勒索軟體攻擊為何層出不窮?
現代勒索軟體熱潮始於 2017 年 WannaCry 爆發。這次大規模且廣為人知的攻擊表明,勒索軟體攻擊是可能的,並且可能有利可圖。從那時起,數十種勒索軟體變種被開發出來並用於各種攻擊。
The COVID-19 pandemic also contributed to the recent surge in ransomware. As organizations rapidly pivoted to remote work, gaps were created in their cyber defenses. Cybercriminals have exploited these vulnerabilities to deliver ransomware, resulting in a surge of ransomware attacks.
In an age dominated by digital risks, a staggering 71% of companies have encountered ransomware attacks, resulting in an average financial loss of $4.35 million per incident.
In the year 2023 alone, attempted ransomware attacks have targeted 10% of organizations globally. This marks a notable rise from the 7% of organizations facing similar threats in the previous year, representing the highest rate recorded in recent years.
勒索軟體如何運作
為了成功,勒索軟體需要存取目標系統,加密其中的文件,並向受害者索取贖金。
雖然一種勒索軟體變體的實施細節有所不同,但所有勒索軟體變體都共享相同的核心三個階段
與任何惡意軟體一樣,勒索軟體可以透過多種不同的方式存取組織的系統。然而,勒索軟體操作者往往更喜歡一些特定的感染媒介。
其中之一是網路釣魚電子郵件。惡意電子郵件可能包含託管惡意下載的網站的連結或內建下載器功能的附件。如果電子郵件收件者陷入網路釣魚,則會下載勒索軟體並在其電腦上執行。
另一種流行的勒索軟體感染媒介利用遠端桌面協定 (RDP) 等服務。透過 RDP,竊取或猜測員工登入憑證的攻擊者可以使用這些憑證對企業網路內的電腦進行身份驗證並遠端存取。透過此存取權限,攻擊者可以直接下載惡意軟體並在其控制的電腦上執行它。
其他人可能會嘗試直接感染系統,例如 WannaCry 如何利用 EternalBlue 脆弱性。大多數勒索軟體變種都有多個感染媒介。
勒索軟體獲得系統存取權限後,它就可以開始加密其檔案。由於加密功能內建於作業系統中,這僅涉及存取檔案、使用攻擊者控制的金鑰對其進行加密,以及用加密版本取代原始檔案。大多數勒索軟體變體在選擇要加密的檔案時都很謹慎,以確保系統穩定性。某些變體還會採取步驟刪除文件的備份和陰影副本,以使沒有解密金鑰的恢復更加困難。
文件加密完成後,勒索軟體就準備提出贖金要求。不同的勒索軟體變體以多種方式實現這一點,但將顯示背景更改為勒索字條或放置在包含勒索字條的每個加密目錄中的文字檔案的情況並不少見。通常,這些筆記需要一定數量的加密貨幣以換取訪問受害者的文件。 如果支付了贖金,勒索軟體業者將提供用於保護對稱加密金鑰的私鑰副本或對稱加密金鑰本身的副本。這些資訊可以輸入解密程式(也由網路犯罪分子提供),該程式可以使用它來反轉加密並恢復對使用者檔案的存取。
雖然這三個核心步驟存在於所有勒索軟體變體中,但不同的勒索軟體可能包含不同的實現或附加步驟。例如,Maze 等勒索軟體變種在資料加密之前執行檔案掃描、登錄資訊和資料竊取,而 WannaCry 勒索軟體會掃描其他易受攻擊的裝置以進行感染和加密。
Types of Ransomware Attacks
Ransomware has evolved significantly over the past few years. Some important types of ransomware and related threats include:
- Double Extortion: Double-extortion ransomware like Maze combines data encryption with data theft. This technique was developed in response to organizations refusing to pay ransoms and restoring from backups instead. By stealing an organization’s data as well, the cybercriminals could threaten to leak it if the victim doesn’t pay up.
- Triple Extortion: Triple extortion ransomware adds a third extortion technique to double extortion. Often, this includes demanding a ransom from the victim’s customers or partners or performing a distributed denial-of-service (DDoS) attack against the company as well.
- Locker Ransomware: Locker ransomware is ransomware that doesn’t encrypt the files on the victim’s machine. Instead, it locks the computer — rendering it unusable to the victim — until the ransom has been paid.
- Crypto Ransomware: Crypto ransomware is another name for ransomware that underscores the fact that ransomware payments are commonly paid in cryptocurrency. The reason for this is that cryptocurrencies are digital currencies that are more difficult to track since they’re not managed by the traditional financial system.
- Wiper: Wipers are a form of malware that is related to but distinct from ransomware. While they may use the same encryption techniques, the goal is to permanently deny access to the encrypted files, which may include deleting the only copy of the encryption key.
- Ransomware as a Service (RaaS): RaaS is a malware distribution model in which ransomware gangs provide “affiliates” with access to their malware. These affiliates infect targets with the malware and split any ransom payments with the ransomware developers.
- Data-Stealing Ransomware: Some ransomware variants have focused on data theft, abandoning data encryption entirely. One reason for this is that encryption can be time-consuming and easily detectable, providing an organization with an opportunity to terminate the infection and protect some files from encryption.
