勒索基本指南

必要的指导 Ransomware 勒索软件攻击、主要漏洞和恶意软件趋势简史 表的内容 Ransomware作为业务4 景观——谁是球员吗?4 常见的目标7 感染向量8 网络保险,cryptocurrency 和ransomware的崛起攻击9 Ransomware趋势10 Ransomware的影响业务11 Ransomware对公众的影响部门11 勒索软件对于各种规模和类型的组织来说都是一个日益严重的问题，攻击次数和用于清理损害的资金都在增加。勒索软件不仅仅是一个小公司 问题了——它经常抢头条新闻。事实上，在Splunk的2022年安全状况报告中接受调查的1，200名安全领导者中，有79%的人表示他们遇到了勒索软件攻击，35%的人承认其中一种或多次攻击导致他们无法访问数据和系统。 大多数组织都Ransomware目标 79%挡住了攻击……或牺牲品。 大约66%的人报告说，犯罪分子是由组织（在39%的情况下）或他们的保险公司（27%）支付的。大多数接受调查的安全领导者都成为勒索软件攻击的受害者，他们表示他们付了钱。只有33%的人通过从备份恢复来避免赎金。勒索软件攻击通常以端点上的漏洞为目标，掠夺那些没有完全了解其安全卫生的组织——安全卫生是组织为保持敏感数据的安全、有序和安全而采取的步骤。 现实世界中这方面的基本例子是确保补丁和防病毒软件是最新的。安全卫生可能非常耗时且难以维护，但这些基础知识是企业组织最重要的重点领域。 在本书中，我们将探讨勒索软件的历史和发展、攻击背后的威胁参与者、用于渗透组织的常见策略、一些防范攻击的最佳实践等等。 ransomware的进化 21% 我们没有一个ransomware的目标 15% 两者都是正确的 44% 我们已经在无法访问数据和系统之前检测并修复了勒索软件攻击 20% 我们有数据和系统人质 来源:2022|Splunk安全状态 但是，我们必须了解勒索软件是什么，然后才能了解问题有多大。勒索软件是一种恶意软件，它通过加密数据来劫持网络数据“人质”，直到支付解锁费用。 根据安全状况报告，组织付出了巨大的代价，该报告发现支付的平均价格约为347，000美元。 1% 不知道 自2014年以来，不同类型的勒索软件攻击有所增加，加密能力得到改进，加密货币驱动黑客 的采用越来越多。但勒索软件攻击的起源可以追溯到1980年代，当时恶意行为者使用软盘在毫无戒心的受害者身上安装恶意软件。 从那时起，勒索软件攻击变得越来越复杂，并且变得更容易传递-部分归功于互联网。根据Verizon 数据泄露调查报告，勒索软件攻击在2020年至2021年期间增加了13%，仅在2021年，勒索软 件就造成了200亿美元的损失。而且这个数字只会上升。 根据另一份报告，预计到2031年，勒索软件每年将给受害者造成约2650亿美元的损失。 3 Ransomware作为一个企业 从不同领域（身份、电子邮件、数据和云）收集的信号情报深度提供了对攻击者创建的零工经济的洞察，这些工具旨在降低其他攻击者的进入门槛，而这些攻击者反过来又继续支付股息并通过出售和相关的“削减”他们的工具成功来为运营提供资金。 他们的工具获得了一部分利润，而不是自己执行攻击。网络犯罪经济的这种工业化使攻 击者更容易使用现成的 SYNackWastedLockerShinyHunters PYSA PhoenixLockerPay2Key 渗透测试和其他工具来执行攻击。 MountLocker 兴团队 山储物柜 还涉及广告。勒索软件即服务（RaaS）开发人员在暗网上投放广告，并将他们的技术作为工 具包出售——消除了分发的许多风险和艰苦工作，同时仍然允许他们从收益中分得一杯羹。 