年度赎金书成为企业的最大威胁之一
2月5日,加利福尼亚州洛杉矶的好莱坞长老会医疗中心的员工开始拥有网络接入问题,防止电子通信。在接下来的几天里,他们了解到,医院是赎金软件攻击的受害者,该侵权是多台计算机上的文件。
经过几天的工作人员不得不诉诸钢笔和纸张的录音,医院决定支付17,000美元的赎金 - 相当于袭击者要求的40比特币。它被视为恢复受影响的文件和系统的最快方法。
这是一系列赎金软件攻击中的第一个,该攻击中的一系列赎金制造商在未来几个月内影响了多个月的医疗组织,包括奇诺谷医疗中心,肯塔基州亨德森的沙漠谷医院和卫理学医院。
它还突出了一个令人担忧的趋势:虽然在过去,赎金软件攻击主要是针对消费者,攻击者现在正在向企业转移。
过去两年来,攻击者使用的赎金软件的类型是剧烈的转变,艾滋病毒供应商趋势科学的首席网络安全官员的埃德卡德拉表示。
2014年,80%的赎金软件攻击使用涉及的传统技术,例如,锁定桌面屏幕并告诉用户他们需要支付罚款。但是,在2015年,统计数据翻转和80%的攻击涉及加密文件的恶意程序。
“另一个赎金软件演变是从瞄准消费者到企业的过渡,”Cabrera说。“2016年检测到并阻止的许多新的加密赎金瓶家庭都是以前的更多企业。”
目标的这种变化并不完美。毕竟,商业纪录比个人文件更有价值,公司可以负担得起的赎金,而不是消费者,他们的安全姿势可以根据其地理位置,大小和行业部分而变化。
“我们已经开始注意到,过去一年的赎金软件一直专注于中小型企业,因为它们更有可能支付比普通用户更大的赎金瓶费,”杀毒学过期电子威胁分析师Liviu Arsene表示坚定的bitdefender。“考虑到好莱坞长老医疗医院在单一赎金软件感染时支付了17,000美元,它认为网络犯罪分子对目标组织更感兴趣。”
最近对美国600名商业领袖的IBM调查发现,两者在工作场所经历过赎金软件攻击,其中70%的公司支付给予数据。
IBM X-Force表示,电子邮件分发了2016年发送的所有垃圾邮件的垃圾邮件占所有垃圾邮件的垃圾邮件占所有垃圾邮件的垃圾邮件,以及今年的恶意软件,IBM X-Force表示。
赎金软件攻击可能会对公司的日常活动和人力资源和财务部门是普通目标的影响,因为它是易于伪装恶意软件作为简历或发票。如果受害者恰好是医院,公共交通服务,水实用程序或其他一些关键基础设施提供商,则与勒索省软件相关的停机时间可能对生命产生严重影响。
11月,黑客来自旧金山市政运输机构大约900个系统的损害和加密数据。事件不影响过境服务,但原子能机构必须开设大门,为乘客提供免费运输,以尽量减少客户的影响。
涉及赎金软件时,预防至关重要,因为一旦系统受到影响,除了支付网络犯罪分动的选择。公司应该有一个完整的响应计划,简单地拥有数据备份例程是不够的。
组织需要定期验证其备份的完整性和测试恢复过程是否有没有毛刺的工作。否则,它们可能会发现通过自己的过程恢复数据可能需要太长时间,而只是支付赎金。
Ransomware程序传统上通过电子邮件垃圾邮件分发,其中许多仍然是,但攻击者在过去一年中突出了他们的感染方法。
第二种最常见的感染技术是通过利用套件 - 基于Web的攻击工具,该工具包含浏览器或浏览器插件中的漏洞,如Flash Player,Adobe Reader,Java和Silverlight。
用户通过受损的网站或通过恶意广告进行重定向到攻击套件,攻击者设法潜入广告网络。这些被称为通过下载攻击和与网络钓鱼电子邮件不同,用户可以培训以避免它们,因为它们可以从受信任的网站推出,通常完全沉默。
但它不仅仅是组织必须担心的工作站。攻击者在服务器软件中也越来越多地利用漏洞,以将赎金软件获取到公司网络上。
4月份,Medstar Health,一个在华盛顿州,D.C.运行10家医院的非营利组织被称为Samsam的赎金软件计划。研究人员后来建立了SAMSAM通过JBoss Application Server的漏洞安装了一个漏洞,在世界各地的学校和其他组织中找到了2,000个这样的服务器运行脆弱的JBoss安装。
根据Symantec的一份报告,Samsam Campaign也很有趣,因为它背后的网络犯罪分子正在使用通常在Cyberespion攻击中看到的技术和工具来执行公司网络内的横向运动。他们的目标是识别最有价值的目标,并在部署赎金软件之前删除现有备份。
另一个案例是Linux.Encoder,世界上第一个Linux的赎金软件程序,通过Arsene表示,通过Magento内容管理系统中的漏洞感染了Web服务器。“其他有趣的分发机制涉及为流行的开源项目劫持FTP凭据,然后用污染的副本代替二进制文件,如在传输BitTorrent客户端的情况下。”
