警惕网络勒索:了解攻击手法及防范措施
请继续关注,我们将深入探讨一些臭名昭著的网络勒索事件,并为您介绍如何提前采取措施,有效地阻止这些攻击发生。
对于经验老道的犯罪分子来说,传统的银行抢劫风险极高。不仅可能危及自身安全,一旦被捕,还将面临严厉的法律制裁。
然而,策划一场网络勒索攻击则截然不同。犯罪者几乎可以毫发无损地实施犯罪,极大地降低了被抓获的风险。
总的来说,与传统的盗窃或抢劫相比,网络勒索的风险明显较低,而潜在的利润却更为可观。更轻的处罚也进一步助长了网络犯罪分子的嚣张气焰。
考虑到难以追踪的加密货币的存在,我们必须立刻加强自身的网络防御措施。
什么是网络勒索?
网络勒索是一种在线攻击行为,其目的是勒索巨额赎金。攻击者通常通过发起DDoS攻击威胁瘫痪服务器,或加密受害者的数据,阻止其访问来达到目的。
网络勒索主要以以下两种形式出现:
数据劫持
不法分子会阻止您访问您的计算机网络,并要求支付赎金才能恢复访问权限。 这通常发生在您不小心点击了恶意链接,下载了恶意软件,或加密了您的文件并将其锁定。
另外一种情况是,攻击者劫持了您的系统,复制了敏感数据,并威胁您支付赎金,否则将把数据公之于众。 这有时涉及社会工程攻击,攻击者利用心理战术,让您在没有实际黑客攻击的情况下,错误地认为自己受到了攻击。
分布式拒绝服务(DDoS)
分布式拒绝服务(DDoS)攻击有时被用来掩盖数据盗窃行为。它指的是您的网络被大量虚假服务请求淹没,导致真实用户无法正常访问。
这种攻击通常通过受感染的服务器网络(僵尸网络)或内存缓存发起,导致服务器速度变慢甚至完全崩溃。根据您在线业务的规模,由此造成的损失可能是巨大的。
攻击者可以轻易地以每小时4美元的成本发起DDoS攻击,同时给受害者造成数十万美元的损失。除了直接的经济损失外,停机时间还会导致客户流失,转向竞争对手,从而造成额外的长期损失。
重大网络勒索攻击案例
让我们回顾一下过去发生的一些最严重的网络勒索事件。
#1. WannaCry 勒索病毒
WannaCry 勒索病毒于2017年5月12日开始在全球范围内爆发,主要针对运行Microsoft Windows操作系统的计算机。 由于其变种依然活跃,其具体影响范围仍不明确。
在爆发的第一天,WannaCry 就感染了超过150个国家的23万台计算机,影响了全球各地的大型企业和政府机构。 该病毒可以在网络中自我复制、安装、执行和传播,无需任何人工干预。
WannaCry 攻击利用了被称为“永恒之蓝”(EternalBlue)的Windows漏洞。 耐人寻味的是,“永恒之蓝”漏洞是由美国国家安全局(NSA)开发的,用于利用Windows系统的漏洞。 该漏洞的利用代码不知何故被一个名为“影子经纪人”(The Shadow Brokers)的黑客组织窃取并发布。
微软在知悉此事后发布了更新补丁,但大多数使用过时系统的用户成为了主要攻击目标。
幸运的是,安全研究员马库斯·哈钦斯(Marcus Hutchins)意外地通过注册漏洞代码中提到的一个域名,使恶意软件陷入困境。这相当于一个“终止开关”,阻止了 WannaCry 的进一步传播。关于该终止开关以及哈钦斯如何与Cloudflare合作阻止DDoS攻击的详细信息,请参考 TechCrunch 的报道。
据估计,该事件造成的全球损失约为40亿美元。
#2. 中航金融(CNA Financial)
2021年3月21日,总部位于芝加哥的中航金融公司发现其员工、合同工及其家属的敏感个人数据遭到泄露。 该事件在两周多后才曝光,因为黑客早在3月5日就开始活动而未被察觉。
