雷鋒網編輯知道,勒索軟體不給讀者個人造成點什麼影響,你們是不會關注的。
可是,一個重要風向标來了——以商業感著稱的安全會議 rsa 今年也許嗅到了一絲商機,data、cloud、threat、intelligence 等一直是近幾年的熱點領域,從過去兩天的大會議題來看,今年又多了一個熱點——勒索軟體,rsa 2017 着重對勒索軟體設定了讨論議程。
這意味着,童鞋們,勒索軟體真的離我們凡人很近了呀!
此事的重要性經過了 fbi 的認證。
據 fbi 釋出的資訊來看,2016 年 q1 發生的網絡勒索事件中,被攻擊者向黑客支付的贖金就超過 2 億美元,而 2015 年一整年僅有 2400萬 美元。卡巴斯基實驗室 it 威脅演化 2016 第三季度報告顯示,遭受加密勒索軟體攻擊的網際網路使用者數量增長了超過 2 倍,達到 821865 人。賽門鐵克按照年份統計的勒索軟體,上漲趨勢也非常明顯。
圖表可能讓人感受更強烈一點。下圖是賽門鐵克按照年份統計的勒索軟體名稱,喲喲喲,越來越密集了呢!
勒索軟體能夠如此猖獗,很大一部分原因在于它采用社交工程迷惑使用者,病毒借助惡意郵件對受害者狂轟濫炸以達到非法侵入目的。
勒索軟體是怎麼施展比九尾狐妖更厲害的“魅惑術”的呢?(對不起,編輯最近看古裝玄幻大戲太多,你忍忍就好。)
從目前來看,有99%的勒索病毒來源于電子郵件的傳播,犯罪者往往能夠抓住公衆或者目标閱聽人所關心的話題,打着“最新消息”、“中獎”、“绯聞探秘”、“免費送iphone”等旗号引誘使用者點選病毒連結,誘使使用者下載下傳執行惡意程式,進而加密使用者資料、檔案乃至分區等等,對受害者實施敲詐勒索,有些勒索甚至危及性命。
據綠盟科技提供給雷鋒網(公衆号:雷鋒網)的一份資料顯示,
勒索軟體正在向大資料/雲計算/物聯網等平台擴散!
綜合 datto 和 sentinelone 的資料來看,勒索軟體事件普遍發生在醫療、交通、政府、酒店等行業,并開始有向 iot、工控,以及公有雲領域擴散的趨勢。
對勒索軟體的作者而言,哪種方式能夠得到更多勒索贖,哪種方式更容易黑入,他們就會潛入。這意味着,你要是給他一根棍子,他都敢翹起地球!哦不,是利益足夠大,都敢勒索一個國家!
我們來看看勒索軟體的進階版手段。
1.勒索軟體大量利用漏洞進行滲透
勒索軟體慣用伎倆是利用漏洞進行惡意軟體安裝,出現新的漏洞利用時,勒索軟體的作者會立刻進行相應更新,這樣就能感染到更多的裝置,會有更多受害者,也就有更多贖金的可能。是的,他們很“勤奮”。
2.漏洞方式不靈就用釣魚作為突破手段
“ goldeneye ”是勒索軟體 petya 的一個變種系列,惡意宏代碼可執行、加密計算機上的檔案。加密完成後,代碼會修改主引導記錄( mbr ),重新啟動電腦并加密磁盤檔案。此類釣魚郵件專門針對人力資源部門,hr需要大量打開陌生人的電子郵件和附件去了解求職者情況的特性就讓不法分子鑽了空子。
通常,釣魚郵件中包含兩個附件,其中一個附件是正常的 pdf 求職信,目的是為了迷惑受害者讓她相信這确實是一個求職者。此後,受害者會打開另外一個帶有惡意宏功能的 excel 檔案。 excel 會顯示一個正在加載的圖檔并請求受害者啟用内容,以便繼續加載宏檔案。一旦受害者單擊“啟用内容”宏内的代碼将被執行并啟動加密檔案程序,使受害者無法通路檔案。
勒索軟體“ goldeneye ”會以 8 個字元的随機擴充名加密檔案,所有檔案加密後,将會顯示一個勒索信“你的檔案已被加密.txt”。
3. 使用者中招後往往是付了贖金還被撕票
黑客攻破主機,通常會加密鎖定使用者的關鍵檔案、檔案夾等(比如windows的使用者目錄、my documents、相片、工作有關的docx/xlsx等),讓受害者不能通路,并向受害者發出或者留下勒索資訊,勒索的贖金通常通過比特币來支付,通常是半個到1個比特币。從調研資料來看,接近一半的受害者會支付贖金想要恢複資料,但不幸的是四分之一的受害者依然得不到恢複——“付贖金,依然被撕票”。
rsa 會議中來自于 stanford university 的 ciso 、datto 的 chief technology officer、sentinelone 的 chief of security strategy、datagravity 的 ciso 等專家一緻表示目前針對勒索軟體的防護沒有“銀彈”,是一個系統化的工程,重點是:
1、需要從人員的安全意識教育訓練入手,降低人為引入的威脅。
勒索軟體大多通過釣魚郵件方式撒網,使用者不小心接收打開後中招。是以,提高使用者的安全意識很重要。從源頭上進行的防護。
2.做好資料備份與持續更新,在關鍵時刻可以發揮作用。
備份需要3-2-1的原則:至少3份拷貝,存放在2個地方(異地備份),1個離線備份。事實上,還出現過這種“意外”,個别使用者做了備份,卻是線上的,結果也被勒索軟體一起給加密了。
3.保證作業系統更新到最新的版本,降低受攻擊的可能性。
4.應用防病毒、未知威脅檢測等技術對勒索軟體進行檢測與防護。
綠盟科技認為:
安全意識不是簡單一次兩次教育訓練就能提升的,它需要一個較長的時期來滲透,是以用“培養”更為貼切些。
于是,他們對雷鋒網表示——咬咬牙,通過自定義郵件模拟最新的勒索變種,定向了解機關某部門或某部分員工的意識形态,再通過反複測試的方式,輔助以安全教育,提升安全警惕性和辨識能力,防患于未然。
對于那種特别狡猾的勒索軟體,比如往往攻擊者為了躲避清除,會繞開“已知”想盡各種“未知”招數。這時,動态分析引擎就起到決定性作用,它會在系統中動态跟蹤目标樣本的執行動作,一旦“不軌”,立刻“抓獲”。
近期,部分黑客組織針對elasticsearch、mongodb、hadoop叢集等大資料平台進行了勒索攻擊。統計結果顯示,已有至少34000多台mongodb資料庫被黑客組織入侵。超過了2711台elasticsearch伺服器受到黑攻擊,資料庫中的資料均被黑客加密并索要贖金。
對于這些攻擊大資料平台,與時俱進的勒索軟體,綠盟科技認為,還得緊急補上一招:開發相應安全評估系統,敵變我也變!