首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2023 > 正文

勒索贖金逐年飚升，安恒信息支招企業(yè)拒做“待宰的羔羊”

閱讀量：次 文章來(lái)源：安恒信息

“打開(kāi)你的錢(qián)包，準(zhǔn)備好購(gòu)買(mǎi)獨(dú)家數(shù)據(jù)”。

勒索軟件團(tuán)伙Rhysida公開(kāi)大放厥詞。

近期，大英圖書(shū)館、豐田金融、雅馬哈、波音、香港消費(fèi)者委員會(huì)等大型組織、企業(yè)接連遭遇勒索攻擊，贖金均在百萬(wàn)美元以上。今年10月，臭名昭著的勒索家族Lockbit更是向全球知名IT解決方案提供商CDW索要8千萬(wàn)美元的巨額贖金，是目前公開(kāi)勒索金額的第三大贖金。

高昂的贖金誘惑，吸引了不少網(wǎng)絡(luò)犯罪集團(tuán)和黑客組織加入其中，漏洞武器化利用的速度加快，單次勒索攻擊的成本縮減，攻擊頻次幾何式上升。

安恒信息獵影實(shí)驗(yàn)室跟蹤全球勒索軟件組織發(fā)現(xiàn)，勒索軟件攻擊威脅已經(jīng)進(jìn)入“高頻”的新常態(tài)當(dāng)中，連續(xù)8個(gè)月月均披露300余起。10月，全球公開(kāi)披露的勒索事件就多達(dá)340余起，與去年同期相比，增幅達(dá)50%以上。

此外，據(jù)區(qū)塊鏈分析公司Chainaanalysis在《2023 年年中安全報(bào)告》中指出，截至 6 月份，勒索軟件攻擊者已勒索至少 4.491 億美元，若保持現(xiàn)有速度趨勢(shì)，2023年全年勒索金額將高達(dá) 8.986 億美元，勒索贖金或創(chuàng)下新的紀(jì)錄。

肥美的羔羊“引頸待戮”

大型企業(yè)猶如一只只肥美的羔羊，味美肉嫩的羊肉引來(lái)無(wú)數(shù)“食客”垂涎欲滴，高額的利潤(rùn)價(jià)值更讓”屠夫們“舉刀立斬：

羊圈大：更廣泛的攻擊網(wǎng)

大型企業(yè)猶如一個(gè)個(gè)“羊圈”，有著極為復(fù)雜且龐大的架構(gòu)圈層，涉及諸多地理位置和業(yè)務(wù)部門(mén)，結(jié)構(gòu)分散，使得安全管理更加復(fù)雜，攻擊命中率大大提升。業(yè)務(wù)上云為勒索者提供了更多的攻擊面，不重視安全的企業(yè)數(shù)字化轉(zhuǎn)型變成勒索組織切入點(diǎn)，不斷滲透，多點(diǎn)攻擊，從而使得整個(gè)企業(yè)陷入更為危險(xiǎn)的境地。

羊湯香：更高價(jià)值的內(nèi)部數(shù)據(jù)

飽滿(mǎn)的油脂使得羊湯色白味美，十里飄香。大型企業(yè)有著龐大的數(shù)據(jù)庫(kù)、敏感的商業(yè)機(jī)密以及關(guān)鍵的運(yùn)營(yíng)系統(tǒng)網(wǎng)，具有高度價(jià)值性的內(nèi)部數(shù)據(jù)如同誘人的羊湯般，對(duì)于勒索者來(lái)說(shuō)，不僅可以直接用于勒索，還可以在暗網(wǎng)上進(jìn)行交易，進(jìn)一步增加攻擊者的收益。

羊肉貴：更強(qiáng)的支付意愿

奪回被盜竊待宰的羔羊需要支付高額贖金，而割舍珍貴的羊肉又往往承擔(dān)著更大的風(fēng)險(xiǎn)。大型企業(yè)的關(guān)鍵業(yè)務(wù)和運(yùn)營(yíng)系統(tǒng)儼然是一塊塊昂貴的“羊肉”，如果遭到攻擊，將出現(xiàn)嚴(yán)重的生產(chǎn)中斷，極大破壞企業(yè)經(jīng)營(yíng)的穩(wěn)定性，因而增加了支付贖金的動(dòng)機(jī)。

關(guān)注多：更有影響力的脅迫壓力

每只羊如同掌中之寶，嚴(yán)格的公眾監(jiān)督與法律法規(guī)正是一雙雙眼睛的注視，給大型企業(yè)帶來(lái)無(wú)形壓力。這種監(jiān)督壓力迫使大型企業(yè)更有可能在遭受勒索攻擊后支付贖金，以避免敏感信息泄露或服務(wù)中斷對(duì)公眾形象的負(fù)面影響。勒索者往往利用這種公共關(guān)切，加大了對(duì)大型企業(yè)的攻擊力度。

