2024年勒索軟體值得關注的三大趨勢

一直以來，勒索軟體就是企業的心頭大患，2024年還将持續困擾各行各業。在CNCERT國家工程研究中心釋出的“2024年七大網絡安全威脅”中，第一個就是勒索軟體。

新的一年，勒索軟體将呈現出哪些新的技術方向群組織形式，又演變出哪些勒索手段？面對這些新挑戰，企業反勒索手段該何去何從？

2024年勒索軟體呈現三大趨勢

勒索軟體攻擊保持強勁增長

根據Group-IB釋出的《2023-2024年高科技犯罪趨勢報告》顯示，勒索軟體保持強勁增長，2023年資料洩露網站上的公司數量同比增長74%。

安全公司Sophos釋出的《2023勒索軟體态勢報告》也顯示，66%的機構在過去一年中遭受過勒索軟體攻擊。其中，76%的攻擊導緻資料被加密，受害機構為此而付出的平均成本為182萬美元。

事實上，大規模增加的勒索軟體攻擊正在瞄準所有行業，醫療保健、政府和關鍵基礎設施尤其成為勒索軟體的攻擊目标。

新的一年，攻擊者會不斷嘗試領先于安全廠商開發新的戰術、技術和程式。随着攻防雙方對抗更新，攻擊者也會不斷改變政策，選擇更簡單、更邊緣的途徑，來擷取同樣的關鍵資料，比如利用常用應用程式中的關鍵漏洞來發起攻擊。

AI增強勒索軟體攻擊的能力和效率

随着ChatGPT等衆多AI服務的興起，勒索軟體攻擊的難度與成本均有大幅度降低。就在2023年，大陸杭州市網警破獲的一起勒索軟體攻擊案件中，不法分子就是通過ChatGPT完成勒索軟體優化。

目前，犯罪團隊已經開始利用AI和機器學習來增強勒索軟體攻擊的能力和效率，包括：更令人信服的網絡釣魚嘗試、自動惡意軟體建立、逃避安全措施、個性化的社會工程攻擊等，這使得傳統防禦機制更難檢測和預防它們。

勒索手法從資料加密、洩露轉向資料删除

如今，幫派已經采用了層出不窮的勒索手法，如：雙重勒索、三重勒索，通過加密資料勒索贖金，或威脅洩露資料向受害者施壓。

但既然是勒索，幫派也傾向于采用更有效的勒索方式，資料删除勒索正是其中之一。

資料删除比加密更快，而且代碼編寫也容易得多，不需要進行複雜的公私鑰處理，也不需要在受害者支付贖金後提供複雜的解密代碼來挽回損失。如果資料被破壞，而企業又沒有備份，那就隻能要麼付錢，要麼丢失資料。

什麼樣的資料備份才能有效反勒索？

事實上，戰勝勒索軟體，取決于各大企業自身的網絡防禦能力。但即便是安全防禦能力最強的企業，也難以保證能夠100%抵抗勒索軟體團夥的滲透。

是以，在反勒索軟體的政策中，資料備份就成為重要的組成部分。研究表明，使用備份的勒索軟體受害者的恢複成本中位數，是支付贖金的受害者的一半。

但值得注意的事，并非所有的資料備份方法都是有效的，例如：

資料備份可能存在備份被感染或清除的情況

據Veeam勒索軟體趨勢報告顯示，2022年，惡意行為者至少有93%的攻擊以備份為目标。更令人震驚的是，75%的攻擊中，對手成功滲透了備份存儲庫；受影響時，39%的存儲庫将變得無法使用；近三分之一 (29%) 的資料恢複嘗試不可行。

恢複過程中出現資料丢失

恢複過程會出現各種類型的資料丢失，從簡單的檔案丢失到整個系統的完全崩潰。在資料恢複過程中，需要重建立立檔案系統、重新安裝作業系統、重新安裝應用程式和恢複資料。

除此之外，很多企業在恢複時才發現很多關鍵資料沒有被正确備份，又或者是因為備份周期太長、沒有測試備份資料等原因，導緻發生勒索軟體攻擊時無法全資料、全次元地恢複資料。