流行的勒索軟體變種
存在數十種勒索軟體變體,每種變體都有其獨特的特徵。然而,一些勒索軟體團體比其他勒索軟體團體更加猖獗和成功,使他們脫穎而出。
1.鲁克
鲁克 是一個非常有針對性的勒索軟體變體的範例。它通常透過魚叉式網路釣魚電子郵件或透過遠端桌面協定 (RDP) 使用受損的使用者憑證登入企業系統來傳遞。一旦系統受到感染,Ryuk 會加密某些類型的文件(避免對計算機運行至關重要的文件),然後提出贖金要求。
Ryuk 是眾所周知的現有最昂貴的勒索軟體類型之一。魯克要求贖金 平均超過 1 萬美元。因此,Ryuk 背後的網絡犯罪分子主要專注於擁有滿足他們需求所需的資源的企業。
二.迷宮
The 迷宮 勒索軟體因是第一個勒索軟體變種而聞名 結合文件加密和資料竊取。當目標開始拒絕支付贖金時,Maze 開始從受害者的計算機收集敏感數據,然後加密它。 如果沒有滿足贖金要求,這些數據將公開公開或出售給最高出價者。 可能造成昂貴的數據洩露可能作為付款的額外激勵。
Maze 勒索軟體背後的組織 正式結束營運。然而,這並不意味著勒索軟體的威脅已經減少。一些 Maze 附屬公司已轉向使用 Egregor 勒索軟體,並且 Egregor、Maze 和 Sekhmet 變種被認為具有共同來源。
三.雷維爾(蘇迪諾基比)
REvil 集團(也稱為索迪諾基比) 是另一種針對大型組織的勒索軟體變體。
REvil 是網路上最知名的勒索軟體系列之一。該勒索軟體組織自 2019 年以來一直由俄語 REvil 組織運營,對「 Kaseya 」和「JBS」等許多重大洩密事件負有責任。
在過去的幾年裡,它一直與 Ryuk 競爭最昂貴的勒索軟體變種的稱號。眾所周知,REvil 有 要求 8 萬美元贖金。
雖然 REvil 最初是一種傳統的勒索軟體變體,但它隨著時間的推移而不斷發展
他們使用雙重勒索技術 - 從企業竊取數據,同時加密文件。這意味著,除了要求贖金來解密數據之外,攻擊者還可能會威脅在未進行第二次付款時釋放被盜數據。
4.洛克比特
LockBit 是自 2019 年 9 月開始運行的資料加密惡意軟體,也是最近的勒索軟體即服務 (RaaS) 。這款勒索軟體旨在快速加密大型組織,以防止其被安全設備和 IT/SOC 團隊快速檢測到。
5.迪亞克里
2021 年 3 月,微軟發布了 Microsoft Exchange 伺服器中四個脆弱性的修補程式。DearCry 是一種新的勒索軟體變體,旨在利用 Microsoft Exchange 中最近披露的四種脆弱性
DearCry 勒索軟體會對某些類型的檔案進行加密。加密完成後,DearCry 將顯示一條勒索訊息,指示用戶向勒索軟體營運商發送電子郵件,以了解如何解密其檔案。
六.拉普斯 $
Lapsus$ 是一個南美勒索軟體團夥,與針對一些知名目標的網路攻擊有關。這個網絡幫派以勒索而聞名,如果受害者沒有提出要求,威脅釋放敏感信息。 該集團自豪地突破了英維亞,三星,尤比索特等。 該組織使用竊取的原始程式碼將惡意軟體檔案偽裝成可信的。
How Does Ransomware Affect Businesses?
A successful ransomware attack can have various impacts on a business. Some of the most common risks include:
- Financial Losses: Ransomware attacks are designed to force their victims to pay a ransom. Additionally, companies can lose money due to the costs of remediating the infection, lost business, and potential legal fees.
- Data Loss: Some ransomware attacks encrypt data as part of their extortion efforts. Often, this can result in data loss, even if the company pays the ransom and receives a decryptor.
- Data Breach: Ransomware groups are increasingly pivoting to double or triple extortion attacks. These attacks incorporate data theft and potential exposure alongside data encryption.
- Downtime: Ransomware encrypts critical data, and triple extortion attacks may incorporate DDoS attacks. Both of these have the potential to cause operational downtime for an organization.
- Brand Damage: Ransomware attacks can harm an organization’s reputation with customers and partners. This is especially true if customer data is breached or they receive ransom demands as well.
- Legal and Regulatory Penalties: Ransomware attacks may be enabled by security negligence and may include the breach of sensitive data. This may open up a company to lawsuits or penalties being levied by regulators.
Common Ransomware Target Industries
Ransomware can target any company across all industry verticals. However, ransomware is commonly deployed as part of a cybercrime campaign, which is often targeted at a particular industry. The top five ransomware target industries in 2023 include:
- Education/Research: The Education/Research sector experienced 2046 ransomware attacks in 2023, a 12% drop from the previous year.
- Government/Military: Government and military organizations were the second most targeted industry with 1598 attacks and a 4% decrease from 2022.