有利潤(rùn)就會(huì)有人做，做的人多了，就成了產(chǎn)業(yè)。

從武器開(kāi)發(fā)到攻擊執(zhí)行，從勒索敲詐到資金轉(zhuǎn)移，一個(gè)針對(duì)大型企業(yè)的勒索產(chǎn)業(yè)鏈逐漸成型。以初始訪(fǎng)問(wèn)代理（IAB）為核心的產(chǎn)業(yè)鏈條，搭配逐漸成熟的RaaS勒索運(yùn)營(yíng)模式，勒索攻擊的門(mén)檻持續(xù)降低，入侵成本進(jìn)一步減少，無(wú)數(shù)把鋒利的“屠刀”瞄準(zhǔn)了“肥美多汁”的大型企業(yè)。

對(duì)于大型企業(yè)，往往勒索攻擊所引起的業(yè)務(wù)重創(chuàng)和系統(tǒng)癱瘓導(dǎo)致?tīng)I(yíng)收損失遠(yuǎn)高于支付的贖金，因此企業(yè)亟需行之有效的解決方案來(lái)應(yīng)對(duì)勒索組織的入侵。

破局勒索病毒，需要防護(hù)新招

傳統(tǒng)的防勒索防護(hù)軟件主要是通過(guò)識(shí)別已知的勒索軟件進(jìn)行防護(hù)，因此對(duì)于新出現(xiàn)的未知勒索軟件可能防御能力較弱。隨著勒索攻擊技術(shù)的不斷發(fā)展，只依賴(lài)傳統(tǒng)的防勒索軟件可能不足以提供全面的保護(hù) 。

安恒EDR認(rèn)為為應(yīng)對(duì)勒索風(fēng)險(xiǎn)，需要覆蓋事前加固和防御、事中持續(xù)動(dòng)態(tài)分析和檢測(cè)、事后快速處置響應(yīng)和溯源等多個(gè)階段進(jìn)行安全防范，全方位應(yīng)對(duì)勒索病毒攻擊風(fēng)險(xiǎn)。

1.事前六大核心能力，有效防護(hù)攻擊者的探測(cè)與入侵

■ 防端口掃描能力：實(shí)時(shí)檢查入站連接并阻斷對(duì)本機(jī)端口的惡意探測(cè), 防止攻擊者進(jìn)行掃描和嗅探，導(dǎo)致敏感信息泄露。

■ 資產(chǎn)梳理能力：通過(guò)利用基線(xiàn)安全檢查與勒索風(fēng)險(xiǎn)專(zhuān)項(xiàng)評(píng)估能力，對(duì)系統(tǒng)的弱口令、威脅文件、風(fēng)險(xiǎn)賬號(hào)、錯(cuò)誤配置等進(jìn)行專(zhuān)業(yè)評(píng)估、針對(duì)系統(tǒng)的薄弱點(diǎn)進(jìn)行快速修復(fù)，防止被攻擊者利用。

■ 主動(dòng)防御能力：針對(duì)惡意的程序及文件進(jìn)行檢測(cè)和發(fā)現(xiàn)，并進(jìn)行自動(dòng)化響應(yīng)。

■ 暴力破解防護(hù)能力：能夠?qū)ο到y(tǒng)登錄行為進(jìn)行合理限制，防止賬號(hào)被爆破，導(dǎo)致攻擊者提權(quán)，從而繞過(guò)主機(jī)防護(hù)。

■ 威脅情報(bào)能力：產(chǎn)品具備強(qiáng)大的威脅情報(bào)能力，能夠在設(shè)備訪(fǎng)問(wèn)目標(biāo)IP或域名前進(jìn)行安全檢測(cè)，發(fā)現(xiàn)風(fēng)險(xiǎn)后，可以對(duì)終端進(jìn)行告警并阻斷，防止帶有惡意代碼的網(wǎng)站并觸發(fā)惡意代碼，進(jìn)而向用戶(hù)設(shè)備植入勒索病毒。

■ 文件保險(xiǎn)柜：安恒EDR添加訪(fǎng)問(wèn)控制策略，對(duì)重要文件或目錄進(jìn)行訪(fǎng)問(wèn)權(quán)限控制，僅允許配置的例外進(jìn)程操作，根本上杜絕勒索病毒，根本上保護(hù)業(yè)務(wù)數(shù)據(jù)安全。

