駭客動態播報 | 警惕！這種新型勒索攻擊正在興起！

　　在網路威脅無處不在的當下

　　

　　企業遭遇勒索攻擊是件很糟心的事

　　

　　但還有比這更糟心的

　　

　　那就是

　　

　　同時被三夥駭客勒索!

　　

　　三封勒索信

　　

　　今年上半年,某汽車製造商在兩週內遭遇了連續三起勒索攻擊。

　　

　　三個勒索團伙都以同一個遠端桌面協議(RDP)的錯誤配置為切入點發動襲擊,他們各自執行勒索軟體、加密資料、留下贖金要求,其中一些檔案甚至被三重加密。

　　

　　值得玩味的是,本起攻擊事件中,第三家駭客組織BlackCat在撤場前不僅清理了自家活動痕跡,還將前兩個攻擊者LockBit和Hive的行為日誌一併刪除掉。

　　

　　“同一時間段發起攻擊”、“基於相同的漏洞獲取網路許可權”、“日誌資訊一起刪除”——三起攻擊的相似之處不止一星半點,難道是巧合嗎?

　　儘管目前研究人員尚未找到證據證明這三起攻擊是犯罪分子協調好的預謀行為,但需要警覺的是,一股不同尋常的攻擊風向正在勒索網路中興起。

　　

　　多重攻擊

　　

　　在一般認知裡,地下網路犯罪集團之間大多存在黑吃黑的情況:他們相互爭奪資源,千方百計阻止對方擴張,比如加密礦工通常會在同一個系統上滅掉競爭對手,遠端訪問木馬(RAT) 看到其他惡意軟體家族也會將其從受感染的系統中踢出去……

　　

　　不過勒索軟體攻擊者似乎並沒有遵循這一趨勢,除了前述BlackCat幫忙刪除前兩家駭客組織活動日誌,還有個例子是駭客組織Karakurt Team曾利用LockBit勒索團伙建立的後門竊取資料並勒索贖金。

　　

　　為什麼勒索軟體攻擊者們會達成這種友好的合作呢?可能有如下原因:

　　

　　●勒索團伙之間不存在爭奪CPU資源或殭屍網路規模的利益衝突,所以沒必要扼殺競爭。

　　

　　●初始訪問代理 (IAB)為勒索軟體鋪平了道路。初始訪問代理就是那些販賣網路初始訪問許可權的人,他們先透過多種方式,如暴力訪問遠端桌面協議(RDP)或遠端管理軟體、利用系統中未修補的漏洞等獲得受害者網路初始訪問許可權,之後再轉售他人以獲利。

　　

　　自此網路犯罪分子不必在前期投入大量時間去識別目標、破解金鑰,只需將精力用在部署更多攻擊活動上,從而獲得更高收益。

　　

　　●近些年勒索軟體的暴利吸引了不少犯罪者加入,勒索軟體即服務(RaaS)也降低了網路攻擊的門檻,在這個狼多肉少的擁擠市場上,駭客們可能認為對目標施加的壓力越大(多次攻擊),受害者支付的可能性就越高。

　　多重攻擊現象對企業意味著災難,一個綁匪的贖金要求已經吃不消了,更何況這些綁匪的數量要乘以N,多份贖金加起來,恐怕數十萬、數百萬乃至數千萬美金都打不住。

　　

　　另外,受害者不僅要面對更多對手,而且業務資料經過重疊加密,要想在短時間內從這些攻擊中恢復過來,技術困難可能難於上青天。

　　

　　化被動為主動

　　

　　雖然駭客攻擊手段不斷翻新,網路威脅形勢一直在演變升級,但這並非無解,應對安全風險,首要的法子是避免成為受害者。

　　

　　組織可以在整個網路中實施強密碼和多因素身份驗證,如上述三重攻擊事件所示,遠端桌面協議等給駭客的登堂入室大開方便之門,但使用複雜密碼和多因素身份驗證在很大程度上可以抵禦賬戶入侵威脅。

　　

　　駭客用以入侵網路的另一種常見手段是利用漏洞,對此組織必須儘快應用安全更新,該打補丁打補丁,以免不法分子濫用已知漏洞與修復程式發起勒索攻擊。

　　

　　另外,如果組織自身應對網路威脅的能力有限,可以信賴戴爾科技集團這樣的專業選手。面對資料時代下的安全訴求,戴爾科技集團以全面完善的技術、解決方案和多種現代化手段,幫助企業加強資料安全、提高網路彈性,築牢安全根基。

　　

　　為了更好地幫助使用者應對資料安全挑戰,戴爾科技集團著力構建了“三位一體”的資料保護策略,即備份(BR)+容災(DR)+資料避風港(CR),讓企業使用者面對不同威脅時可按需採取不同的保護措施。

　　

　　“三位一體”資料保護以PowerProtect DD系列產品為基礎構建,PowerProtect DD可無縫整合使用者的現有環境與新型應用,建立統一的資料保護資源池,打破備份資料孤島,簡化多雲工作負載的資料保護流程。

　　

　　* PowerProtect DD資料保護專用儲存裝置採用英特爾?Xeon?可擴充套件處理器,可以快速、安全、高效地保護和管理使用者資料,併為多雲工作負載實現簡化和高效運營。

　　

　　在這個資料保護體系中,備份(BR)方案以可靠、快速、低成本的恢復策略可滿足企業使用者對大規模資料的備份需求,容災(DR)方案可為關鍵業務資料提供全面且高效的保護,避風港(CR)方案可自動執行端到端工作流,保護和隔離關鍵資料、識別可疑活動,並在需要時執行資料恢復,提高業務從網路攻擊中恢復的能力。

　　

　　特別值得一提的是PowerProtect Cyber Recovery避風港(CR)方案,作為應對網路威脅的大殺器,PowerProtect Cyber Recovery於2020年得到美國銀行家協會聯合多家金融機構和協會成立的非營利組織Sheltered Harbor正式認可,多年來在全球多個行業守護多家客戶的網路安全。

　　

　　Cyber Recovery 透過Air Gap網閘隔離機制和副本鎖定機制阻斷勒索病毒感染備份資料的可能性。為防止備份檔案被惡意刪除,系統同時對隔離儲存庫內的資料進行鎖定,確保備份資料副本不可加密、不可篡改、不可刪除。一旦“最壞情況”發生,還可迅速對資料進行隔離、清洗、掃描,讓核心業務起死回生。

　　

　　同時,CyberSense可對儲存區的所有資料執行完整的內容索引以確認完整性,並且在檔案可能發生損害時發出報警,從而主動識別風險。藉助Cyber Recovery方案,當生產系統的資料和備份資料遭遇勒索軟體加密,資料避風港會基於乾淨的資料實現資料恢復和業務還原,提高資料保護和恢復的成功性,提升企業部署方案的信心。

　　

　　在層出不窮的網路威脅態勢下,戴爾科技集團永遠是您值得信賴的合作伙伴,我們提供全面的網路彈性,助您安全地進行業務創新並實現突破。