什麼是人為操作的勒索軟體?
早期的勒索軟體攻擊如 WannaCry 基本上是無方向的,利用了機會目標。 例如,WannaCry 勒索病毒蠕蟲病毒利用 Windows Server 訊息區塊協定中的脆弱性進行自我傳播。 除非惡意軟體對目標有內建限制,否則任何電腦都可能被此類勒索軟體感染。
人為操作的勒索軟體攻擊更具針對性。 人為操作的勒索軟體不是自動傳播,而是由人在系統上植入和執行。 攻擊者獲得對目標環境的存取權限,確定勒索軟體影響最大的系統,並在該位置部署勒索軟體。
勒索軟體業者大部分已轉向人工操作的勒索軟體,因為它提供了更大的控制力和獲利能力。 透過選擇要針對的組織以及在其上部署惡意軟體的位置,勒索軟體組織可以更好地根據其目標調整其攻擊和勒索要求。
人為操作的勒索軟體與傳統勒索軟體
人為操作的勒索軟體攻擊與傳統勒索軟體攻擊之間存在顯著差異,包括以下內容:
- 感染載體: 人為驅動的勒索軟體攻擊可能採用與傳統勒索軟體不同的初始存取向量。 例如,人類攻擊者可能透過受損的憑證獲得存取權限,然後透過網路橫向移動以實現其目標,而傳統的勒索軟體可能依賴網路釣魚電子郵件來傳遞和執行惡意軟體。
- 加密影響: 所有勒索軟體攻擊的目的都是透過加密有價值的文件來迫使組織支付贖金。 然而,人為操作的勒索軟體攻擊可能比傳統勒索軟體攻擊產生更大的影響。 攻擊背後的人可以在對組織運作影響最大的地方植入和執行勒索軟體,從而擴大破壞程度並擴大攻擊者可能要求的贖金規模。
- 資料竊盜: 勒索軟體攻擊越來越多地利用資料竊取來增加攻擊者在索要贖金時對目標的影響力。 透過人為操作的勒索軟體,威脅行為者能夠尋找高價值數據,例如客戶數據、財務資訊、原始碼等。
- 修復複雜性: 所有勒索軟體攻擊都需要 深入且耗時的修復 事件發生後進行清理。 然而,雖然傳統的勒索軟體攻擊可能只需要刪除惡意軟體,但人為驅動的攻擊可能需要額外的補救措施。 人類參與者可能已經洩露了員工帳戶或植入了持久性機制,為他們提供了必須刪除的系統的後門存取權限。
勒索軟體的風險
勒索軟體是企業網路安全面臨的最大威脅之一,可能對公司產生重大影響,包括:
- 遺失資料: 勒索軟體攻擊的原理是對組織的資料進行加密並要求贖金以換取解密。 然而,即使公司支付了贖金,也不一定能收回所有數據。 遭受勒索軟體攻擊的組織可能會永久丟失至少部分資料。
- 資料外洩: 近年來,勒索軟體業者擴大了攻擊範圍,在加密之前竊取敏感資料。 透過威脅洩露這些數據,攻擊者增加了對目標的影響力以支付贖金。 即使組織可以從備份中恢復加密數據,成功的勒索軟體攻擊也可能導致 資料外洩。
- 營運影響: 勒索軟體攻擊會抑制組織的運營,並且需要昂貴且耗時的補救措施。 此外,一些勒索軟體組織還會執行 分散式阻斷服務 (DDoS) 攻擊 鼓勵支付贖金。 所有這些都對組織的營運能力產生重大影響。
- 名譽損害: 雖然任何人都可能成為勒索軟體攻擊的受害者,但勒索軟體受害者通常被認為是做了錯誤的事情才導致攻擊成為可能。 遭受攻擊後,組織在客戶中的聲譽可能會受到損害,並且公司可能會接受適用法規的潛在不合規調查。
如何防止勒索軟體
防範勒索軟體攻擊 需要實施反勒索軟體保護和最佳實踐,例如:
- 員工教育: 勒索軟體運營商通常會透過以下方式針對員工進行初始訪問 網路釣魚 和其他社會工程攻擊。 對員工進行如何偵測和正確應對網路釣魚以及如何建立和使用強密碼的培訓有助於最大限度地減少員工對企業網路安全造成的威脅。
- 資料備份: 勒索軟體的商業模式是基於拒絕組織存取自己的數據,以便其支付贖金以重新獲得存取權限。 透過定期備份數據,公司可以恢復其加密數據,而無需支付贖金。
- 脆弱性管理: 勒索軟體可以透過多種方式感染系統;然而,利用脆弱性是常見的選擇。 當脆弱性修補程式可用時立即應用它們,使組織能夠在攻擊者利用這些安全漏洞之前彌補這些安全漏洞。
- 強認證: 人為操作的勒索軟體通常由攻擊者使用受損的員工憑證來部署。 對所有企業應用程式和系統強制使用多重身份驗證 (MFA),使使用受損憑證變得更加困難,從而限制了這種攻擊媒介的暴露。
- 最小權限: 人為操作的勒索軟體背後的網路犯罪分子通常透過企業網路橫向移動到勒索軟體可以造成最大損害的高價值系統。 實施最小特權和 零信任資安 原理可以幫助使這種橫向運動更難以執行並且更容易檢測。