勒索軟件在過去幾年已成為頭條新聞，但早在此之前就已經(jīng)存在。20 年前，針對(duì)消費(fèi)者的惡意軟件凍結(jié)了受害者的機(jī)器并要求付款。犯罪分子的問題是把錢從受害者的賬戶轉(zhuǎn)到他們的賬戶。

然后，出現(xiàn)了加密貨幣。勒索軟件犯罪分子傳統(tǒng)上不得不試圖說服受害者購買禮品卡或通過數(shù)據(jù)等匯款服務(wù)進(jìn)行付款。從 2009 年的比特幣開始，加密貨幣提供了一種快速、無摩擦的支付方式，在接下來的十年中呈爆炸式增長，幾乎每周都會(huì)出現(xiàn)更多的數(shù)字貨幣。有些人，比如門羅幣，專門設(shè)計(jì)為盡可能匿名。

這為犯罪分子提供了一個(gè)完善的支付渠道，為更專業(yè)的攻擊鋪平了道路。第一個(gè)勒索軟件通常編碼不佳，使受害者能夠共享加密密鑰并恢復(fù)自己的數(shù)據(jù)。后來的應(yīng)變加強(qiáng)了加密并使用了更復(fù)雜的技術(shù)。

勒索軟件開始刪除影子卷文件，這些文件是 Windows 機(jī)器在本地創(chuàng)建的文件的備份，也是 Windows 在本地恢復(fù)文件的關(guān)鍵工具。已經(jīng)發(fā)現(xiàn) Ryuk 使用簡(jiǎn)單的腳本自動(dòng)抓取并刪除它找到的任何影子卷或其他備份文件。Locky、Wannacry 和 Cryptolocker 都以影子卷為目標(biāo)。大多數(shù)勒索軟件卷還會(huì)爬取網(wǎng)絡(luò)以尋找共享卷，這意味著備份到網(wǎng)絡(luò)驅(qū)動(dòng)器不會(huì)保護(hù)您。

介紹人類黑客

在過去的幾年里，勒索軟件再次演變。它變得更像是一項(xiàng)業(yè)務(wù)。其背后的犯罪社區(qū)分為不同的團(tuán)體，這些團(tuán)體在稱為勒索軟件即服務(wù)的附屬模型上運(yùn)作。勒索軟件作者將他們的惡意軟件許可給其他發(fā)現(xiàn)受害者進(jìn)行感染的人。然后他們向作者支付費(fèi)用。

勒索軟件組織開始在暗網(wǎng)上尋找大量易受攻擊的攻擊媒介。其中不僅包括被盜的登錄憑據(jù)，還包括易受攻擊的遠(yuǎn)程桌面協(xié)議 (RDP) 端口，他們可以使用這些端口用勒索軟件感染端點(diǎn)。然后他們自動(dòng)攻擊，使用機(jī)器人攻擊易受攻擊的點(diǎn)，看看他們可以控制哪些網(wǎng)絡(luò)。

一旦感染了易受攻擊的網(wǎng)絡(luò)，今天的許多勒索軟件攻擊者所做的遠(yuǎn)遠(yuǎn)不止讓軟件運(yùn)行。相反，他們會(huì)花時(shí)間自己通過受害者的網(wǎng)絡(luò)手動(dòng)挑選方式，尋找更多要感染的機(jī)器。這種橫向移動(dòng)使他們能夠找到受害者最有價(jià)值的資源。他們經(jīng)常使用目標(biāo)網(wǎng)絡(luò)上已經(jīng)存在的日常管理工具，如 PowerShell 和 Windows 管理工具，以避免引起懷疑。這個(gè)過程被稱為“以土地為生”。

這種更加手動(dòng)的技術(shù)使勒索軟件竊賊可以做的不僅僅是加密數(shù)據(jù)。今天，他們也在偷它。這樣，如果一家公司能夠從備份中恢復(fù)其數(shù)據(jù)，他們?nèi)匀豢梢酝ㄟ^威脅發(fā)布信息來勒索錢財(cái)。

結(jié)果？

勒索軟件已從定時(shí)炸彈演變?yōu)橹悄軐?dǎo)彈，可在您的組織中尋找最有價(jià)值的信息。但它并不止于一個(gè)數(shù)據(jù)緩存。它可以找到所有可以找到的目標(biāo)，從而最大化其爆炸半徑。這些攻擊者不會(huì)停留在原始數(shù)據(jù)上。他們也會(huì)盡最大努力訪問受害者的備份。這通常相對(duì)容易，因?yàn)橐恍﹤浞菸募臉?biāo)題包含有關(guān)其內(nèi)容的詳細(xì)信息。

這些備份通常是在一次簡(jiǎn)單的突襲中收集大量敏感數(shù)據(jù)的簡(jiǎn)單方法。云備份甚至更好，因?yàn)楂@得這些帳戶訪問權(quán)限的勒索軟件竊賊通常可以竊取備份，而不會(huì)在受害者的內(nèi)部網(wǎng)絡(luò)上觸發(fā)任何警報(bào)。然后，他們可以在閑暇時(shí)獲取敏感數(shù)據(jù)。

找到這些備份的犯罪分子可以在引爆他們的勒索軟件之前將其刪除。這會(huì)阻止受害者從他們那里恢復(fù)數(shù)據(jù)。另一種方法是根本不刪除備份，而是讓勒索軟件在網(wǎng)絡(luò)上休眠數(shù)周。然后，勒索軟件文件將與其他所有文件一起備份。在它最終引爆后，受害者可能會(huì)恢復(fù)文件，卻發(fā)現(xiàn)自己立即再次被感染。

問題越來越嚴(yán)重

公司如何保護(hù)自己免受這些勒索軟件攻擊？適用基本的網(wǎng)絡(luò)安全衛(wèi)生措施。培訓(xùn)最終用戶注意網(wǎng)絡(luò)釣魚攻擊、掃描傳入的電子郵件和傳出的網(wǎng)絡(luò)會(huì)話都是很好的防線。對(duì)在線帳戶使用多因素身份驗(yàn)證將有助于阻止勒索軟件竊賊入侵帳戶，而關(guān)閉未使用的 RDP 端口將關(guān)閉攻擊面，定期修補(bǔ)軟件也是如此。不過，除此之外，公司還需要為勒索軟件構(gòu)建的安全解決方案——尤其是隨著勒索軟件即服務(wù)的興起。

勒索軟件即服務(wù)正是您認(rèn)為的那樣，并且隨著越來越多的威脅參與者轉(zhuǎn)向它，它正在成為一個(gè)重大威脅，這意味著您的恢復(fù)和網(wǎng)絡(luò)彈性解決方案將變得更加重要。世界已經(jīng)不像以前那樣了，這是肯定的。您不再只需要害怕那些有能力執(zhí)行勒索軟件攻擊的人，您現(xiàn)在必須確保從各個(gè)角度得到保護(hù)，因?yàn)?RaaS 使那些知識(shí)和技能不高的人能夠在閑暇時(shí)發(fā)動(dòng)攻擊. 這些工具包很容易在暗網(wǎng)上訪問，這最終意味著更多的攻擊，攻擊者通常會(huì)使用“噴霧”策略，希望有什么東西能落地。這對(duì)你意味著什么？這意味著您的防御和備份從未如此重要。