查看原文
其他

勒索软件已过而立之年!RaaS横行,从理想主义到利益至上

你信任的 亚信安全 2022-08-17


进入到2021年,勒索软件攻击的情况越来越严重,最近的受攻击对象包括了国家和地方政府、医院、警察部门和关键基础设施等。4月以来,美国大型燃油运输管道运营商Colonial Pipeline遭网络黑客攻击;华盛顿特区大都会警察局内部系统遭黑客入侵,部分数据文件被窃;东芝公司法国分公司740G机密信息和个人资料被职业勒索组织窃取……

而在多起事件背后,都能看到“勒索软件即服务”(RaaS:Ransomware as a Service)的身影。尤其是“地下网络”,有些勒索软件组织甚至开始打出“广告”,招揽勒索生意。那么,针对恶意软件作者招募“分发者”扩散感染再抽成的一种商业模式,企业网络网络防御体系能否守得住吗?


勒索软件的成长史:从理想主义到利益至上


无论从哪个角度来看,第一个勒索软件的诞生都充满了一定的理想主义,其并没有被大规模分发,而是仅针对艾滋病大会进行定向传播,目的更像是宣传自己的政治与学术态度,或只是简单的恶作剧。而且,由于其只使用了简单的对称密码,因此很快就被解密工具轻松恢复。

在此后的十七年间,由于没有更好的加密方法,勒索软件基本上“销声匿迹”——直到2006年“Archievus”的出现。Archiveus是第一个使用非对称加密的勒索软件,它主要采用RSA加密方法,会对“我的文档”目录里面的所有内容进行加密。更值得关注的是,这个勒索软件开始把魔爪伸向受害者的钱包了,他会要求用户从特定网站来购买以获取解密文件的密码,而这个方式至今是勒索软件的主流获利方式。


勒索软件发展的另一个标志性事件则是以数字货币为代表的匿名支付方式的出现,银行转账等传统的支付方式让网络勒索者很容易暴露在执法机关的打击力量之下,而通过匿名支付方式,网络勒索者将可以更好地隐藏自己、“安全”的获得高额收益。在利益的驱动下,勒索软件开始在地下网络市场中逐渐的流行起来,开始成为用户必须要正视的威胁。

2013年9月,网络不法分子找到了适用于勒索软件的新型加密方法,即采用AES-256lai加密特定扩展名的文件,并利用2048位RSA密钥来加密AES-256位密钥,这让被加密文件的恢复变得极度困难,束手无策的受害者往往只能选择向不法分子支付赎金。而大名鼎鼎的“WannaCry”勒索蠕虫采用的也正是这种加密方式,该勒索蠕虫在2017年肆虐,至少150个国家、30万名用户中招,造成损失达80亿美元,影响极为深远。


【WannaCry的勒索信息提示】


如今,勒索软件已经成长为主流的安全威胁之一。亚信安全安全分析报告显示,勒索软件病毒已经在全球范围内呈现爆发态势,美国、日本、中国、欧洲都成为勒索软件肆虐的“重灾区”。网络不法分子还针对每个地区的语言及经济文化特点,对勒索软件进行了本地化,以提升索要赎金的成功率。

勒索软件持续演进:“勒索软件即服务”开始流行


由于具备一旦加密就极难被破解,以及可以获得直接巨额收益的特点,勒索软件的威胁在可预见的未来还将持续扩展。为了躲避网络安全防护系统的查杀,勒索软件新变种正在不断产生,这使得传统基于特征码的防护方式效用大减,不法分子可以通过鱼叉式钓鱼邮件、漏洞利用传播、软件捆绑安装等方式进行广泛传播。


围绕着勒索软件新变种的开发、传播,以及感染渠道与工具的交易,已经形成了一个组织严密、规模庞大的勒索软件地下灰色交易市场。亚信安全威胁情报团队发现,在“勒索软件即服务”的模式下,黑客负责勒索软件最新变种的开发,并可以将其转让给任何用户,前提是他们必须支付一定比例的收益赎金。除了核心的勒索软件产品外,地下黑色市场还提供与勒索行为相关的额外功能与服务,包括对于多平台的支持、针对特定产品的漏洞进行定制化等。

对此,亚信安全提醒用户,勒索软件的商品化使得组织与个人面临的勒索软件风险大幅增加,而随着地下黑产市场的进一步演进,勒索软件的产业链将进更加细化、专业化,即使是毫无攻击经验的新手,也能够通过购买这些产品和服务,快速地发动攻击。此外,商品化也使得勒索软件攻击的方式更加灵活,对于安全防护提出了更高的要求。

防范勒索软件:以精密编排能力建立联动防护机制


在如今的勒索软件攻击中,网络不法分子更擅长利用社交工程(social engineering )诱饵,以及简历、订单和护照等作为邮件主题,发动垃圾邮件或定向式攻击,一旦受害者收到这些邮件并点击链接或是下载附件,就有可能导致感染勒索软件。因此,要更好地防范勒索软件的攻击,需要从建立精密编排的联动安全体制,以及“人”两方面同时着手。


首先,企业需要从安全编排(Security Orchestration)、自动化(Automation)和响应(Response)的角度建立应对勒索软件的安全防线。这与亚信安全最新发布的XDR方案“不谋而合”,即利用精密编排的联动安全解决方案,将安全产品以及安全流程连接整合起来,这其中涵盖了“准备、发现、分析、遏制、消除、恢复、优化”7个阶段,并针对勒索软件的威胁制定攻击标准预案,以建立多层次、立体化的防御体系。

在具体实施中,通过终端、网络端发现勒索软件攻击的迹象后,亚信安全可以将数据集中到本地威胁情报和云端威胁情报进行分析,利用机器学习和专家团队,将勒索软件的特征提取出来,继而联动所有终端协同处理,以遏制、清除勒索软件的各种变种,并对其造成的破坏进行恢复和优化。

在产品层面,企业用户可通过部署亚信安全终端安全防护平台、亚信高级威胁网络防护系统AIS Edge,以及服务器深度安全防护系统Deep Security等产品,在云、管、端建立封堵勒索软件的第一道防线。其中亚信安全终端安全防护平台具有勒索病毒防御功能(AEGIS),可以有效阻拦勒索病毒对用户文件加密;AIS Edge则兼具侦测、分析和拦截的功能,针对加密勒索软件攻击路径,建立有效的“抑制点”,再加持深度威胁邮件网关DDEI,更有效地阻止了勒索邮件的攻击。其次,用户可以通过沙箱类产品,以及调查取证设备等产品对勒索软件的攻击进行分析、验伤及取证,实现事件溯源,为后续的恢复和优化打下基础。


除此以外,亚信安全还建议用户采用大终端安全一体化解决方案,并部署数据备份系统(TDB)与数据加密系统(TDE),通过主动预防与完整的响应机制,全面提升勒索软件防御与数据安全威胁治理的能力。


行业热点:


安全运营能力再进化,有效SOAR产品是关键


搞定高级威胁!2分钟看懂“威胁狩猎服务”实操过程


家底摸不清,安全要“抓瞎”!资产管理你搞定了吗?


亚信安全 “威胁狩猎服务” 开辟高级网络威胁治理新赛道

了解亚信安全,请点击“阅读原文

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存