RansomEXX蛇萤集团HelloKitty Netwalker 世界毁灭黑 莱格储物柜 Egregor暗面 ViceSociety NetWalker Lockbit QBot Netfilm 三次ransomware 蜂巢抓举 ShadowKillHackers EvilCorpBlackShadow 悲伤 过失美元 REvil 支出 BabukLocker 珠穆朗玛峰 SamSam 琉克 LockerGoga TASOS 黑暗面 Babuk BlackMatter 彼佳 WannaCry 佛法robbinhood DoppelPaymer Erican ContiI Avaddon BlackByte cryptolockercryptowall ArmadaCollective hddcryptornotpetyaBitPaymer iEncrypt 迷宫 夹住 杯 阿斯特罗 AvosLocker 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 网络犯罪经济是一个不断发展的互联生态系统，由具有不同技术、目标和技能组合的许多参与者组成。就像我们的传统经济为了提高效率而转向零工一样，犯罪分子正在了解到，租赁或出售所涉及的工作更少，风险也更小。 的风景, 的球员是谁? 在勒索软件方面，了解谁在游戏中拥有皮肤以及它们如何运作非常重要，然后才能防止攻击。虽然有许多勒索软件组织，但极少数威胁组织驱动了大部分恶意活动，这突出了勒索软件环境的集中性。 勒索软件的浪潮继续出现在威胁环境中。这张图片让我们一瞥自2013年以来著名的勒索软件攻击的兴起。 这些攻击的总估计成本仍然很大未知的。4 著名的ransomware组 声称在2022年第一季度成功攻击次数最多的三个勒索软件组织都因在RaaS模式下运行而闻名。根据其运营商泄漏站点的数据，这些攻击中有35.8% 归因于被称为LockBit的黑客集体，而19%属于Conti，9.6%属于BlackCat。 1.LockBit Lockbit是一种RaaS模型，用于加密存储在本地和网络共享上的文件。LockBit还可以识别网络上的其他系统，并通过服务器消息块（SMB）进行传播。 在加密文件之前，LockBit会清除事件日志、删除卷影副本并终止可能影响其加密文件能力的进程和服务。LockBit已被看到使用文件扩展名“.lockbit”来加密文件。Mandiant研究人员已经看到LockBit被10多个未分类的威胁组织使用，其目标是与经济利益和间谍活动有关。 2.孔蒂 虽然Conti被认为是RaaS模型勒索软件变体，但其结构存在差异，将其与典型的附属模型区分开来。Conti开发人员可能会向勒索软件的部署者支付工资，而不是附属黑客使用的收益的百分比，并从成功攻击中获得一部分收益。 Conti参与者通常通过鱼叉式网络钓鱼、被盗或弱远程桌面协议（RDP）凭据、电话、通过搜索引擎优化推广的假冒软件、其他恶意软件分发网络以及外部资产中的常见漏洞获得对网络的初始访问权限。 3.BlackCat/ALPHV BlackCat/ALPHV勒索软件利用先前泄露的用户凭据来获得对受害者系统的初始访问权限 。一旦恶意软件建立访问权限，它就会破坏ActiveDirectory用户和管理员帐户。该恶意软件使用Windows任务计划程序配置恶意组策略对象（GPO）以部署勒索软件。恶意软件的初始部署利用PowerShell脚本以及CobaltStrike，并禁用受害者网络中的安全功能。BlackCat/ALPHV勒索软件在入侵期间还利用Windows管理工具和MicrosoftSysinternals工具。 5 虽然这些仍然是大型勒索软件玩家，但还有其他几个团体正在造成损害，例如： •REvil REvil是一家勒索软件即服务犯罪企业。据说REvil与被称为GandCrab的犯罪集团有关 。 在RaaS方案中，恶意行为者与附属公司合作扩展其僵尸网络并从新增内容中获利 以及附属公司对他们带来的攻击。利润与附属公司分享，这鼓励他们感染更多的受害者 。 •蜂巢 Hive勒索软件可能作为基于会员的勒索软件运行，并采用各种策略、技术和程序，为防御和缓解带来了重大挑战。Hive勒索软件使用多种机制来破坏业务网络，包括带有恶意附件的网络钓鱼电子邮件，以获取访问权限，并使用远程桌面协议（RDP）在网络上横向移动一次。然后，Hive勒索软件黑客会泄露数据并加密网络上的文件。威胁行为者离开 受害者系统内每个受影响目录中的赎金记录，其中提供了有关如何购买解密软件的说明。赎金票据还威胁要在Tor网站“HiveLeaks”上泄露泄露的受害者数据。 •副社会 ViceSociety是一个鲜为人知的双重勒索组织，其活动不断加密和泄露受害者的数据 ，并威胁受害者泄露他们的信息以迫使他们支付赎金。与其他RaaS组不同，ViceSociety专注于进入受害者系统以部署在暗网论坛上出售的勒索软件二进制文件。 •黑色Basta BlackBasta在加密公司设备之前窃取公司数据和文档。然后，这些被盗数据被用于双重勒索攻击，威胁行为者要求赎金以接收解密器并阻止发布受害者的被盗数据。这些攻击的数据勒索部分是在“BlackBastaBlog”或“BastaNews”Tor网站上进行的，该网站包含所有未支付赎金的受害者名单。BlackBasta会慢慢泄露每个受害者的数据，试图迫使他们支付赎金。 •琉克 Ryuk加密存储在本地驱动器和网络共享上的文件。它还会删除备份文件和卷影副本。某些Ryuk变体可以传播到网络上的其他系统。Mandiant已经看到Ryuk被FIN6，FIN12和10个出于经济动机的威胁组织使用。 •过失美元 Lapsus$以使用纯粹的勒索和破坏模型而不部署勒索软件有效负载而闻名。Lapsus$开始瞄准英国的组织 和南美，但扩展到全球目标，包括政府、技术、电信、媒体、零售和医疗保健部门。众所周知，Lapsus$会接管加密货币交易所的个人用户帐户以消耗加密货币持有量。 6 著名的ransomware攻击 以下勒索软件攻击示例显示了攻击的全球范围和巨大成本，从而了解勒索软件可能对公司和个人造成的损害。 共同的目标 2021年，在Splunk安全状况报告中接受调查的组织中，有79%的组织成为勒索软件攻击的目标，他们经常受到网络钓鱼电子邮件活动的袭击。这通常与转向有针对性的攻击和大型狩猎相吻合， 攻击者闯入、调查网络、横向移动和删除的位置 2022年2月,这家总部位于加州圣克拉拉的公司美元失误 500万美元 即 我们 CR 哥斯达黎加政府2022年4月孔蒂 2000万美元 爱尔兰2021年5月 孔蒂 2000万比特币 100万美元和一个百分比一个未指明的费用 华盛顿,2021年4月 Babuk帮400万美元 殖民管道(休斯顿到纽约)2021年5月 黑暗面 之前备份加密。 2021年，网络犯罪分子越来越多地直接或通过托管服务提供商（MSP）瞄准政府机构、市政当局、学校、关键基础设施、医院和医疗保健提供商。勒索软件运营商通过破坏关键任务系统、恐吓组织和要求巨额付款来推进其强硬计划。 不支付赎金通常意味着更换设备并重新开始，使领导层面临艰难的业务和关键任务决策以及愤怒的股东或公民。目标组织通常认为支付赎金是取回其数据的最具成本效益的方式。这可能是现实 ，但它直接资助了下一代勒索软件的开发。 7 感染向量 尽管勒索软件已经存在了几十年，但创作者在感染系统、避免检测和挫败解密工作方面变得越来越复杂。为了更好地防止 勒索软件攻击，了解勒索软件如何进入系统非常重要。 1.电子邮件 电子邮件是一种流行的网络武器，因为它可以通过创造执行各种操作的紧迫感和合法性来利用用户。毫不奇怪，它仍然是最常见的攻击媒介，附件伪装成无害的文件或软件下载的链接。一旦点击，就会导致勒索软件感染。 2.驾车下载 勒索软件感染是由访问受感染的网站引起的，通常使用旧浏览器、软件插件或未修补的第三方应用程序。受感染的网站运行一个漏洞利用工具包，用于查找未修补