根据《2020 年 Verizon 数据泄露报告》,勒索软件是第三大最常见的恶意软件攻击。最近的证据是,10 月 4 日,财富 500 强医院和医疗服务提供商 Universal Health Services(UHS)在其内部网络遭受网络攻击后,关闭了美国各地不同医疗机构的系统。
任何形式的医疗保健攻击都可能是致命的,尤其是在当前大流行病的情况下。这是最近的又一次网络攻击,最终导致IT 基础设施因勒索软件攻击而关闭。在这种情况下,UHS 正在将一些病人转到附近的医院。
然而,许多人并不知道,激活勒索软件只是攻击的最后阶段。在执行之前,有许多阶段和机会可以阻止攻击。
那么,究竟什么是勒索软件呢?
勒索软件是一种恶意软件,旨在阻止用户使用计算机系统文件,并要求用户支付赎金。大多数勒索软件的变种都会加密受影响设备上的文件,使其无法使用,并要求支付赎金才能恢复对文件的访问。
勒索软件代码通常都很复杂,但也不必如此,因为与其他形式的传统恶意软件不同,勒索软件一般不需要长时间不被发现就能达到目的。这种相对容易的实施方式和高利润的潜力吸引着网络犯罪的老手和新手参与勒索软件活动。
"在犯罪论坛和市场上发现的勒索软件主题中,有 7% 提到了 "服务",这表明攻击者甚至不需要自己就能完成工作"。- 2020 年数据泄露调查报告》,第 16 页。
勒索软件如此流行,以至于你可以购买一些服务,由它们代表网络犯罪分子来执行。由于市场如此繁荣,预计勒索软件和勒索软件服务只会越来越多。
勒索软件是如何进入网络的?
攻击者发送恶意文件最常见的方法是利用常见的人为错误,如网络钓鱼攻击,攻击者发送的电子邮件看似合法,但却鼓励用户点击链接或下载附件。附件通常会携带一个有效载荷,用于传输恶意软件。攻击者倾向于利用暴露的界面,如 RDP 或未打补丁的网络应用程序。勒索软件还通过 "驾车下载"(drive-by-download)攻击在受攻击或恶意网站上传播。有些勒索软件攻击还通过社交媒体发送信息。
勒索软件通常采用 "散弹枪 "方式--攻击者获取电子邮件列表或被入侵的网站,然后发送勒索软件。
防范勒索软件
在攻击生命周期中,阻止恶意软件有几个阶段。第一阶段是防止恶意软件进入网络;第二阶段是阻止勒索软件(假设它不是自主型的)与指挥和控制(C2)服务器通信;第三阶段是在勒索软件开始执行后和在网络内横向移动之前立即阻止它。
第一阶段--防止恶意软件进入网络--是最重要的阶段。攻击者通常会尝试使用网络钓鱼技术,或利用不安全的远程访问连接,如配置错误的 RDP 连接和通过不符合公司政策的端点。这些设备可使勒索软件通过连接进入网络组织。
第二阶段--不让恶意软件与 C2 通信--通常是通过实施防火墙和基于网络的检测系统来查找网络签名。
第三阶段--阻止勒索软件在网络中激活和扩展--此时要复杂得多,也要消耗资源。
OPSWAT 提供预防性解决方案,使您能够抵御攻击。我们的解决方案可帮助企业防止恶意软件进入网络,如阻止网络钓鱼的电子邮件网关安全解决方案、帮助合规性验证的安全访问解决方案以及
文件上传安全,使用Deep CDR (内容解除和重构)。 MetaDefender Core.这些只是 OPWAST 提供的众多产品中的一部分,OPWAST 可帮助关键基础设施网络免受勒索软件的攻击。如需了解更多信息,请立即联系我们。
参考资料
https://enterprise.verizon.com/resources/reports/dbir/
https://www.blackfog.com/the-state-of-ransomware-in-2020/
https://www.microsoft.com/en-us/download/details.aspx?id=101738
