网络攻击:日益增长的威胁
网络攻击是一种有预谋且恶意的行为,其目的是通过利用系统或网络中存在的安全漏洞,非法获取访问权限。 这些攻击可能导致敏感信息的泄露,并严重扰乱正常的系统运行。
近年来,勒索软件已成为网络犯罪分子常用的攻击工具。 勒索软件的传播途径多样,包括网络钓鱼邮件、恶意下载、盗版软件以及远程桌面协议等。
一旦计算机被勒索软件感染,恶意软件会加密计算机上的重要文件,然后黑客会索要赎金,以换取解密数据的密钥。
网络攻击不仅可能对一个国家的国家安全构成威胁,还会严重破坏经济关键部门的运作,造成巨大的损失和经济冲击。 例如,WannaCry 勒索软件的攻击事件就充分说明了这一点。
2017年5月12日,一种名为WannaCry的勒索软件在全球范围内蔓延开来,据信其源头来自朝鲜。在不到两天的时间里,该恶意软件感染了150多个国家/地区的超过20万个计算机系统。WannaCry主要针对运行Windows操作系统的计算机系统,利用了该操作系统服务器消息块协议中的一个漏洞。
英国国民健康服务体系(NHS)是这次攻击中受害最严重的机构之一。他们有超过7万台设备,包括计算机、影像设备、诊断设备和核磁共振扫描仪等,都受到了感染。医生们无法访问他们的系统或查看病人病历,这导致NHS损失了近1亿美元。
上述案例展示了网络攻击的破坏力。然而,情况可能会变得更加糟糕,特别是随着诸如BlackCat等新型且更危险的勒索软件的出现,它们给受害者带来了更为严重的威胁。
黑猫勒索软件:一种新型威胁
黑猫勒索软件,又名ALPHV,是一种恶意软件,一旦感染系统,便会泄露和加密受感染系统中的数据。攻击过程包括复制和传输系统中存储的数据。黑猫勒索软件在泄露和加密重要数据后,会要求受害者以加密货币支付赎金。只有支付赎金,受害者才能重新获得对其数据的访问权限。
黑猫勒索软件与其他勒索软件不同之处在于,它并非采用常见的C、C++、C#、Java或Python编写,而是首个成功使用Rust编程语言编写的勒索软件。此外,黑猫还是第一个在开放网络上设立网站,公开泄露其攻击中窃取的信息的勒索软件家族。
黑猫勒索软件与众不同的另一个关键方面是其采用了“勒索软件即服务”(RaaS)的商业模式。在RaaS模式下,勒索软件的创造者将其恶意软件出租或出售给其他个人或团体。
在此模式中,勒索软件的开发者为其他人提供实施勒索软件攻击所需的所有工具和基础设施,并从中抽取勒索赎金的一部分利润。
这种模式解释了为什么黑猫勒索软件主要针对组织和企业,因为与个人相比,他们通常更愿意支付赎金。此外,企业和组织支付的赎金也往往更高。网络攻击中人为的引导和决策被称之为网络威胁参与者(CTA)。
为了迫使受害者支付赎金,黑猫勒索软件采用了“三重勒索”策略。该策略涉及复制和传输受害者的数据,然后在他们的系统上加密这些数据。然后,要求受害者支付赎金,以恢复对加密数据的访问权限。如果不支付赎金,受害者的数据将被公开,并且他们的系统可能会遭受拒绝服务(DOS)攻击。
最后,黑猫勒索软件还会联系那些会受到数据泄露影响的人,通知他们的数据即将被公开,这些人通常包括客户、员工和其他相关机构。这样做是为了迫使受害组织支付赎金,以避免因数据泄露导致的声誉损害和法律诉讼。
黑猫勒索软件的工作原理
根据美国联邦调查局(FBI)发布的警报,黑猫勒索软件利用先前泄露的用户凭证非法进入系统。
成功入侵系统后,黑猫勒索软件会利用其拥有的访问权限来破坏活动目录中存储的用户和管理员帐户。然后,它会使用Windows任务计划程序配置恶意的组策略对象(GPO),从而部署勒索软件来加密系统中的文件。
在黑猫勒索软件攻击期间,PowerShell脚本会与Cobalt Strike工具一同使用,以禁用受害者网络中的安全功能。黑猫勒索软件接着会从存储数据的位置窃取受害者的数据,包括云服务提供商的数据。完成上述操作后,黑客会部署黑猫勒索软件来加密受害者系统中的数据。
随后,受害者会收到一封赎金通知,告知他们的系统遭受攻击,重要文件已被加密。该通知还提供了支付赎金的具体说明。
为什么黑猫勒索软件比普通勒索软件更危险?
