入侵→加密→要贖金
黑客憑這套商業(yè)模式橫行多年
受害者之所以前赴后繼付贖金
是因?yàn)樗麄兿嘈?/div>
給錢(qián)就能如愿拿到密鑰
盡快恢復(fù)業(yè)務(wù)
可有的時(shí)候
自系統(tǒng)被加密的那一刻起
數(shù)據(jù)就拿不回來(lái)了
今年10月,網(wǎng)上出現(xiàn)了一種名為Cryptonite的開(kāi)源勒索軟件包。它使用Python編碼,利用加密包中的Fernet模塊對(duì)擴(kuò)展名為“.cryptn8”的文件進(jìn)行加密,主要使用網(wǎng)絡(luò)釣魚(yú)的方式對(duì)目標(biāo)進(jìn)行入侵。
可根據(jù)安全人員的研究,Cryptonite作為勒索軟件存在嚴(yán)重的先天不足:它可以鎖定文件,卻無(wú)法重新解密,即使支付了贖金也是如此。
研究人員認(rèn)為,Cryptonite之所以這樣并不是故意設(shè)計(jì)的惡意破壞行為,而是因?yàn)槔账鬈浖M合不當(dāng),其自身的弱架構(gòu)和編程迅速將其變成一個(gè)不允許數(shù)據(jù)恢復(fù)的擦除器。
如果Cryptonite崩潰或剛剛關(guān)閉,它就不能恢復(fù)加密文件,也無(wú)法在僅解密模式下運(yùn)行——因此每次運(yùn)行勒索軟件時(shí),它都會(huì)使用不同的密鑰重新加密所有內(nèi)容。
這再次為廣大企業(yè)敲響警鐘
付贖金≠拿回?cái)?shù)據(jù)
也許與支付贖金相比,從勒索軟件中恢復(fù)的成本更高;也許企業(yè)認(rèn)為付贖金可以降低業(yè)務(wù)長(zhǎng)時(shí)間停機(jī)造成的損失;也許企業(yè)不希望暴露客戶(hù)或員工的數(shù)據(jù)……多重考慮之下,遭遇勒索攻擊后付贖金似乎是更好、更便宜的途徑。
但無(wú)論何時(shí)都不建議受害者付贖金,因?yàn)楦囤H金后,你非但解決不了問(wèn)題,反而會(huì)變得更窮。
拿不回?cái)?shù)據(jù)
根據(jù)2021年Sophos報(bào)告,支付了贖金的企業(yè)中,只有8%拿回了所有數(shù)據(jù),29%的組織恢復(fù)的加密數(shù)據(jù)不超過(guò)一半。
我們不能跟犯罪分子講誠(chéng)信,正像你無(wú)法希望豺狼長(zhǎng)著菩薩心腸。即使受害者付費(fèi),也不能保證攻擊者會(huì)返回?cái)?shù)據(jù)或解密密鑰,將數(shù)據(jù)恢復(fù)到攻擊前的位置。相反,他們還可能簡(jiǎn)單地清空您的所有數(shù)據(jù),甚至將其公開(kāi)到互聯(lián)網(wǎng),供所有人訪(fǎng)問(wèn)和使用。
而且,從勒索軟件事件中恢復(fù)很少是一個(gè)快速的過(guò)程,調(diào)查、系統(tǒng)重建和數(shù)據(jù)恢復(fù)通常需要數(shù)周的時(shí)間,從這個(gè)層面上講,付贖金就能更快恢復(fù)業(yè)務(wù)的期望并不成立。
遭遇重復(fù)攻擊
即便受害者已經(jīng)付過(guò)贖金,勒索團(tuán)體可能還會(huì)要求再次付款——第一次用于購(gòu)買(mǎi)解密密鑰,而第二次支付以確保數(shù)據(jù)不被泄露。
更糟糕的是,積極付贖金有可能被打上“容易得手”的標(biāo)簽,如果組織在網(wǎng)絡(luò)犯罪團(tuán)伙中享有“積極付款人”的聲譽(yù),就跟小偷在家門(mén)前畫(huà)了標(biāo)記一樣,可能招致更多勒索攻擊。
事實(shí)上確實(shí)如此,根據(jù)Cybereason的一項(xiàng)研究,在支付了贖金的勒索軟件受害者中,有80%遭遇了另一次勒索攻擊。
助長(zhǎng)網(wǎng)絡(luò)犯罪
除了可能導(dǎo)致受害者“人財(cái)兩空”,付贖金還會(huì)間接危害更多行業(yè)的更多用戶(hù)。
你付贖金的行為實(shí)際上就是在資助網(wǎng)絡(luò)攻擊事業(yè)——犯罪分子可以將收到的錢(qián)用來(lái)擴(kuò)大再生產(chǎn),比如購(gòu)買(mǎi)更好的工具,精準(zhǔn)探測(cè)漏洞,成立更多分支機(jī)構(gòu)并擴(kuò)展勒索軟件等。
尤其是現(xiàn)在開(kāi)源勒索軟件和勒索即服務(wù)降低了攻擊的門(mén)檻,越來(lái)越多的人加入到網(wǎng)絡(luò)犯罪中,只要有受害者付贖金,黑客這套可持續(xù)且有利可圖的商業(yè)模式就能一直運(yùn)轉(zhuǎn)下去。因此,付贖金只會(huì)導(dǎo)致更多勒索攻擊,使網(wǎng)絡(luò)安全環(huán)境更加惡化。
增強(qiáng)網(wǎng)絡(luò)彈性
筑牢安全長(zhǎng)城
勒索軟件是當(dāng)今組織和個(gè)人面臨的最大威脅之一,只需單擊一個(gè)鏈接或下載一個(gè)惡意文件,任何人都可能在不知不覺(jué)中發(fā)起勒索軟件攻擊。在切實(shí)存在的網(wǎng)絡(luò)威脅面前,企業(yè)如何增強(qiáng)說(shuō)“不”的底氣,避免業(yè)務(wù)陷入混亂呢?