- Healthcare: Healthcare experienced 1500 attacks and a 3% increase, which is particularly concerning due to the sensitive data and critical services that it provides.
- Communications: Communications organizations experienced an 8% growth in 2023, totaling 1493 known attacks.
- ISP/MSPs: ISPs and MSPs — a common ransomware target due to their potential for supply chain attacks — experienced 1286 ransomware attacks in 2023, a 6% decrease.
如何防範勒索軟體
適當的準備可以大大降低勒索軟體攻擊的成本和影響。採取以下最佳實踐可以減少組織遭受勒索軟體的風險並最大限度地減少其影響:
- 網路意識培訓和教育:勒索軟體通常透過網路釣魚電子郵件傳播。培訓使用者如何識別和避免潛在的勒索軟體攻擊至關重要。由於目前的許多網路攻擊都是從有針對性的電子郵件開始的,該電子郵件甚至不包含惡意軟體,而只是鼓勵用戶點擊惡意連結的社交工程訊息,因此用戶教育通常被認為是最重要的防禦措施之一組織可以部署。
- 連續資料備份:勒索軟體的定義表明,它是一種惡意軟體,旨在使支付贖金成為恢復對加密資料的存取的唯一方法。自動化、受保護的資料備份使組織能夠從攻擊中恢復,並且不需要支付贖金的情況下,並且不需要支付贖金。 維護定期備份數據作為例行程序是一種非常重要的做法,以防止數據丟失,並在損壞或磁盤硬件故障時能夠恢復數據。 功能備份還可以幫助組織從勒索軟體攻擊中恢復。
- 修補:修補是防禦勒索軟體攻擊的關鍵組成部分,因為網路犯罪分子通常會在可用的修補程式中尋找最新的未發現的漏洞,然後針對尚未修補的系統。因此,組織確保所有系統都應用了最新的修補程式至關重要,因為這可以減少企業中可供攻擊者利用的潛在弱點的數量。
- 使用者身分驗證:使用竊取的使用者憑證存取 RDP 等服務是勒索軟體攻擊者最喜歡的技術。使用強大的使用者驗證可能會使攻擊者更難利用猜測或被盜的密碼
由於勒索軟體感染的潛在成本很高,預防是最好的勒索軟體緩解策略。通過解決以下問題來減少攻擊表面來實現這一點:
- 網路釣魚郵件
- 未打補丁的脆弱性
- 遠端存取解決方案
- 行動惡意軟體
需要加密所有使用者的檔案意味著勒索軟體在系統上運行時具有唯一的指紋。反勒索軟體解決方案旨在識別這些指紋。良好的反勒索軟體解決方案的共同特徵包括:
- 廣泛的變體檢測
- 快速檢測
- 自動恢復
- 恢復機制不基於常見的內建工具(例如“影子複製”,它是某些勒索軟體變體的目標)
如何移除勒索軟體?
沒有人想在自己的電腦上看到勒索訊息,因為它表明勒索軟體感染已成功。此時,可以採取一些步驟來應對活躍的勒索軟體感染,組織必須選擇是否支付贖金。
許多成功的勒索軟體攻擊只有在資料加密完成並且勒索資訊顯示在受感染電腦的螢幕上後才會被偵測到。此時,加密的文件可能無法恢復,但應立即採取一些步驟:
- 隔離機器:某些勒索軟體變體會嘗試傳播到連接的磁碟機和其他機器。透過刪除對其他潛在目標的存取權來限制惡意軟體的傳播。
- 讓電腦保持開啟狀態:檔案加密可能會使電腦不穩定,關閉電腦電源可能會導致揮發性記憶體遺失。保持計算機開啟以最大限度地提高恢復的可能性。
- 建立備份:無需支付贖金即可解密某些勒索軟體變種的檔案。如果將來有解決方案可用或解密失敗損壞文件,請在卸除媒體上複製加密文件。
- 檢查解密程序:請向「無需再勒索項目」查看是否可用免費的解密程序。 如果是這樣,請在加密數據的副本上運行它,以查看它是否可以恢復文件。
- 尋求幫助:電腦有時會儲存儲存在其中的檔案的備份副本。 如果這些副本未被惡意軟體刪除,數位鑑識專家也許能夠恢復這些副本。
- 清除和還原:從清潔的備份或作業系統安裝還原本機。 這可確保惡意軟體從裝置中完全刪除
Check Point 如何提供協助
Check Point 的反勒索軟體技術使用專門構建的引擎,可防禦最複雜、具有規避性的零日勒索軟體變體,並安全地恢復加密數據,從而確保業務連續性和生產力。我們的研究團隊每天都會驗證這項技術的有效性,並在識別和緩解攻擊方面持續展現出色的成果。
Harmony 端點是 Check Point 領先的端點預防和回應產品,包含反勒索軟體技術,利用 Check Point 業界領先的網路保護為 Web 瀏覽器和端點提供保護。Harmony 端點可跨所有惡意軟體威脅媒介提供完整、即時的威脅防護和修復,讓員工無論身在何處都能安全工作,而不會影響工作效率。