与普通勒索软件相比,黑猫勒索软件的危险性体现在以下几个方面:
采用Rust编程语言编写
Rust是一种快速且安全的编程语言,能够提供更高的性能和更高效的内存管理。黑猫勒索软件利用了Rust的这些优势,使其成为一种非常复杂高效的勒索软件,具备快速加密能力。此外,Rust还使得黑猫勒索软件的逆向工程变得更加困难。Rust是一种跨平台语言,这意味着攻击者可以轻松地调整黑猫勒索软件,使其能够针对不同的操作系统(如Windows和Linux),从而扩大其潜在受害者范围。
使用RaaS商业模式
黑猫勒索软件采用勒索软件即服务模式,使得许多网络攻击者无需具备创建复杂勒索软件的能力,也能部署此类恶意软件。黑猫勒索软件为攻击者完成了大部分复杂工作,他们只需要将其部署到易受攻击的系统中即可。这使得那些有兴趣利用系统漏洞的攻击者可以轻松实施复杂的勒索软件攻击。
为附属机构提供巨额报酬
黑猫勒索软件的创造者通过从部署该恶意软件的攻击者支付的赎金中抽取分成来获利。与其他RaaS家族不同,黑猫勒索软件允许攻击者保留赎金支付的80%至90%,而其他勒索软件通常收取高达30%的抽成。这使得黑猫勒索软件对攻击者更具吸引力,也使其能够吸引更多愿意参与网络攻击的分支机构。
在开放网络上设有公共泄密站点
与其他将窃取信息泄露到暗网的勒索软件不同,黑猫勒索软件将窃取的数据泄露到可以在开放网络上访问的网站。通过在公开网络上泄露被盗数据,更多人可以访问这些数据,增加了网络攻击的影响,并给受害者支付赎金施加了更大的压力。
Rust编程语言使黑猫勒索软件的攻击非常有效。通过采用RaaS模式并提供巨额回报,黑猫吸引了更多更有可能在攻击中部署它的威胁参与者。
黑猫勒索软件感染链
黑猫勒索软件利用被盗的凭证或利用Microsoft Exchange Server漏洞获得对系统的初始访问权限。在获得系统访问权限后,攻击者会解除系统的安全防御措施,收集有关受害者网络的信息,并提升其访问权限。
黑猫勒索软件随后在网络中横向移动,以尽可能多地获取对其他系统的访问权限。这在索要赎金时非常有用,因为受攻击的系统越多,受害者支付赎金的可能性就越高。
然后,攻击者会泄露系统数据,用于敲诈勒索。一旦关键数据泄露,就可以部署黑猫勒索软件。
攻击者使用Rust语言交付黑猫勒索软件。黑猫勒索软件首先停止备份、防病毒应用程序、Windows互联网服务和虚拟机等服务。完成这些操作后,黑猫勒索软件会加密系统中的文件,并破坏系统的背景图像,将其替换为勒索通知。
如何防御黑猫勒索软件
尽管黑猫勒索软件比以前出现的其他勒索软件更危险,但组织可以通过多种方式保护自己免受此类攻击:
加密关键数据
黑猫勒索软件的威胁策略之一是泄露受害者的数据。通过加密关键数据,组织可以为他们的数据增加一层额外的保护,从而削弱黑猫勒索软件攻击者的敲诈能力。即使数据被泄露,它们也将不是人类可读的格式。
定期更新系统
微软的研究表明,在某些情况下,黑猫勒索软件利用未打补丁的Exchange服务器来访问组织的系统。软件公司会定期发布软件更新,以修复其系统中发现的漏洞和安全问题。为了安全起见,请尽快安装软件补丁。
在安全的位置备份数据
组织应优先考虑定期备份数据,并将数据存储在安全可靠的离线位置。这将确保即使关键数据被加密,也可以从现有的备份中恢复。
实施多重身份验证
除了在系统中使用强密码外,还应实施多因素身份验证,这需要多种凭证才能授予对系统的访问权限。可以通过配置系统生成发送到绑定电话号码或电子邮件的一次性密码来实现多因素身份验证,只有输入该密码才能访问系统。
监控网络上的活动和系统中的文件
组织应不断监控其网络上的活动,以便尽快检测和响应网络中可疑的活动。网络上的活动还应由安全专家记录和审查,以识别潜在的威胁。最后,应建立系统来跟踪系统中文件的访问方式、访问者和使用方式。
