勒索软件攻击的兴起

2020年10月26日 通过 蒂莉·霍兰(Tilly Holland)

DST_image_600x600_勒索软件

在冠状病毒大流行期间,网络安全攻击激增。现在,组织和个人意识到他们可以采取的减轻目标风险的步骤比以往任何时候都更为重要。局势变得如此糟糕,以至美国财政部恐怖主义和金融情报局发布了 一对咨询 协助个人和企业抵御勒索软件攻击。

结合“国家网络安全月”,我们希望使用此博客来引起您的注意,并回顾最新的建议。 2020年CrowdStrike勒索软件威胁报告

在深入研究这两个建议的深度之前,我们认为强调财政部定义的勒索软件将是有益的。 

 根据财政部的说法,勒索软件被定义为“恶意软件的一种形式(“恶意软件”),旨在通过对信息技术(IT)系统上的数据或程序进行加密以勒索受害者的勒索款项来阻止对计算机系统或数据的访问。换取解密信息和恢复受害者对他们的系统或数据的访问权。在某些情况下,除了攻击之外,犯罪者还威胁要发布属于受害者的敏感文件,这些文件可以是个人或企业实体。” 

咨询及其含义

发布公告的两个组织是美国财政部金融犯罪执法网络(FinCEN)和美国财政部外国资产控制办公室(OFAC)。 

1. FinCen咨询的标题是:“关于勒索软件和使用金融系统促进勒索支付的咨询”。该通报的目的是“提供有关金融中介机构在付款,勒索软件趋势和类型方面的作用的信息,以及相关的金融危险信号。它还提供有关有效报告和共享与勒索软件攻击有关的信息的信息。” 

金融中介机构在防止金钱在胁迫下进行交易方面起着至关重要的作用。与标准欺诈检测一样,该通报也解释说,希望中介机构通过主动检测可疑转移进行干预,并报告通过适当归类的SAR档案进行的任何交易。 FinCEN咨询已为中介机构整合到其算法中提供了十个警告,以帮助此类组织识别在胁迫下支付的款项。 

2. OFAC的咨询标题为:“关于促进勒索软件付款的潜在制裁风险的咨询”。该通报的目的是“强调与代表恶意网络活动针对的受害者提供勒索软件付款有关的制裁风险。” 

不论受到网络犯罪分子的攻击,企业都会受到威胁;他们最终应对资金转移引起的OFAC风险承担全部责任。 

例如,如果一个组织冲动行事并与黑客交换金钱,则无论情况如何,OFAC都可能受到处罚。尽管在评估OFAC的暴露程度时可以考虑攻击,但它并不能保护组织最终承担责任。 

为什么需要它们? 

在过去的12个月中,勒索软件攻击的严重性和复杂性在各个领域持续上升。的 最近对全民健康服务的攻击(UHS)提醒我们,没有组织可以抵御勒索软件。实际上,根据CrowdStrike的2020年威胁报告,今年网络犯罪发生了黑暗的转变,这一转变已从针对大型政府实体的目标转变为掠夺教育机构以及人员不足和负担过重的公共机构。 

由于受害者较弱的网络安全控制和数据敏感性,对医疗保健,政府和教育机构等组织的勒索软件攻击极有可能增加。没有足够的备份系统和事件响应功能,小型企业和公共机构将成为网络犯罪分子的目标。与大型政府公司不同,后者已经辞职成为不良行为者的目标,并且拥有足够的资金和熟练的资源来采取措施保护自己,而对于典型的组织和个人来说,这是完全不同的事情。

新的勒索软件技术 

CrowdStrike威胁报告重点介绍了勒索软件策略的一些新趋势。这些包括: 

尝试终止安全产品  

网络犯罪分子现在正尝试删除安全软件,例如端点保护产品或安全信息和事件管理(SIEM)警报转发器。此类为此目的可公开获得的实用程序包括PCHunter,ProcessHacker,PowerTool x64,GMER,Total Uninstall Portable和Defender Control。 