这是一起混合攻击事件,包括数据盗窃和对CNA系统的劫持。黑客组织 Evil Corp(据称总部位于俄罗斯)使用恶意软件加密了CNA的服务器。在最初索要6000万美元的赎金后,黑客最终以4000万美元达成和解,详细情况可参考 彭博社 的报道。
#3. 殖民管道(Colonial Pipeline)
殖民管道黑客攻击事件导致美国最大的输油管道之一的燃料供应中断。 调查显示,该事件源于暗网上泄露的密码。
但是,尚不清楚不法分子是如何获得与泄露密码匹配的正确用户名的。黑客利用专供远程员工使用的虚拟专用网络访问了殖民管道的系统。 由于缺乏多重身份验证,用户名和密码足以使攻击者成功入侵。
在攻击活动进行一周后,即2021年5月7日,一名员工发现了一张要求支付价值440万美元加密货币的赎金字条。 几个小时内,官员关闭了整个管道,并聘请了网络安全公司来核实和减轻损失。 他们还注意到100GB的数据被盗,黑客威胁说,如果不支付赎金,就会将数据公开。
勒索软件严重破坏了殖民管道IT系统的计费和会计部门。赎金在袭击事件发生后不久被支付给东欧黑客组织 DarkSide。 DarkSide 提供了一个解密工具,但该工具速度非常慢,以至于需要一周的时间才能使管道运营恢复正常。
有趣的是,美国司法部于2021年6月7日发布了一份公开声明,称已从原始付款中追回了63.7个比特币。 不知何故,联邦调查局(FBI)获得了与黑客账户相关的私钥,并追回了价值230万美元的比特币,这显然低于当时比特币价格突然暴跌时所支付的价值。
#4. Dyn
除了在互联网上提供许多服务之外,Dyn 还为一些大型公司提供 DNS 服务,包括 Twitter、Netflix、亚马逊、Airbnb、Quora、CNN、Reddit、Slack、Spotify 和 PayPal 等。 2016年10月21日,Dyn 遭受了一次大规模的DDoS攻击。
攻击者使用了 Mirai 僵尸网络,该网络利用大量受感染的物联网设备发送虚假的DNS请求。 这些流量阻塞了 DNS 服务器,导致速度急剧下降,并在全球范围内造成了不可估量的损失。
由于攻击规模巨大,很难计算出网站遭受的确切损失,但Dyn遭受了巨大的损失。
大约14,500个域名(约占8%)在攻击发生后立即切换到不同的DNS提供商。
虽然还有更多公司遭受过类似的攻击,例如亚马逊网络服务和GitHub,为了避免离题,我们现在将专注于探讨如何采取稳健的策略来防止此类网络勒索事件的发生。
如何防止网络勒索?
以下是一些基本的预防措施,可以帮助您抵御此类网络攻击:
#1. 避免点击恶意链接
攻击者经常利用人类心理中幼稚的弱点:好奇心。
钓鱼邮件是约54%的勒索软件攻击的入口。因此,除了提醒自己和您的员工注意垃圾邮件外,还应组织相关的培训研讨会。
培训内容可以包括模拟钓鱼邮件以及每周的实际操作演练,以提供实时培训。这类似于疫苗接种,少量死病毒载量可以预防活病毒的威胁。
此外,您可以培训员工使用类似沙箱的技术来打开可疑链接和应用程序。
#2. 软件更新和安全解决方案
无论您使用的是什么操作系统,过时的软件都容易受到网络勒索攻击。如果及时更新 Windows 电脑,人们很容易就可以避免 WannaCry 勒索病毒的攻击。
另一个常见的误解是,使用 Mac 就很安全。这完全是错误的。 Malwarebytes恶意软件状态报告打破了Mac用户任何虚假的安全感。
Windows操作系统遭受重大攻击,仅仅是因为它比Mac更受欢迎。微软的操作系统仍然占据接近74%的市场份额,而且攻击Mac用户并不那么简单。
但这种情况正在慢慢改变。从2018年到2019年,Malwarebytes发现针对Mac OS的威胁增加了400%。此外,他们注意到每台Mac有11个威胁,而Windows设备只有5.8个。