資料備份無法快速恢複資料

此外，資料備份能否在發生資料丢失時快速恢複資料，以保證業務的正常運作，也是一大考驗。據Veeam勒索軟體趨勢報告中的受訪者估計，他們平均需要3.3周的時間才能完成恢複工作。現實情況是，一些恢複工作可能會持續數月。

總的來說，能夠有效反勒索的資料備份需要具備幾大特點：一是幹淨恢複；二是完整恢複；三是快速恢複。這就要求資料備份不僅自身是安全可靠的，還要能夠實時對資料安全進行監測。

對此，瑞數資訊專家認為，資料備份需要建構“事前資料健康體檢、事中智能威脅檢測、事後快速響應恢複”的資料安全閉環防護體系，才能有效對抗惡意軟體攻擊，進行資料健康體檢，快速發現惡意威脅，并在數分鐘内恢複系統的正常運作。

瑞數DDR有效對抗勒索軟體

基于此，瑞數資訊推出的資料安全檢測與應急響應系統（River DDR），正是這樣一款反勒索的資料備份利器——通過事前、事中和事後資料安全閉環防護體系，有效解決傳統終端安全軟體被繞過，備份系統恢複過程冗長等嚴峻的安全問題，讓勒索軟體等新興資料安全威脅無法再四處為虐。

事前資料健康體檢

創新的智能資料風險識别引擎，基于“深度檔案内容檢測”技術，能夠高效識别企業資料中心内各類結構化與非結構化資料是否已被破壞或隐含風險。

事中智能威脅檢測

創新的AI智能識别引擎，提供基于“資料通路行為模式”的智能分析與識别能力；通過AI熵值檢測技術，改進目前資料安全檢測的速度、檢測的正确率，以使安全檢測可以達到國内領先程度，解決目前業界無法通過安全檢測來應對勒索攻擊的問題，實作全鍊路威脅行為與内容變化追蹤，即時發現可疑的攻擊行為。

事後快速響應恢複

創新的智能檢測沙箱與溯源引擎能夠有效定位攻擊事件根源，移除勒索軟體加密後的檔案并用最新的幹淨備份進行恢複，同時對系統進行加強，自動生成可直接挂載的幹淨資料。

總的來說，瑞數資料安全檢測與應急響應系統（River DDR）具備以下技術優勢：

掌控資料資産：生成企業資料完整性、敏感資料分布及權限審計等報告，幫助使用者擺脫無法掌握資料資産分布以及資料安全威脅不可見的窘境。

防勒索軟體攻擊：建立資料安全預警能力，對批量資料竊取及高度隐蔽性異常通路等惡意行為進行智能安全分析，高效識别各類已知與未知的攻擊。避免大量資料被加密、竊取後，才發現已經長時間被勒索軟體攻擊。

保護備份資料：隔離備份資料，防止勒索軟體、黑客或内部人員删除或破壞備份資料。

持續驗證備份資料：持續驗證備份資料的可用性，避免在應急時，才發現備份資料不可用，無法進行恢複。

發現異常資料：通過特有的檔案與資料庫動态變化追蹤技術，可以發現系統中損毀或異常的檔案和資料，檢測準确性達到95%以上。

分鐘資料恢複：加密或毀損檔案發現與快速恢複，實作分鐘級的資料恢複，将業務中斷的時間降到最低，全面保護業務的連續性。

相比其他同類型産品，瑞數資料安全檢測與應急響應系統（River DDR）實作了多項技術創新和突破，包括：AI智能深層檢測引擎、AI熵值檢測、資料原始格式備份等。這些技術回歸資料本身，通過對檔案和資料庫進行健康檢測，可以更直接有效發現異常安全行為。此外，還實作了檢測與恢複一體化，真正實作勒索防護生命周期防護。

目前，瑞數資料安全檢測與應急響應系統（River DDR）已經在高精制造業、醫療機構、金融、營運商等行業廣泛應用。對于那些擁有大量敏感資料的企業群組織而言，此系統也非常适用。

結語

随着勒索軟體愈發猖狂，資料備份和恢複技術成為遠見者的必備選擇。但資料備份不僅要有效，更要走向綜合性的資料安全解決方案，才能保護企業資料免受勒索軟體等安全威脅的侵害，并及時發現和應對安全威脅。