使用托管WordPress CMS的受感染网站 

Crowdstrike指出,2019年,使用托管单个WordPress内容管理系统(CMS)的受感染网站导致网络犯罪人数增加。这些站点用于传播恶意软件(REvil,MUMMY Spider的EMOTET和Qakbot)。此外,WordPress漏洞所包含的某些站点也与凭据收集操作有关。 CrowdStrike还“确定了一些用于假冒Microsoft Office 365登陆页面的恶意网络钓鱼页面。这些页面中的大多数都托管在可能由于CMS插件漏洞而受到破坏的合法域上。”

滴管文档构建器和分发服务 

在2019年末,开发了许多名为Gemini,Leo和Virgo的滴管文档系列。这些具有宏功能的恶意文档允许从单个文档分发多个恶意软件变体,从而盗窃信息。 

电子邮件线程劫持 

这种新型的网络犯罪利用了以前由Emotet的电子邮件收集器模块收集的电子邮件内容。在受害者的电子邮件内容被盗之后,恶意软件会通过主题行(例如Re :)识别电子邮件线程,并制定对该线程的回复。此策略增加了收件人打开恶意附件(或单击链接)的可能性,因为发件人似乎是他们之前与之通信的人,并且主题行与他们与该人先前的对话线程匹配。 

其他勒索软件技术 

网络钓鱼攻击: 诱使受害者下载恶意文件或访问恶意站点,利用远程桌面协议终结点和软件漏洞或部署在合法网站上托管恶意代码的“偷渡式”恶意软件攻击的活动。

大型狩猎计划:网络犯罪分子有选择地针对大型组织要求更大的赎金。 

伙伴关系和资源共享:一些网络犯罪分子正在共享资源以增强其勒索软件攻击的有效性。一些示例包括共享带有现成恶意代码的勒索软件攻击工具包。一些小组正在分享建议,代码,趋势和技术,以提高其成功率。 

双重勒索方案:这涉及从目标网络中删除敏感数据,加密系统文件并要求赎金。然后,如果受害者没有支付赎金,犯罪分子威胁要发布或出售被盗数据。

组织如何防止勒索软件? 

只要犯罪分子从攻击中获利,网络犯罪就将继续增长。采取措施以确保组织处于抵御勒索软件的良好位置比以往任何时候都更加重要。以下是CrowdStrike的重要提示,可保护您的组织不断发展。 

  1. 实施用户意识计划: 最终用户仍然是阻止违规行为的关键环节。您的组织应启动用户意识计划,以应对网络钓鱼和相关社会工程技术的持续威胁。
  1. 雇用专门的安全专家或寻求与外部解决方案合作: 防御复杂威胁需要成熟的流程和高效,敬业的安全专业人员。如果您的组织不能在内部聘用人员,请在可能的情况下寻求外包。 
  1. 配置安全控制并在整个组织环境中进行部署: 成功的入侵通常发生在本可以防御攻击的安全控制措施所在的位置,但是由于组织缺乏配置,他们未能这样做。最大限度地保护您免受现有安全控制。 
  1. 建立两因素验证: 网络犯罪分子善于访问和使用有效的凭据,以导致严重的妥协。所有用户都应建立两因素身份验证,以使罪犯更加难以利用特权访问来实现其目标。但是,它不能完全解决保护身份的问题。因此,您应该寻找一个健壮的特权访问管理流程,该流程将限制对手进入时可能造成的损害并减少横向移动的可能性。

步入正轨如何提供帮助 

当恶意代码感染您的系统并勒索金钱时,总体影响(停机时间,声誉受损和赎金本身)可能是灾难性的。

步入正轨工程团队开发了专门的专有工具集合,以从勒索软件加密的文件中恢复数据。尽管每个勒索软件事件都是唯一的,并且复杂程度各不相同,但通常可以进行数据恢复。虽然我们可以’为了保证可以从勒索软件中恢复,我们可以保证为企业提供免费咨询,以逐步了解我们的流程并确定最佳结果。

学到更多 这里。 

载入更多评论
谢谢你的意见!您的评论必须先获得批准


新密码