駭客動態播報 | 這種勒索方式，讓付贖金毫無用處

　　入侵→加密→要贖金

　　

　　駭客憑這套商業模式橫行多年

　　

　　受害者之所以前赴後繼付贖金

　　

　　是因為他們相信

　　

　　給錢就能如願拿到金鑰

　　

　　儘快恢復業務

　　

　　可有的時候

　　

　　自系統被加密的那一刻起

　　

　　資料就拿不回來了

　　

　　今年10月,網上出現了一種名為Cryptonite的開源勒索軟體包。它使用Python編碼,利用加密包中的Fernet模組對副檔名為“.cryptn8”的檔案進行加密,主要使用網路釣魚的方式對目標進行入侵。

　　

　　可根據安全人員的研究,Cryptonite作為勒索軟體存在嚴重的先天不足:它可以鎖定檔案,卻無法重新解密,即使支付了贖金也是如此。

　　

　　研究人員認為,Cryptonite之所以這樣並不是故意設計的惡意破壞行為,而是因為勒索軟體組合不當,其自身的弱架構和程式設計迅速將其變成一個不允許資料恢復的擦除器。

　　

　　如果Cryptonite崩潰或剛剛關閉,它就不能恢復加密檔案,也無法在僅解密模式下執行——因此每次執行勒索軟體時,它都會使用不同的金鑰重新加密所有內容。

　　

　　這再次為廣大企業敲響警鐘

　　

　　付贖金≠拿回資料

　　

　　

　　也許與支付贖金相比,從勒索軟體中恢復的成本更高;也許企業認為付贖金可以降低業務長時間停機造成的損失;也許企業不希望暴露客戶或員工的資料……多重考慮之下,遭遇勒索攻擊後付贖金似乎是更好、更便宜的途徑。

　　

　　但無論何時都不建議受害者付贖金,因為付贖金後,你非但解決不了問題,反而會變得更窮。

　　

　　拿不回資料

　　

　　根據2021年Sophos報告,支付了贖金的企業中,只有8%拿回了所有資料,29%的組織恢復的加密資料不超過一半。

　　

　　我們不能跟犯罪分子講誠信,正像你無法希望豺狼長著菩薩心腸。即使受害者付費,也不能保證攻擊者會返回資料或解密金鑰,將資料恢復到攻擊前的位置。相反,他們還可能簡單地清空您的所有資料,甚至將其公開到網際網路,供所有人訪問和使用。

　　

　　而且,從勒索軟體事件中恢復很少是一個快速的過程,調查、系統重建和資料恢復通常需要數週的時間,從這個層面上講,付贖金就能更快恢復業務的期望並不成立。

　　

　　遭遇重複攻擊

　　

　　即便受害者已經付過贖金,勒索團體可能還會要求再次付款——第一次用於購買解密金鑰,而第二次支付以確保資料不被洩露。

　　

　　更糟糕的是,積極付贖金有可能被打上“容易得手”的標籤,如果組織在網路犯罪團伙中享有“積極付款人”的聲譽,就跟小偷在家門前畫了標記一樣,可能招致更多勒索攻擊。

　　

　　事實上確實如此,根據Cybereason的一項研究,在支付了贖金的勒索軟體受害者中,有80%遭遇了另一次勒索攻擊。

　　

　　助長網路犯罪

　　

　　除了可能導致受害者“人財兩空”,付贖金還會間接危害更多行業的更多使用者。

　　

　　你付贖金的行為實際上就是在資助網路攻擊事業——犯罪分子可以將收到的錢用來擴大再生產,比如購買更好的工具,精準探測漏洞,成立更多分支機構並擴充套件勒索軟體等。

　　

　

　　

　　尤其是現在開源勒索軟體和勒索即服務降低了攻擊的門檻,越來越多的人加入到網路犯罪中,只要有受害者付贖金,駭客這套可持續且有利可圖的商業模式就能一直運轉下去。因此,付贖金只會導致更多勒索攻擊,使網路安全環境更加惡化。

　　

　　增強網路彈性

　　

　　築牢安全長城

　　

　　勒索軟體是當今組織和個人面臨的最大威脅之一,只需單擊一個連結或下載一個惡意檔案,任何人都可能在不知不覺中發起勒索軟體攻擊。在切實存在的網路威脅面前,企業如何增強說“不”的底氣,避免業務陷入混亂呢?

　　

　　我們可以從防範和恢復兩方面入手。首先採取措施防範犯罪分子入侵,比如及時進行作業系統和安全補丁更新,在網路中應用多因素身份驗證,透過網路釣魚培訓防止滲透等。

　　

　　其次,加強網路彈性,提升恢復能力。正如世界上沒有不透風的牆,世界上也沒有能100%抵禦網路入侵的安防工程,組織需要考慮最壞的情況,假如真的發生勒索攻擊,如何在最短時間內恢復資料、保障業務執行?

　　

　　從乾淨的備份中恢復是擊敗駭客的唯一方法。無論組織是使用雲服務還是本地硬體來製作資料副本,都需要能從尚未受影響的裝置中訪問備份檔案。但問題在於,備份資料也是勒索軟體的攻擊目標,為了確保備份的不可變性,必須將備份資料也保護起來。

　　

　　戴 爾PowerProtect Cyber Recovery資料避風港計劃以隔離的方式保護關鍵資料複製,透過Air Gap網閘隔離機制和副本鎖定機制阻斷勒索病毒感染備份資料的可能性。為防止備份檔案被惡意刪除,系統同時對隔離儲存庫內的資料進行鎖定,確保備份資料副 本不可加密、不可篡改、不可刪除。

　　

　　組織可還以選擇使用CyberSense,對保險庫中的資料執行高度可靠的分析,以識別潛在的網路威脅或損壞。一旦“最壞情況”發生,Cyber Recovery可迅速對資料進行隔離、清洗、掃描,讓核心業務起死回生。

　　

　　作為世界上第一個經認可符合Sheltered Harbor資料儲存標準的交鑰匙網路儲存解決方案,Cyber Recovery得到全球2000多家各種規模的客戶信賴,可有效防止內部攻擊和外部入侵,構築企業資料安全的最後一道防線。

　　

　　另外需要注意的是,為避免再次成為受害者,在勒索軟體事件發生後,組織需要檢查網路並確定惡意軟體如何進入網路以及長時間未被發現,以便及時堵住現有系統漏洞,防止勒索團伙捲土重來。

　　

　　總之,支付贖金永遠不能保證資料恢復,反而可能招致更大災難,希望廣大企業擦亮眼,不要上了犯罪分子的當。如果您對自身安全能力沒有信心,戴爾科技集團永遠是您值得信賴的合作伙伴,我們提供全面的網路彈性,助您安全地進行業務創新並實現突破。