建筑的供暖系统在冬季中期关闭会发生什么。
如果一个主要的都市警察部门在遵循联邦调查局的建议拒绝向***支付赎金后失去所有的dashcam视频档案会怎样?或者美国医疗保健网络最终向犯罪分子支付了55,000美元的比特币,以便重新获得对其关键计算机系统的访问权限?
这些场景都不是一个糟糕的梦想; 相反,它们是最近的勒索软件***。现在被列为顶级网络威胁之一,多年来勒索软件一直在给世界各地的组织造成严重破坏。Verizon的2018数据泄露调查报告将勒索软件列为39%与恶意软件相关的数据泄露事件的原因。这是前一年的两倍多,这是前一年的两倍。
不仅仅是一种滋扰
当勒索软件首次出现时,企业安全团队很少将其视为主要的安全威胁。典型的受害者是家庭计算机所有者,他们不知道避免可疑网站或使用神秘的电子邮件附件谨慎行事的重要性。
早期的勒索软件 - 从九十年代后期到2010年大量发展 - 主要包括恶作剧和故意破坏,其中***的主要目标是获得恶名。
通常,赎金需求会在屏幕上显示消息,提供间谍软件删除。有来自驱动下载网站的虚假计算机性能增强应用程序的广告。在下载恶意附件以回应粗略编写的网络钓鱼电子邮件后,可能会出现威胁消息。通常这些早期的赎金要求需要付费来修复他们声称已经感染了用户计算机的假问题 - 实际上计算机运行正常。
2008年,我们开始看到第一个计算机锁定的特洛伊***程序。其中一个是Trojan.Randsom.C,它要求用户拨打一个高级电话号码(电话费用出现在他们的电话账单上)以重新获得对他们机器的访问权限。
密码勒索软件的兴起
2013年,***通过加密勒索软件将其提升到了一个新的水平。最臭名昭着的Cryptolocker***向受害者发送了一个令人震惊的消息,即他们的文件已被加密,如果三天内没有支付赎金,将被删除。几乎不可能防御; Cryptolocker的程序员已经找到了一种方法来生成强大的2048位RSA公钥和私钥加密来感染文件。即使IT人员可以删除特洛伊***,受影响的文件仍然无法以难以解密的方式访问。
今天勒索软件不再仅仅是家庭计算机的麻烦,相反,***正在对可能威胁公共安全的企业和政府进行计算,危险和昂贵的***。勒索软件的复杂交付旨在欺骗最精明的用户。
高价值目标
2018年的F-Secure报告“勒索病毒的变化状态”解释了简单勒索病毒软件的速度如何放缓,但其他不断演变的***变得更加复杂。今天分析师看到,使用勒索软件瞄准具有高价值目标的主要组织的核心勒索者人数增加。
针对企业比感染个人用户更有利可图。虽然用户的个人设备可能只花费几百美元来解密,但***者可以从高价值目标中敲诈数万美元或更多。
2017年的一次全球网络***向每个人展示了公司遭受勒索软件***的脆弱性。WannaCry通过加密数据和要求比特币赎金来***运行Microsoft Windows操作系统的计算机。
令人难以置信的是,WannaCry通过SMB端口的感染确保了它专注于组织,引用了F-Secure报告。通过暴露的,受损的远程桌面协议(RDP)端口传播的勒索软件已不再罕见。
至于RDP,使其成为***流行途径的弱点包括:
· 保持端口3389 / TCP对任何入站连接开放
· 不要求管理员更改其默认管理员帐户凭据
· 在触发警报或帐户锁定之前允许多次登录尝试
这些企业威胁载体基本上允许犯罪分子关注目标的质量而不是数量 - 以获得更大的支出。
Druva每年发布的2017年勒索软件报告指出,超过一半的企业报告多次被勒索软件***,***已超出用户端点,33%的企业服务器受到***。
Exabeam自己的研究”勒索软件***剖析“发现赎金价格上涨是另一种趋势,勒索软件***正在创造更复杂的工具。
如何检测和停止勒索软件?
用户无意中点击了将其引入网上诱骗网站的附件或链接。勒索软件已经***到您的网络中。怎么办?好消息是它仍然可以在其杀伤链中尽早发现它以阻止它变冷并防止。
Exabeam研究人员在我们的实验室中引爆了86株菌株,确定了勒索软件杀伤链中常见的六个阶段。面对***随后进行的排列或改进,每个阶段都与任何特定的压力一致。
1.分发活动
在分发活动期间,***使用社交工程和武器化网站等技术来诱骗或强迫用户下载。这开始了勒索软件的感染。
2.恶意代码感染
一旦登上受感染的计算机,dropper就会回家(连接到预定义的IP地址列表)以下载恶意.EXE(或伪装的可执行文件)并将其存储在本地TEMP文件夹中。然后终止,移除dropper脚本,并引爆恶意负载。
3.恶意有效载荷分段
这里勒索软件设置并嵌入自身,同时还建立持久性以在系统重启后保持。
4.扫描
现在,勒索软件在本地计算机和网络可访问资源上搜索要加密的内容。为安全团队提供宝贵的响应时间,可以检测到这个阶段; 它为他们提供了打断勒索软件杀毒链的机会。
扫描本地计算机和同步云文件夹可在几秒钟内完成。但是,映射出大型企业网络,调查扫描结果,检查读/写权限以及其他操作可能需要几分钟到几小时 - 具体取决于必须评估的信息量。
5.加密
勒索软件已经解压缩并对系统进行了侦察。再次仍然有时间停止*** - 没有发生任何可能不可逆转的事情。
但是在这个阶段,控制开始有利于***,勒索软件开始加密它在扫描期间发现的所有文件。此阶段可能需要几秒到几小时,因为加密过程在受感染的计算机上本地运行。勒索软件必须获取文件,加密文件,将加密版本上传到原始位置,然后删除原始文件。
这种***可能更加险恶。如果在扫描阶段发现的网络或云存储位置变得不可用,则勒索软件可能处于休眠状态。依靠在分期期间采取的持续性预防措施,它耐心地等待您的资源重新进入其路径。
现在感染显示赎金票据,***等待付款存入他们的比特币钱包。您将决定是否支付赎金或丢失加密文件。此外,它们的价格可以上涨 - 许多勒索软件类型预先配置了超时阈值; 一旦达到每一个,赎金数量就会增加。
在勒索软件损坏之前检测它
与恶意软件一样,***者将继续发展他们的分发方法,并发现越来越多的创造性方法来感染他们的受害者。