什么是勒索软件?

已发表: 2021-12-23

我们经常听到和阅读的术语,特别是在过去两年中,我们遇到了这个术语,主要是在某些组织成为勒索软件攻击的受害者的负面背景下,等等。

勒索软件是一种恶意软件,也称为恶意软件(另一种使用频率很高的术语),对限制数据或在公共论坛上发布数据具有潜在威胁,从而导致潜在的业务风险。 这通常是通过加密数据来完成的,受害者必须向攻击者支付赎金以释放数据。 通常在这种情况下,受害者有支付赎金的最后期限。 如果受害者未能按时完成,那么攻击者将删除数据。 在最好的情况下,攻击者会在修改后的最后期限内增加赎金值。

如今,恶意软件攻击非常普遍,我们已经看到来自北美和欧洲的许多组织成为此类攻击的受害者。 这些网络攻击者没有任何既定标准,因为他们可以攻击任何一组客户或跨行业垂直的任何组织。

联邦调查局和一些政府等许多机构都避免支付此类赎金。 事实上,有一个名为 No Ransom Project 的特殊项目,这是一个非营利组织,致力于实现不向网络攻击者提供赎金的目标。 此外,据观察,那些支付赎金的受害者会受到反复的勒索软件攻击

勒索软件攻击的背景

如果我们回顾一下勒索软件攻击的历史,它可以追溯到 1989 年,当时网络攻击者使用“艾滋病病毒”向受害者勒索资金。 一旦这次攻击的付款(通过邮件)被释放到巴拿马,解密密钥也通过邮件被释放。

1996 年,来自哥伦比亚大学的两个人 Moti Yung 和 Adam Young 介绍了勒索软件的定义,他们创造了“加密病毒勒索”一词。 这两位院士在 1996 年的一次安全和隐私会议 IEEE 会议上提出了第一次加密病毒学攻击。

一段时间以来,我们看到了网络攻击和勒索软件攻击领域的创新。 网络攻击者通过索取几乎无法追踪的赎金而变得富有创造力。 通过这种方式,这些网络犯罪分子可以保持其行踪的匿名性。 当我们看到比特币等加密货币的使用激增时,我们看到勒索软件攻击大幅增加。

如果我们看一下这种模式,勒索软件攻击已经使每个行业成为受害者,最著名的攻击是对长老会纪念医院的攻击。 这是一次大规模的袭击,实验室、药房和急诊室都成为了受害者。

勒索软件如何运作?

如前所述,勒索软件是一种恶意软件,旨在通过加密组织的数据并阻止对其的访问来勒索组织的资金。 我们主要看到两种类型的勒索软件——一种称为加密器,另一种称为屏幕锁。 由于名称不言自明,加密器对数据进行加密,使其在没有解密密钥的情况下变得多余。 但是,屏幕储物柜只是通过部署“锁定屏幕”来阻止对系统的访问。

在这种情况下,受害者通常会看到一个锁屏,上面显示购买比特币等加密货币以支付赎金的消息。 一旦支付了赎金,组织就会收到解密密钥,然后他们可以尝试解密文件。 但是,这些网络攻击者没有遵循任何规则或道德规范。 有时,即使支付了赎金,受害者也不会收到解密密钥。 更糟糕的是,即使支付了赎金,恶意软件仍然会被安装。

通常,此类企业恶意软件攻击始于一封可疑的电子邮件。 用户可能会在没有任何怀疑的情况下打开该电子邮件,而这只会打开一罐蠕虫病毒。

谁有风险?

当我们谈论勒索软件时,任何连接到互联网的小工具或设备都有成为恶意软件攻击受害者的潜在风险。 勒索软件通常会检查本地设备和任何连接到网络的设备,这意味着组织中的本地网络也有成为受害者的风险。

因此,如果设备连接到互联网,则组织必须确保最新的安全更新和端点安全系统到位,以避免这些网络攻击者进行任何形式的恶意进入。

勒索软件对业务的影响?

这是一个不成文的声明,任何成为勒索软件受害者的企业都将蒙受数百万美元的损失。 除此之外,它还会造成新业务损失的连锁反应。 即使挽救了企业,员工也必须花费大量时间来构建他们丢失的数据,从而导致数千小时的生产力损失。 任何恶意软件攻击所做的第一件事就是停止组织的生产力。 因此,组织将遏制作为首要任务是恰当的。 进行根本原因分析确实有助于识别漏洞,但如果它导致延迟,则会对生产力和收入产生严重影响。

勒索软件的例子

虽然勒索软件的例子有很多可供每个企业实体参考,但也有一些非常重要的例子,它们可以帮助任何组织为避免此类勒索软件攻击奠定基础。 让我们看一些例子

WannaCry – 这是一种围绕 Microsoft 漏洞的电源病毒,这些网络攻击者利用该漏洞感染了超过 250,000 个系统。 然而,在它传播到更多系统之前,一个终止开关被触发以阻止它。 Proofpoint - 安全和隐私空间中的一个名称,用于获取勒索软件的详细信息。

BadRabbit – 这被认为是一种可见的勒索软件,其主要目标是俄罗斯和乌克兰地区的媒体公司。 支付赎金后,BadRabbit 提供了解密代码。 怀疑该病毒是通过假冒的 Flash Player 传播的。

NotPetya – 据说是 BadRabbit 的哥哥,NotPetya 是最具破坏性的恶意软件攻击之一。 它利用了 WannaCry 等漏洞并开始迅速传播。 它要求以比特币赎金,但 NotPetya 无法撤消对主引导记录的更改,这意味着目标系统无法恢复。

这些是一些顶级恶意软件示例。 还有其他一些,例如CryptoLocker、REvil、Ryuk等等。

最后的想法

勒索软件不会消失。 只要有不怀好意的人,我们就会一直看到这方面的创新。 这从 FBI 的统计数据中可以明显看出,该统计数据表明每天大约发生 4000 起勒索软件攻击。 尽管勒索软件和病毒是不同类型的恶意软件,但勒索软件本质上不是病毒,因为它不会像病毒一样复制。

组织保护自己免受此类勒索软件攻击的唯一方法是不断创新其安全系统,并教育用户了解潜在的勒索软件威胁,包括恶意电子邮件和其他来源。