“我们确实希望使用Ransomware”Goale Corporate“,我们将在网络中看到更多的基于网络的感染,”Exabeam威胁研究主任Barry Shteiman表示,该安全公司使用机器学习来检测赎金软件。“实质上,每个有可能导致网络钓鱼,污损或持久注入的漏洞的服务器都可能导致勒索软件传播。”
最近使用的另一个卷载软件分发方法是通过窃取的远程管理凭据。今年早些时候,通过被攻击的TeamViewer凭证安装了一个被称为惊喜的赎金软件变体,并且最近通过RDP(远程桌面协议)蛮力攻击来孤岛抵抗赎金软件感染系统。
谈到基于电子邮件的攻击时,攻击者使用隐藏在ZIP档案中的可执行文件,Word文档与嵌入其中的恶意宏,在执行时下载和安装恶意软件Droppers的JavaScript附件。
事实上,在赎金软件攻击中,文件加密是感染链的最后一步,因此在影响有价值的数据之前,有多种机会检测和阻止这种攻击。
首先,将原始的入口点进入网络,是否是电子邮件广告系列,基于Web的利用或其他东西。如果攻击被垃圾邮件过滤器或端点安全产品捕获,则避免威胁。
第二阶段通常是一个名为恶意软件放弃者的恶意程序,其目标是将返回攻击者的服务器连接并下载赎金软件程序。检测和阻止恶意软件滴管是另一个在导致损坏之前停止赎金软件攻击的机会。
部署中的ransomware后,它将首先扫描本地计算机和网络共享它可以加密的文件,并将尝试禁用Windows Volume Shadow Copy Service并删除现有备份。
最后,在启动加密过程之前,大多数ransomware程序将连接到命令和控制服务器以获取RSA公钥。该密钥是服务器生成的公钥密钥对的一部分,用于加密数据。解密需要的私钥永远不会离开攻击者“服务器。
大多数情况下,如果防火墙阻止恶意程序访问命令和控制服务器并下载公钥,则数据加密过程赢得了“T”。但是,一些最近的赎金软件变体具有使用硬编码密钥执行离线数据加密的能力。
值得注意的是,它不仅仅是可以通过赎金软件无法使用的业务数据,也是整个计算机。RansomWare变体如Petya和HDDcryptor重写计算机的主引导记录(MBR),并加密整个文件表,让它们无法启动到OS中。
当勒索软件命中时,将受感染的计算机与网络的其余部分隔离为重要,以便感染能够蔓延。关闭未受影响的计算机,直到可以包含妥协。此时,公司还应联系执法机构并要求援助。
下一步应该是编写加密数据的副本,并清理恶意程序创建的注册表值和文件,以便在启动计算机时再次运行。更改可用于访问其他网络服务的用户密码也很重要,因为攻击者可能已经窃取它们。
然后有很难的决定:支付网络犯罪分子。安全专家和执法机构Don“T建议支付赎金,因为这鼓励犯罪分子,因为没有保证他们”LL提供解密密钥。
根据安全公司卡巴斯基实验室的一份报告,每五家公司支付赎金的公司中从未收到过数据。然而,如果毫无准备地处理赎金软件,有时候会有其他组织可以做的。
Shteiman认为这是一个基于成本的决定。该组织应通过提出以下问题进行评估:什么是加密的?是否有加密数据的备份?自上次备份以来数据发生了多少变化?失去这些变化的成本是什么?使用其他手段恢复它们需要多长时间?是否可以使用现有工具或已知密钥恢复数据?
如果由数据不可用或备份恢复过程引起的业务停机比支付赎金更昂贵,或者如果放弃加密数据的收入损失和知识产权的成本高于修复,那么组织应该支付赎金,但只有在其他选择已经耗尽,Shteiman说。
如果公司决定持有其地面并不支付赎金,即使它没有其他方式恢复其数据,它应该保留加密文件的副本。有时执法机构或安全公司可以控制各种赎金软件变体的命令和控制服务器,并将制作可用的解密密钥。其他时代,安全研究人员可能会在一些赎金软件程序的加密实现中找到漏洞并创建免费恢复工具。
公司网络不是唯一有风险的人; Nuy Caspi的网络安全公司CARESPIE,Nuy Caspi深入Instinct,下一波攻击可能会看到Ransomware定位工业网络。“4月份,兰辛委员会(BWL) - 密歇根州的第三大电气和水效用 - 是在赎金软件攻击下,这是第一个由勒索厂命中的电力效用。”
CASPI认为,在制作数据副本而不是加密它们之后,勒索软件演变的下一步可能是擦除硬盘的程序而不是加密它们。
另一方面,Bitdefender“S的Arsene认为,由于我们现在拥有Windows,Linux,OS X和Android的Ransomware,因此内容设备可以是下一个目标。
“举办智能设备的场景并不是那种比较的智能设备,特别是因为预计在未来几年内聪明的东西的数量预期呈指数增长,”Arsene表示。“如果您的智能家庭被赎金,或者如果您的企业传感器网格将被赎金软件脱机,那就是事情会变得复杂。”