勒索軟件在2023年的轉(zhuǎn)變
近年來,我們看到的最大趨勢(shì)之一是勒索軟件即服務(wù)(RaaS)的激增。通過提供勒索軟件工具和服務(wù)出租,RaaS擴(kuò)大了潛在攻擊者的范圍,即使是非技術(shù)人員也更容易對(duì)公司發(fā)動(dòng)復(fù)雜的攻擊。網(wǎng)絡(luò)威脅的民主化突出表明,各公司需要為更廣泛的對(duì)手做好準(zhǔn)備。
我們看到的另一個(gè)趨勢(shì)是攻擊的簡(jiǎn)單化。有人可能會(huì)想象,在當(dāng)今復(fù)雜的數(shù)字世界中,勒索軟件運(yùn)動(dòng)的特點(diǎn)是高度復(fù)雜。然而,成功的入侵通常可以追溯到基本的漏洞,例如員工因簡(jiǎn)單的網(wǎng)絡(luò)釣魚攻擊或常規(guī)安全協(xié)議的漏洞而被攻擊。事實(shí)上,勒索軟件組織利用AI的主要方式之一是創(chuàng)建更復(fù)雜的釣魚技術(shù),如類似域名或欺詐性電子郵件,而不是惡意軟件本身。
攻擊時(shí)間線的加快是我們看到勒索軟件組織取得巨大進(jìn)展的另一個(gè)領(lǐng)域。我們目睹了威脅行為者幾乎立即利用的漏洞,這表明,網(wǎng)絡(luò)犯罪分子正在迅速將新披露的信息整合到他們頻繁使用的攻擊中。從防御的角度來看,發(fā)現(xiàn)漏洞并在它們被利用之前進(jìn)行補(bǔ)救的競(jìng)賽已經(jīng)開始,這是一個(gè)挑戰(zhàn),因?yàn)槭澜绺鞯氐陌踩珗F(tuán)隊(duì)都在繼續(xù)推遲修補(bǔ)。
所謂的訪問代理也已經(jīng)成為網(wǎng)絡(luò)犯罪世界的中間人,這些實(shí)體處理受損的憑據(jù)和接入點(diǎn),簡(jiǎn)化了勒索軟件組的流程,實(shí)質(zhì)上是向他們提供漏洞和入口點(diǎn),以簡(jiǎn)化和加速他們的攻擊。訪問代理可以訪問網(wǎng)絡(luò)釣魚攻擊的登錄憑據(jù),并將其保留數(shù)月甚至數(shù)年,直到惡意行為者支付正確的價(jià)格,并將其用作定向攻擊的一部分。
更糟糕的是,LockBit、ALPHV、BlackBasta和AvosLocker等領(lǐng)先的勒索軟件集團(tuán)正在開拓新的規(guī)避技術(shù)來避免檢測(cè),例如利用設(shè)備上的安全模式重啟功能。許多安全解決方案,包括防病毒和反惡意軟件程序,可能無法在安全模式下運(yùn)行或功能有限。通過強(qiáng)制系統(tǒng)在安全模式下重新啟動(dòng),勒索軟件可能會(huì)繞過這些安全解決方案,從而更容易在不被檢測(cè)或干擾的情況下加密文件。
公司應(yīng)采取的降低風(fēng)險(xiǎn)的步驟
勒索軟件已成為公司面臨的最大網(wǎng)絡(luò)安全風(fēng)險(xiǎn),導(dǎo)致董事會(huì)對(duì)這一話題的關(guān)注日益增加,這提出了一個(gè)重要的問題:公司如何降低其風(fēng)險(xiǎn)并最大限度地減少成為勒索軟件攻擊犧牲品的可能性?
至少,公司應(yīng)該確保他們的所有軟件都打了補(bǔ)丁,并且是最新的。作為漏洞管理活動(dòng)的一部分,針對(duì)新攻擊實(shí)施持續(xù)的虛擬補(bǔ)丁,但考慮到勒索軟件威脅是如何演變的,公司必須采取額外的措施,將風(fēng)險(xiǎn)敞口降至最低。
1.建立可靠的數(shù)據(jù)備份協(xié)議。傳統(tǒng)勒索軟件攻擊的目標(biāo)是迫使受害者付費(fèi),以重新獲得對(duì)其加密數(shù)據(jù)的訪問。確保關(guān)鍵數(shù)據(jù)的定期和安全備份將使公司能夠在發(fā)生攻擊時(shí)恢復(fù)系統(tǒng),而無需支付贖金。由于IT環(huán)境不斷發(fā)展,在嘗試確定任何客戶網(wǎng)絡(luò)安全態(tài)勢(shì)中的薄弱環(huán)節(jié)時(shí),進(jìn)行網(wǎng)絡(luò)安全評(píng)估可能至關(guān)重要。
2.開展網(wǎng)絡(luò)意識(shí)培訓(xùn)。釣魚電子郵件仍然是傳播勒索軟件的頭號(hào)媒介,由于AI,它們的復(fù)雜性正在增長(zhǎng)。通過教育員工了解釣魚企圖的跡象以及點(diǎn)擊可疑鏈接或下載未經(jīng)驗(yàn)證的附件的危險(xiǎn),公司可以降低泄密風(fēng)險(xiǎn)。
3.部署零釣魚技術(shù)。采用可以檢測(cè)零日網(wǎng)絡(luò)釣魚活動(dòng)的技術(shù),這些活動(dòng)通常是勒索軟件攻擊的前兆。與傳統(tǒng)的反病毒解決方案或手動(dòng)掃描相比,此類技術(shù)可以檢測(cè)到更多的零日釣魚頁面。
4.加強(qiáng)用戶身份認(rèn)證。實(shí)施強(qiáng)密碼策略并要求使用多因素身份驗(yàn)證(MFA)來訪問關(guān)鍵系統(tǒng),還應(yīng)采用零信任原則,僅這些步驟就可以增加額外的安全層,使攻擊者更難在未經(jīng)授權(quán)的情況下訪問敏感數(shù)據(jù)池。
5.重在預(yù)防。自動(dòng)威脅檢測(cè)和預(yù)防工具可以在勒索軟件攻擊造成廣泛破壞之前檢測(cè)和解決大多數(shù)勒索軟件攻擊。好的解決方案將利用實(shí)時(shí)威脅情報(bào)來確保針對(duì)最新威脅和漏洞的防護(hù)。此外,在應(yīng)對(duì)勒索軟件攻擊時(shí),反惡意軟件和EDR可以在終端安全方面改變游戲規(guī)則。
隨著勒索軟件技術(shù)的發(fā)展,威脅環(huán)境正在見證RaaS的增加,更快的加密方法,以及越來越多地轉(zhuǎn)向數(shù)據(jù)提取而不是加密。大規(guī)模襲擊的出現(xiàn)進(jìn)一步突顯了公司加強(qiáng)防御的必要性。面對(duì)這些不斷變化的挑戰(zhàn),警惕和積極主動(dòng)的網(wǎng)絡(luò)安全措施將比以往任何時(shí)候都更加重要。
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國(guó)內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。