随着云和大数据时代的到来,各行各业纷纷投入数字化转型,但同时,极具价值的海量数字化信息也如“幼儿抱金行于闹市”般吸引着攻击者们。2020年的勒索病毒攻击比以往都来得更猛了些,大到企业小至个人,都无时无刻不遭受着黑客们的虎视眈眈。京东、GitHub 等网站被劫持,A股惊现庄家“盗号接盘”,以及B站UP主“机智的党妹”遭攻击素材丢失等一系列勒索事件频发,新的病毒不断涌现,旧的病毒不断变种,勒索事件越发频繁与恶劣。
综合今年国内已经发生的事件来看,勒索病毒主要有如下的发展趋势:
针对企业的攻击愈发精准频繁,手段突破下限
随着企业上云,云上企业数据安全已经成为未来网络安全行业最重要的关注方向,今年针对企业的勒索病毒攻击比例增加,且恶劣程度加重。勒索病毒运营团队把更多的目光转向针对云服务器提供商或运营商,对云上的数据进行加密勒索,攻击者逐渐采用复杂的针对性交付技术和机制,发起针对性极强的大型狩猎活动。
勒索手段从单纯的赎金换密钥,升级到不给赎金就公开机密数据。已知主流的几款勒索病毒都已开始通过公布企业数据逼迫企业支付赎金,同时各种新型的窃密木马会随着勒索病毒一起下发,窃取企业数据。对于大型企业而言,数据泄露带来的不止有经济上的损失,还会严重影响企业形象,使自身失去公众信任。勒索团队通过“勒索+窃取”两种方式对企业的重要数据进行攻击,采用这种运营方式来强迫企业交付天价解密赎金。
国内外勒索团队合作,勒索形成产业化
由于勒索病毒开发门槛低且收益巨大,导致了勒索及服务RaaS产业的诞生。各种新型勒索病毒层出不穷,更多成熟或新的黑客组织加入其中,开启“联手”合作。从已经发生的勒索事件来看,有些案例中攻击者为避免单一病毒加密失败,会与多个勒索病毒家族合作。国外一些主流的勒索病毒运营团队19年年底就开始在国内寻找勒索病毒分销运营商,通过暗网与国外运营商进行合作,进行勒索病毒的分发传播,谋取暴利。
更多的勒索病毒开始攻陷国内市场。例如增加中文版本的勒索信件,勒索加密扩展后缀使用具有国内风格的命名方式等。由此可见,国内依然为勒索团伙关注最为密切的市场之一。
技术不断升级迭代,平台多元化,场景多样化
经过长期的演变,勒索病毒技术上不断进化,勒索的平台开始多元化,勒索场景多样化。攻击者在加密流程的细节上进行优化。从早期的单线程文件加密,升级到针对每个磁盘分区进行多线程加密;从单一的x86可执行病毒版本到增加x64可执行版本;利用高危漏洞进行内核提权,或使用压缩打包的方式进行提权来加密更多文件等等。
目前勒索病毒常见于Windows系统,大部分Linux平台勒索病毒大多数使用GO语言进行开发,考虑到Linux以及MAC OS系统的属性,不排除后续蔓延到其他系统的可能。勒索场景从最简单粗暴的垃圾邮件,到利用漏洞传播、水坑攻击乃至软件供应链传播,攻击方式的多样化也进一步证明了勒索产业的日渐强大。
防范于未然应当是每个企事业单位管理者需要重点关注的事情,但面对攻击的多样化,传统的杀毒软件已经疲于应付,急需新的解决方案来对抗。
从当前勒索病毒事件的发生趋势来看,网络层面的病毒防护难以做到万全,“道高一尺魔高一丈”,目前还没有能够完全做到防御勒索病毒的网络安全软件,企业所能做的就是守住数据安全的“最后一道防线”,即做好灾备建设。
当勒索事件发生时,通过备份保留第二份数据资产,及时恢复,保证数据不丢业务不停,让攻击者无计可施。如果说网络安全是从外而内进行防护,那数据安全,则是从内而外进行保护。
英方的数据备份软件 i2CDP 就是这样一款守护数据安全的软件。i2CDP将变化的数据实时复制到灾备服务器的同时,把数据的变化以日志方式记录下来。在系统故障时根据数据变化日志,快速定位需要恢复的时间点,将数据一键恢复到异常点之前,保证数据的安全性和业务连续性。
产品操作简便,有丰富灵活的保护策略,独立于软硬件环境,可以实现跨平台的字节级复制和高效传输,且英方的防病毒勒索软件核心技术均由英方研发团队自主研发,满足国产化趋势。