它是如何工作的?
良好的資料備份可以擊敗傳統的勒索軟體。 如果組織擁有其資料的另一個副本,則無需支付解密金鑰即可恢復該資料。
雙重勒索勒索軟體透過將資料竊取與資料加密相結合來克服這項挑戰。 透過竊取數據並威脅在不支付贖金的情況下洩露數據,勒索軟體業者可以成功勒索贖金,即使組織有備份並且可以在不支付贖金的情況下恢復。
雙重勒索勒索軟體的攻擊序列
雙重勒索勒索軟體為勒索軟體感染的攻擊鏈添加了額外的階段,可能包括以下步驟:
- 初始存取:惡意軟體可能透過使用者工作站獲得對公司網路的初始存取權限。
- 橫向移動:惡意軟體透過公司網路移動到更高價值的目標,例如資料庫伺服器。
- 資料外洩:勒索軟體在執行高度可見的加密操作之前,會向攻擊者洩漏敏感資訊。
- 資料加密:惡意軟體對受感染系統上的檔案進行加密。
- 勒索要求:勒索軟體要求勒索贖金才能解密文件或刪除被盜資料。
潛在風險和影響
成功的勒索軟體感染可能會對組織造成極大的破壞。 一些最常見的影響包括:
- 財務損失:雙重勒索勒索軟體會為企業帶來各種潛在成本。 除了補救事件的成本之外,該公司還可能在攻擊期間損失銷售額,並可能需要支付法律和監管處罰。
- 聲譽損害:成功的勒索軟體攻擊可能會對組織的聲譽和品牌造成損害。 未能保護客戶資料以及由於攻擊而可能導致服務中斷可能會導致客戶流失或迫使公司向受影響的客戶進行賠償。
- 資料遺失:某些形式的雙重勒索勒索軟體會加密資料並竊取資料。 即使組織支付了贖金或擁有備份,也無法恢復所有資料。
- 監管處罰:竊取敏感資料的勒索軟體團體屬於應通報的資料外洩行為。 因此,組織可能需要支付監管處罰。
雙重勒索勒索軟體範例
許多勒索軟體團夥都採用了雙重勒索方法。 一些最著名的包括:
- 迷宮: Maze 勒索軟體組織於 2020 年出現,率先發起雙重勒索勒索軟體攻擊。
- REvil: REvil 是一個勒索軟體即服務 (RaaS) 組織,於 2019 年首次被發現。
- DarkSide: DarkSide 是一個 2020 年出現的 RaaS 組織,因 Colonial Pipeline 駭客事件而聞名。
- BlackMatter: BlackMatter 於 2021 年出現,聲稱接替已不再運作的 REvil 和 DarkSide 組織。
- LockBit: LockBit 於 2019 年出現,是一種在攻擊中使用自傳播惡意軟體的 RaaS。
如何防止雙重勒索軟體攻擊
保護組織免受勒索軟體攻擊的一些網路安全最佳實踐包括:
- 網路安全意識培訓:許多勒索軟體變體使用社會工程攻擊(例如網路釣魚)來存取組織的網路。 培訓員工識別這些威脅並做出適當反應可以降低事件的風險。
- 資料備份:雖然雙重勒索勒索軟體會竊取數據,但它也可以加密有價值的資料。 資料備份使組織能夠恢復其資料而無需加密。
- 修補:一些勒索軟體變體利用軟體脆弱性來存取和感染電腦。 及時應用修補程式和更新有助於彌補這些安全漏洞,防止它們被利用。
- 強大的使用者身分驗證: RDP 和其他遠端存取協定通常用於透過勒索軟體感染企業系統。 部署強身份驗證(包括多重身份驗證 (MFA) )可以幫助防止攻擊者使用受損的憑證來分發惡意軟體。
- 網路分段:勒索軟體團體通常需要透過組織的網路從初始感染點橫向移動到高價值系統。 網路分段——將網路分成孤立的部分——可以幫助偵測和防止這種橫向移動。
- 反勒索軟體解決方案:勒索軟體的檔案加密在電腦上創建了獨特的活動模式,並且許多變體都有已知的簽名。 反勒索軟體解決方案可以在勒索軟體感染對企業造成重大損害之前識別並阻止或修復它們。
- 威脅資訊:了解最新的勒索軟體攻擊活動對於防範勒索軟體攻擊活動非常寶貴。 將威脅情報來源與網路安全解決方案整合使他們能夠更準確地識別和阻止勒索軟體攻擊。
使用 Check Point 防止勒索軟體攻擊
雙重勒索勒索軟體攻擊對企業構成重大威脅,因為它們可以擊敗作為勒索軟體防禦的備份。 要了解有關防禦此威脅的更多信息,請查看《CISO 勒索軟體預防指南》 。
勒索軟體是組織面臨的眾多網路威脅之一,如Check Point 的網路安全報告所述。 Check Point Harmony 端點提供針對勒索軟體和其他端點資安威脅的強大保護。 要了解有關管理端點資安對貴公司的威脅的更多信息,請註冊免費示範。
反映意見