Help net security發佈了一篇勒索軟體攻擊的階段、模式和處理技巧
勒索軟體是一種惡意軟體,它會加密受害者的數據,並要求支付贖金才能解密。勒索軟體攻擊在近年來呈現上升趨勢,對個人和組織造成了巨大的損失和威脅。根據 Corvus Insurance 的報告,2023 年第三季的全球勒索軟體攻擊頻率比第二季增加了 11%,比去年同期增加了 95%。如果這種趨勢持續下去,2023 年將是第一個有超過 4000 個勒索軟體受害者被公開在洩漏網站上的年份(2022 年為 2670 個)。
要有效地防禦和應對勒索軟體攻擊,我們需要了解其背後的階段、模式和處理技巧。根據一篇學術論文,勒索軟體攻擊可以分為以下五個階段:
- 偵察階段:在這個階段,攻擊者會進行初步的調查,獲取目標的相關資訊,如公司細節、員工資料、電子郵件地址、公司的供應商和承包商等,並形成一個檔案,以便在下一個階段使用。
- 入侵階段:在這個階段,攻擊者會利用各種手段,如釣魚郵件、社交工程、漏洞利用等,來入侵目標的網絡或系統,並獲得持久性的訪問權限。
- 擴散階段:在這個階段,攻擊者會嘗試擴大其影響範圍,通過移動橫向或垂直,來控制更多的資產,如伺服器、工作站、備份系統等,並收集敏感的數據,以便作為勒索的籌碼。
- 加密階段:在這個階段,攻擊者會部署勒索軟體,對目標的數據進行加密,並顯示贖金訊息,要求受害者在一定的時間內支付一定的金額,否則將刪除解密金鑰或公開數據。
- 清理階段:在這個階段,攻擊者會清除其在目標系統上留下的痕跡,如惡意軟體、日誌、工具等,以避免被追蹤或分析。
勒索軟體攻擊的模式也有所不同,根據 FBI 的警告,最近出現了一種新的趨勢,稱為雙重勒索軟體攻擊,即犯罪分子在短時間內對同一個目標進行兩次或多次攻擊,並使用不同的勒索軟體變種。這種攻擊的間隔時間從 48 小時到最多 10 天不等。攻擊者使用的勒索軟體變種包括 AvosLocker、Diamond、Hive、Karakurt、LockBit、Quantum 和 Royal。FBI 還警告說,勒索軟體團體部署了定製的數據竊取和清除工具,以向受害者施壓。
要有效地處理勒索軟體攻擊,我們需要採取以下一些技巧:
- 預防勒索軟體攻擊:這是最重要的一步,我們需要採取一些措施,來減少被勒索軟體攻擊的風險,如定期更新系統和應用程式,安裝防毒軟體和防火牆,避免打開可疑的附件或連結,提高員工的安全意識,建立強大的密碼政策,限制不必要的權限和存取,以及定期備份重要的數據。
- 應對勒索軟體攻擊:如果不幸遭受了勒索軟體攻擊,我們需要迅速採取一些行動,來減少損失和影響,如立即中斷受感染的系統和網絡,通知相關的人員和機構,保存證據和日誌,評估受影響的範圍和數據,嘗試恢復數據和系統,並避免支付贖金,因為這可能會鼓勵攻擊者,並不能保證解密或不洩漏數據。
- 分析勒索軟體攻擊:在恢復正常運作後,我們需要進行一些分析,來找出攻擊的原因和後果,如確定攻擊者的身份和動機,識別攻擊的入口和方法,評估攻擊的成本和影響,以及制定改進的計畫和措施,以防止未來的攻擊。
勒索軟體攻擊是一種嚴重的網路安全威脅,我們需要有清晰的了解和準備,才能有效地防禦和應對。我們需要採用全面的安全策略,結合技術、人員和流程,來提高我們的安全水平和恢復能力。我們也需要與其他組織和機構共享資訊和經驗,以增強我們對抗勒索軟體的能力。
詳情請看:
The 3 key stages of ransomware attacks and useful indicators of compromise