2.事中切斷攻擊者攻擊途徑，阻止攻擊者進(jìn)行滲透

■ 防單機(jī)擴(kuò)展：針對(duì)本機(jī)的擴(kuò)展行為進(jìn)行監(jiān)測(cè)，防止提權(quán)行為。

■ 防遠(yuǎn)控持久化：對(duì)失陷后主機(jī)遠(yuǎn)控持久化行為進(jìn)行檢測(cè)，并可阻斷遠(yuǎn)控。

■ 防內(nèi)網(wǎng)探測(cè)功能：對(duì)內(nèi)網(wǎng)的惡意攻擊行為進(jìn)行識(shí)別，阻斷攻擊者對(duì)內(nèi)網(wǎng)的橫向滲透。并基于業(yè)務(wù)隔離的策略劃分特定的網(wǎng)絡(luò)域，防止威脅在內(nèi)網(wǎng)擴(kuò)散。

■ 一鍵關(guān)閉高危端口：一鍵封鎖威脅IP等應(yīng)急策略，防止“威脅串網(wǎng)”維持整個(gè)網(wǎng)絡(luò)環(huán)境穩(wěn)定。

3.事中精準(zhǔn)阻斷勒索病毒加密行為，保護(hù)核心業(yè)務(wù)文件

智能勒索行為防護(hù)能力，實(shí)時(shí)分析程序行為及意圖，根據(jù)行為檢測(cè)智能識(shí)別勒索軟件。具備誘餌勒索引擎，可在系統(tǒng)中投遞誘餌文件，并可以實(shí)現(xiàn)在對(duì)誘餌文件進(jìn)行操作時(shí)，立即告警并結(jié)束操作進(jìn)程。

■ 勒索行為防護(hù)引擎：通過(guò)分析海量的勒索軟件樣本及病毒家族特性，總結(jié)了樣本具有的共性特征形成了引擎行為知識(shí)庫(kù)，通過(guò)系統(tǒng)API級(jí)別分析，高效抵御未知勒索病毒。

■ 勒索防護(hù)誘餌引擎：針對(duì)勒索病毒遍歷文件實(shí)施加密的特點(diǎn)，在終端關(guān)鍵目錄下放置誘餌文件，當(dāng)有勒索病毒嘗試加密誘餌文件時(shí)及時(shí)精準(zhǔn)中止惡意進(jìn)程，阻止勒索病毒的進(jìn)一步加密和擴(kuò)散。

4、事后確保核心數(shù)據(jù)高效恢復(fù)，勒索保險(xiǎn)降低實(shí)際損失

■ 文件備份恢復(fù)：勒索軟件試圖加密某些文件時(shí)，勒索加密文件恢復(fù)驅(qū)動(dòng)可以監(jiān)控到該軟件對(duì)文件的可疑修改操作，在勒索軟件寫(xiě)入之前，搶先備份該文件。備份完成后，用戶(hù)可使用安全工具中的勒索加密文件恢復(fù)功能，輸入文件名稱(chēng)，文件路徑，擴(kuò)展名，或者被病毒查殺功能檢出的勒索軟件進(jìn)程名，搜索出備份的文件，進(jìn)而恢復(fù)原文件。

■ 勒索保險(xiǎn)：為了實(shí)現(xiàn)勒索防護(hù)強(qiáng)閉環(huán)，安恒推出勒索保險(xiǎn)，從勒索防護(hù)到經(jīng)濟(jì)保障，幫助用戶(hù)實(shí)現(xiàn)真正防護(hù)強(qiáng)閉環(huán)。安恒信息始終保持產(chǎn)品服務(wù)、人員服務(wù)、保險(xiǎn)服務(wù)，通過(guò)真實(shí)案例，再一次證明：請(qǐng)把勒索防護(hù)交給安恒，安心留給自己！

同時(shí)，作為國(guó)內(nèi)數(shù)字安全行業(yè)的“佼佼者”之一，安恒信息還具備全面可靠產(chǎn)品輔助EDR發(fā)揮更高效能。

◆ AiLPHA大數(shù)據(jù)平臺(tái)和AXDR平臺(tái)的流量探針（AiNTA）具備最新的漏洞檢測(cè)規(guī)則，可在第一時(shí)間發(fā)現(xiàn)勒索病毒變種。

◆ 基于攻擊面治理勒索防護(hù)，從海量告警事件分析研判出勒索病毒事件后，云端專(zhuān)家通過(guò)遠(yuǎn)程和現(xiàn)場(chǎng)支持的形式協(xié)助分析和協(xié)助處置。輸出處置建議，以及獲取授權(quán)后開(kāi)展安全處置工作。

勒索病毒在持續(xù)演進(jìn)，攻擊的目標(biāo)和形勢(shì)不斷變化，防御對(duì)抗將是長(zhǎng)期性的，安恒信息將持續(xù)鉆研勒索病毒防護(hù)技術(shù)，推動(dòng)技術(shù)創(chuàng)新發(fā)展，保障用戶(hù)的安全和穩(wěn)定發(fā)展，打贏這場(chǎng)持久戰(zhàn)！