我們可以從防范和恢復(fù)兩方面入手。首先采取措施防范犯罪分子入侵,比如及時(shí)進(jìn)行操作系統(tǒng)和安全補(bǔ)丁更新,在網(wǎng)絡(luò)中應(yīng)用多因素身份驗(yàn)證,通過(guò)網(wǎng)絡(luò)釣魚(yú)培訓(xùn)防止?jié)B透等。
其次,加強(qiáng)網(wǎng)絡(luò)彈性,提升恢復(fù)能力。正如世界上沒(méi)有不透風(fēng)的墻,世界上也沒(méi)有能100%抵御網(wǎng)絡(luò)入侵的安防工程,組織需要考慮最壞的情況,假如真的發(fā)生勒索攻擊,如何在最短時(shí)間內(nèi)恢復(fù)數(shù)據(jù)、保障業(yè)務(wù)運(yùn)行?
從干凈的備份中恢復(fù)是擊敗黑客的唯一方法。無(wú)論組織是使用云服務(wù)還是本地硬件來(lái)制作數(shù)據(jù)副本,都需要能從尚未受影響的設(shè)備中訪(fǎng)問(wèn)備份文件。但問(wèn)題在于,備份數(shù)據(jù)也是勒索軟件的攻擊目標(biāo),為了確保備份的不可變性,必須將備份數(shù)據(jù)也保護(hù)起來(lái)。
戴爾PowerProtect Cyber Recovery數(shù)據(jù)避風(fēng)港計(jì)劃以隔離的方式保護(hù)關(guān)鍵數(shù)據(jù)拷貝,通過(guò)Air Gap網(wǎng)閘隔離機(jī)制和副本鎖定機(jī)制阻斷勒索病毒感染備份數(shù)據(jù)的可能性。為防止備份文件被惡意刪除,系統(tǒng)同時(shí)對(duì)隔離保存庫(kù)內(nèi)的數(shù)據(jù)進(jìn)行鎖定,確保備份數(shù)據(jù)副本不可加密、不可篡改、不可刪除。
組織可還以選擇使用CyberSense,對(duì)保險(xiǎn)庫(kù)中的數(shù)據(jù)運(yùn)行高度可靠的分析,以識(shí)別潛在的網(wǎng)絡(luò)威脅或損壞。一旦“最壞情況”發(fā)生,Cyber Recovery可迅速對(duì)數(shù)據(jù)進(jìn)行隔離、清洗、掃描,讓核心業(yè)務(wù)起死回生。
作為世界上第一個(gè)經(jīng)認(rèn)可符合Sheltered Harbor數(shù)據(jù)存儲(chǔ)標(biāo)準(zhǔn)的交鑰匙網(wǎng)絡(luò)存儲(chǔ)解決方案,Cyber Recovery得到全球2000多家各種規(guī)模的客戶(hù)信賴(lài),可有效防止內(nèi)部攻擊和外部入侵,構(gòu)筑企業(yè)數(shù)據(jù)安全的最后一道防線(xiàn)。
另外需要注意的是,為避免再次成為受害者,在勒索軟件事件發(fā)生后,組織需要檢查網(wǎng)絡(luò)并確定惡意軟件如何進(jìn)入網(wǎng)絡(luò)以及長(zhǎng)時(shí)間未被發(fā)現(xiàn),以便及時(shí)堵住現(xiàn)有系統(tǒng)漏洞,防止勒索團(tuán)伙卷土重來(lái)。
總之,支付贖金永遠(yuǎn)不能保證數(shù)據(jù)恢復(fù),反而可能招致更大災(zāi)難,希望廣大企業(yè)擦亮眼,不要上了犯罪分子的當(dāng)。如果您對(duì)自身安全能力沒(méi)有信心,戴爾科技集團(tuán)永遠(yuǎn)是您值得信賴(lài)的合作伙伴,我們提供全面的網(wǎng)絡(luò)彈性,助您安全地進(jìn)行業(yè)務(wù)創(chuàng)新并實(shí)現(xiàn)突破。
END
如果您想了解更多有關(guān)戴爾科技的產(chǎn)品和解決方案信息,請(qǐng)掃描以下二維碼咨詢(xún)戴爾官方客服。
京公網(wǎng)安備 11010502049343號(hào)