入侵→加密→要贖金
黑客憑這套商業(yè)模式橫行多年
受害者之所以前赴后繼付贖金
是因為他們相信
給錢就能如愿拿到密鑰
盡快恢復(fù)業(yè)務(wù)
可有的時候
自系統(tǒng)被加密的那一刻起
數(shù)據(jù)就拿不回來了
今年10月,網(wǎng)上出現(xiàn)了一種名為Cryptonite的開源勒索軟件包����。它使用Python編碼,利用加密包中的Fernet模塊對擴展名為“.cryptn8”的文件進行加密�,主要使用網(wǎng)絡(luò)釣魚的方式對目標(biāo)進行入侵。
可根據(jù)安全人員的研究��,Cryptonite作為勒索軟件存在嚴(yán)重的先天不足:它可以鎖定文件�����,卻無法重新解密�,即使支付了贖金也是如此。
研究人員認(rèn)為����,Cryptonite之所以這樣并不是故意設(shè)計的惡意破壞行為���,而是因為勒索軟件組合不當(dāng),其自身的弱架構(gòu)和編程迅速將其變成一個不允許數(shù)據(jù)恢復(fù)的擦除器��。
如果Cryptonite崩潰或剛剛關(guān)閉����,它就不能恢復(fù)加密文件�,也無法在僅解密模式下運行——因此每次運行勒索軟件時,它都會使用不同的密鑰重新加密所有內(nèi)容���。
這再次為廣大企業(yè)敲響警鐘
付贖金≠拿回數(shù)據(jù)
也許與支付贖金相比�����,從勒索軟件中恢復(fù)的成本更高;也許企業(yè)認(rèn)為付贖金可以降低業(yè)務(wù)長時間停機造成的損失;也許企業(yè)不希望暴露客戶或員工的數(shù)據(jù)……多重考慮之下����,遭遇勒索攻擊后付贖金似乎是更好��、更便宜的途徑���。
但無論何時都不建議受害者付贖金����,因為付贖金后,你非但解決不了問題��,反而會變得更窮�����。
拿不回數(shù)據(jù)
根據(jù)2021年Sophos報告��,支付了贖金的企業(yè)中��,只有8%拿回了所有數(shù)據(jù)��,29%的組織恢復(fù)的加密數(shù)據(jù)不超過一半��。
我們不能跟犯罪分子講誠信���,正像你無法希望豺狼長著菩薩心腸���。即使受害者付費,也不能保證攻擊者會返回數(shù)據(jù)或解密密鑰����,將數(shù)據(jù)恢復(fù)到攻擊前的位置��。相反����,他們還可能簡單地清空您的所有數(shù)據(jù)��,甚至將其公開到互聯(lián)網(wǎng)�����,供所有人訪問和使用�����。
而且�����,從勒索軟件事件中恢復(fù)很少是一個快速的過程��,調(diào)查�、系統(tǒng)重建和數(shù)據(jù)恢復(fù)通常需要數(shù)周的時間���,從這個層面上講�,付贖金就能更快恢復(fù)業(yè)務(wù)的期望并不成立。
遭遇重復(fù)攻擊
即便受害者已經(jīng)付過贖金�����,勒索團體可能還會要求再次付款——第一次用于購買解密密鑰��,而第二次支付以確保數(shù)據(jù)不被泄露���。
更糟糕的是��,積極付贖金有可能被打上“容易得手”的標(biāo)簽���,如果組織在網(wǎng)絡(luò)犯罪團伙中享有“積極付款人”的聲譽,就跟小偷在家門前畫了標(biāo)記一樣����,可能招致更多勒索攻擊。
事實上確實如此�,根據(jù)Cybereason的一項研究,在支付了贖金的勒索軟件受害者中�,有80%遭遇了另一次勒索攻擊。
助長網(wǎng)絡(luò)犯罪
除了可能導(dǎo)致受害者“人財兩空”���,付贖金還會間接危害更多行業(yè)的更多用戶����。
你付贖金的行為實際上就是在資助網(wǎng)絡(luò)攻擊事業(yè)——犯罪分子可以將收到的錢用來擴大再生產(chǎn),比如購買更好的工具��,精準(zhǔn)探測漏洞�,成立更多分支機構(gòu)并擴展勒索軟件等。
尤其是現(xiàn)在開源勒索軟件和勒索即服務(wù)降低了攻擊的門檻��,越來越多的人加入到網(wǎng)絡(luò)犯罪中��,只要有受害者付贖金��,黑客這套可持續(xù)且有利可圖的商業(yè)模式就能一直運轉(zhuǎn)下去�。因此,付贖金只會導(dǎo)致更多勒索攻擊��,使網(wǎng)絡(luò)安全環(huán)境更加惡化���。
;
增強網(wǎng)絡(luò)彈性
筑牢安全長城
勒索軟件是當(dāng)今組織和個人面臨的最大威脅之一,只需單擊一個鏈接或下載一個惡意文件����,任何人都可能在不知不覺中發(fā)起勒索軟件攻擊��。在切實存在的網(wǎng)絡(luò)威脅面前��,企業(yè)如何增強說“不”的底氣�,避免業(yè)務(wù)陷入混亂呢��?