通过加密关键数据、保持系统更新、定期备份数据、实施多因素身份验证,以及监控系统中的活动,组织可以保持领先一步,防止黑猫勒索软件的攻击。
学习资源:勒索软件
要了解有关网络攻击的更多信息以及如何保护自己免受黑猫等勒索软件的攻击,我们建议您参加以下课程或阅读以下推荐的书籍:
#1。安全意识培训
这是一门面向所有对互联网安全感兴趣的人的优秀课程,由认证信息系统安全专家 (CISSP) Michael Biocchi博士主讲。
该课程涵盖网络钓鱼、社会工程、数据泄露、密码、安全浏览和个人设备等内容,并提供有关如何安全上网的一般建议。该课程定期更新,任何使用互联网的人都将从中受益。
#2。安全意识培训:员工互联网安全
本课程专为日常互联网用户量身定制,旨在教育他们了解人们通常不知道的安全威胁以及如何保护自己免受威胁。
本课程由CISSP认证的信息安全专家Roy Davis讲授,涵盖用户和设备责任、网络钓鱼和其他恶意电子邮件、社会工程、数据处理、密码和安全问题、安全浏览、移动设备和勒索软件等内容。完成课程后,您将获得结业证书,这足以满足大多数工作场所的数据监管政策要求。
#3。网络安全:初学者意识培训
这是Udemy课程,由培训和认证初创公司Logix Academy的Usman Ashraf提供。Usman拥有CISSP认证和博士学位,在计算机网络领域拥有丰富的行业和教学经验。
本课程为学习者深入讲解社会工程、密码、安全数据处理、虚拟专用网络 (VPN)、恶意软件、勒索软件和安全浏览技巧,并解释如何使用Cookie追踪用户信息。本课程内容通俗易懂,不涉及技术细节。
#4。勒索软件揭秘
这本书由独立信息安全顾问、网络安全和数字取证专家Nihad A. Hassan撰写。本书教导读者如何减轻和处理勒索软件攻击,并深入探讨现有不同类型的勒索软件、它们的分发策略和恢复方法。
本书还介绍了在感染勒索软件时应采取的步骤。这包括如何支付赎金、如何执行备份和恢复受影响的文件,以及如何在线搜索解密工具来解密受感染的文件。它还涵盖了组织如何制定勒索软件事件响应计划,以最大程度地减少勒索软件造成的损害,并快速恢复正常运营。
#5。勒索软件:了解、预防、恢复
在本书中,Recorded Future的高级安全架构师和勒索软件专家Allan Liska解答了与勒索软件相关的所有难题。
本书提供了勒索软件近年来流行的历史背景、如何阻止勒索软件攻击、恶意行为者使用勒索软件所针对的漏洞,以及如何在勒索软件攻击中以最小的损失幸存的指南。此外,本书还解答了最重要的问题:是否应该支付赎金?本书对勒索软件进行了深入的探讨。
#6。勒索软件防护手册
对于任何想要武装自己抵御勒索软件的个人或组织来说,这本书都是必读的。本书中,计算机安全和渗透方面的专家Roger A. Grimes分享了他在该领域的丰富经验和知识,以帮助个人和组织保护自己免受勒索软件的侵害。
本书为寻求制定针对勒索软件的强大防御措施的组织提供了一个可操作的蓝图。它还教导如何检测攻击、快速限制损害,以及确定是否支付赎金。本书还提供了一个行动计划,帮助组织限制严重安全漏洞造成的声誉和财务损失。
最后,本书还教导如何为网络安全保险和法律保护奠定安全基础,以减轻对业务和日常生活的干扰。
作者的话
黑猫勒索软件是一种具有颠覆性的威胁,它必将改变网络安全的格局。截至2022年3月,黑猫勒索软件已成功攻击了60多个组织,并引起了美国联邦调查局的注意。黑猫勒索软件是一种不容忽视的严重威胁。
黑猫勒索软件通过采用现代编程语言和非常规的攻击、加密和勒索方法,让安全专家不得不加速提升自身的技术和知识。然而,针对这种勒索软件的战斗尚未结束。
通过实施本文中强调的策略,并最大程度地减少人为错误暴露计算机系统的机会,组织可以保持领先地位,并防止黑猫勒索软件的灾难性攻击。