总而言之,投资像Avast One这样全面的互联网安全解决方案绝对物有所值。
此外,您还可以部署入侵检测系统,如 Snort 或 Suricata,以获得更好的安全保障。
#3. 使用强密码
殖民管道攻击事件源于员工两次使用弱密码。
根据Avast 的调查,大约83%的美国人使用弱密码,多达53%的人在多个账户上使用相同的密码。
的确,推动用户使用强密码已被证明是一项艰巨的任务。要求他们在工作中这样做似乎几乎是不可能完成的。
那么,解决方案是什么?用户认证平台。
您可以利用这些平台在您的组织中实施强密码要求。 这些是根据公司规模制定灵活计划的第三方专家。您还可以从Ory、Supabase、Frontegg等供应商提供的永久免费层级开始。
在个人层面,请使用密码管理器。
此外,还要忍受不时更新密码的痛苦。即使您的凭据以某种方式被盗,这也将确保您的安全。使用Lastpass等高级密码管理器可以轻松实现这一点,只需单击一下即可自动更新您的密码。
但不要仅仅满足于一个复杂的密码; 尝试在用户名上发挥创意。
#4. 离线备份
此类攻击的复杂程度有时甚至可以欺骗知名的网络安全专家,更不用说小企业主了。
因此,请保持最新的备份。这将有助于您的系统在关键时刻恢复运行。
离线备份更具有优势。它们是安全的冷藏库,网络勒索者无法访问。
此外,请注意可用的恢复功能,因为长时间的停机有时会使赎金要求看起来具有吸引力。这正是为什么一些企业主与威胁参与者谈判并最终支付巨额费用的原因。
或者,像Acronis这样的第三方备份和数据恢复解决方案可能会派上用场。 它们提供勒索软件保护和无忧的数据恢复机制。
#5. 内容交付网络(CDN)
由于有强大的内容交付网络,许多人已经成功地检测并避免了大型 DDoS 攻击。
如上所述,Cloudflare 就是一个出色的CDN,它使WannaCry的终止开关在两年内保持在线。 它还帮助它在这段时间内抵御了无数的DDoS攻击。
CDN 在全球多个服务器上维护您网站的缓存副本。 它们将多余的负载转移到其网络,避免服务器过载和停机。
该策略不仅可以防御 DDoS 威胁,还可以为全球客户创建速度超快的网站。
最后,没有一个完整的清单可以保护您免受网络勒索的威胁。情况在不断变化,最好每次都咨询网络安全专家。
但是,如果攻击还是发生了怎么办? 如果您遭受网络勒索,您应该采取什么措施?
网络勒索响应
除了通常的焦虑之外,勒索软件攻击后首先想到的可能是支付赎金以尽快结束这场噩梦。
但这可能并不总是有效的。
英国IT安全公司SOPHOS进行的一项调查显示,支付赎金并不是最好的解决办法。该攻击调查报告指出,只有8%的公司在支付赎金后取回了完整的数据。29%的人只能恢复50%或更少被盗/加密的数据。
因此,您遵守赎金要求的行为可能会适得其反。 这使得您依赖于恶意行为者及其工具来解密您的数据,从而延误了其他恢复工作。
此外,无法保证黑客提供的工具永远有效。它可能会失败或进一步感染您的系统。此外,向犯罪分子付款会使您的组织成为他们眼中的“付费客户”。 因此,未来发生类似攻击的可能性非常高。
最后,付款应该是您最后的选择。 使用其他方法(例如恢复备份)比使用加密货币支付给未知的犯罪分子更安全。
此外,一些公司联系了领先的网络安全专家并通知了执法部门。这正是帮助他们走出困境的原因,就像联邦调查局在殖民管道勒索事件中所做的那样。
网络勒索:结论
您应该意识到,网络勒索事件并不像人们想象的那么罕见。 显然,最好的方法是加强您的防御并保持备份。
如果攻击还是发生了,请保持冷静,开始当地的恢复工作,并联系专家。
但尽量不要屈服于赎金要求,因为即使您支付了大笔赎金,也可能仍然无法解决问题。
PS:我们为您的业务提供的网络安全检查清单可能会很有帮助。