我們可以從防范和恢復(fù)兩方面入手���。首先采取措施防范犯罪分子入侵����,比如及時進行操作系統(tǒng)和安全補丁更新�,在網(wǎng)絡(luò)中應(yīng)用多因素身份驗證,通過網(wǎng)絡(luò)釣魚培訓(xùn)防止?jié)B透等����。
其次,加強網(wǎng)絡(luò)彈性�,提升恢復(fù)能力。正如世界上沒有不透風(fēng)的墻����,世界上也沒有能100%抵御網(wǎng)絡(luò)入侵的安防工程,組織需要考慮最壞的情況�,假如真的發(fā)生勒索攻擊�����,如何在最短時間內(nèi)恢復(fù)數(shù)據(jù)��、保障業(yè)務(wù)運行?
從干凈的備份中恢復(fù)是擊敗黑客的唯一方法����。無論組織是使用云服務(wù)還是本地硬件來制作數(shù)據(jù)副本�,都需要能從尚未受影響的設(shè)備中訪問備份文件。但問題在于��,備份數(shù)據(jù)也是勒索軟件的攻擊目標(biāo)����,為了確保備份的不可變性,必須將備份數(shù)據(jù)也保護起來���。
戴爾PowerProtect Cyber Recovery數(shù)據(jù)避風(fēng)港計劃以隔離的方式保護關(guān)鍵數(shù)據(jù)拷貝����,通過Air Gap網(wǎng)閘隔離機制和副本鎖定機制阻斷勒索病毒感染備份數(shù)據(jù)的可能性�。為防止備份文件被惡意刪除��,系統(tǒng)同時對隔離保存庫內(nèi)的數(shù)據(jù)進行鎖定,確保備份數(shù)據(jù)副本不可加密���、不可篡改����、不可刪除�。
組織可還以選擇使用CyberSense,對保險庫中的數(shù)據(jù)運行高度可靠的分析���,以識別潛在的網(wǎng)絡(luò)威脅或損壞�����。一旦“最壞情況”發(fā)生��,Cyber Recovery可迅速對數(shù)據(jù)進行隔離���、清洗、掃描���,讓核心業(yè)務(wù)起死回生�����。
作為世界上第一個經(jīng)認(rèn)可符合Sheltered Harbor數(shù)據(jù)存儲標(biāo)準(zhǔn)的交鑰匙網(wǎng)絡(luò)存儲解決方案��,Cyber Recovery得到全球2000多家各種規(guī)模的客戶信賴�,可有效防止內(nèi)部攻擊和外部入侵,構(gòu)筑企業(yè)數(shù)據(jù)安全的最后一道防線��。
另外需要注意的是�,為避免再次成為受害者,在勒索軟件事件發(fā)生后��,組織需要檢查網(wǎng)絡(luò)并確定惡意軟件如何進入網(wǎng)絡(luò)以及長時間未被發(fā)現(xiàn)���,以便及時堵住現(xiàn)有系統(tǒng)漏洞���,防止勒索團伙卷土重來。
總之���,支付贖金永遠(yuǎn)不能保證數(shù)據(jù)恢復(fù)�,反而可能招致更大災(zāi)難���,希望廣大企業(yè)擦亮眼���,不要上了犯罪分子的當(dāng)�。如果您對自身安全能力沒有信心�����,戴爾科技集團永遠(yuǎn)是您值得信賴的合作伙伴��,我們提供全面的網(wǎng)絡(luò)彈性��,助您安全地進行業(yè)務(wù)創(chuàng)新并實現(xiàn)突破���。
END
如果您想了解更多有關(guān)戴爾科技的產(chǎn)品和解決方案信息,請咨詢戴爾官方客服�。
京公網(wǎng)安備 11010502041587號