首頁 > 關于我們 > 安恒動態 > 2023 > 正文

勒索贖金逐年飚升，安恒信息支招企業拒做“待宰的羔羊”

閱讀量：次 文章來源：安恒信息

“打開你的錢包，準備好購買獨家數據”。

勒索軟件團伙Rhysida公開大放厥詞。

近期，大英圖書館、豐田金融、雅馬哈、波音、香港消費者委員會等大型組織、企業接連遭遇勒索攻擊，贖金均在百萬美元以上。今年10月，臭名昭著的勒索家族Lockbit更是向全球知名IT解決方案提供商CDW索要8千萬美元的巨額贖金，是目前公開勒索金額的第三大贖金。

高昂的贖金誘惑，吸引了不少網絡犯罪集團和黑客組織加入其中，漏洞武器化利用的速度加快，單次勒索攻擊的成本縮減，攻擊頻次幾何式上升。

安恒信息獵影實驗室跟蹤全球勒索軟件組織發現，勒索軟件攻擊威脅已經進入“高頻”的新常態當中，連續8個月月均披露300余起。10月，全球公開披露的勒索事件就多達340余起，與去年同期相比，增幅達50%以上。

此外，據區塊鏈分析公司Chainaanalysis在《2023 年年中安全報告》中指出，截至 6 月份，勒索軟件攻擊者已勒索至少 4.491 億美元，若保持現有速度趨勢，2023年全年勒索金額將高達 8.986 億美元，勒索贖金或創下新的紀錄。

肥美的羔羊“引頸待戮”

大型企業猶如一只只肥美的羔羊，味美肉嫩的羊肉引來無數“食客”垂涎欲滴，高額的利潤價值更讓”屠夫們“舉刀立斬：

羊圈大：更廣泛的攻擊網

大型企業猶如一個個“羊圈”，有著極為復雜且龐大的架構圈層，涉及諸多地理位置和業務部門，結構分散，使得安全管理更加復雜，攻擊命中率大大提升。業務上云為勒索者提供了更多的攻擊面，不重視安全的企業數字化轉型變成勒索組織切入點，不斷滲透，多點攻擊，從而使得整個企業陷入更為危險的境地。

羊湯香：更高價值的內部數據

飽滿的油脂使得羊湯色白味美，十里飄香。大型企業有著龐大的數據庫、敏感的商業機密以及關鍵的運營系統網，具有高度價值性的內部數據如同誘人的羊湯般，對于勒索者來說，不僅可以直接用于勒索，還可以在暗網上進行交易，進一步增加攻擊者的收益。

羊肉貴：更強的支付意愿

奪回被盜竊待宰的羔羊需要支付高額贖金，而割舍珍貴的羊肉又往往承擔著更大的風險。大型企業的關鍵業務和運營系統儼然是一塊塊昂貴的“羊肉”，如果遭到攻擊，將出現嚴重的生產中斷，極大破壞企業經營的穩定性，因而增加了支付贖金的動機。

關注多：更有影響力的脅迫壓力

每只羊如同掌中之寶，嚴格的公眾監督與法律法規正是一雙雙眼睛的注視，給大型企業帶來無形壓力。這種監督壓力迫使大型企業更有可能在遭受勒索攻擊后支付贖金，以避免敏感信息泄露或服務中斷對公眾形象的負面影響。勒索者往往利用這種公共關切，加大了對大型企業的攻擊力度。

有利潤就會有人做，做的人多了，就成了產業。

從武器開發到攻擊執行，從勒索敲詐到資金轉移，一個針對大型企業的勒索產業鏈逐漸成型。以初始訪問代理（IAB）為核心的產業鏈條，搭配逐漸成熟的RaaS勒索運營模式，勒索攻擊的門檻持續降低，入侵成本進一步減少，無數把鋒利的“屠刀”瞄準了“肥美多汁”的大型企業。

對于大型企業，往往勒索攻擊所引起的業務重創和系統癱瘓導致營收損失遠高于支付的贖金，因此企業亟需行之有效的解決方案來應對勒索組織的入侵。

破局勒索病毒，需要防護新招

傳統的防勒索防護軟件主要是通過識別已知的勒索軟件進行防護，因此對于新出現的未知勒索軟件可能防御能力較弱。隨著勒索攻擊技術的不斷發展，只依賴傳統的防勒索軟件可能不足以提供全面的保護。

安恒EDR認為為應對勒索風險，需要覆蓋事前加固和防御、事中持續動態分析和檢測、事后快速處置響應和溯源等多個階段進行安全防范，全方位應對勒索病毒攻擊風險。

1.事前六大核心能力，有效防護攻擊者的探測與入侵

■ 防端口掃描能力：實時檢查入站連接并阻斷對本機端口的惡意探測, 防止攻擊者進行掃描和嗅探，導致敏感信息泄露。

■ 資產梳理能力：通過利用基線安全檢查與勒索風險專項評估能力，對系統的弱口令、威脅文件、風險賬號、錯誤配置等進行專業評估、針對系統的薄弱點進行快速修復，防止被攻擊者利用。

■ 主動防御能力：針對惡意的程序及文件進行檢測和發現，并進行自動化響應。

■ 暴力破解防護能力：能夠對系統登錄行為進行合理限制，防止賬號被爆破，導致攻擊者提權，從而繞過主機防護。

■ 威脅情報能力：產品具備強大的威脅情報能力，能夠在設備訪問目標IP或域名前進行安全檢測，發現風險后，可以對終端進行告警并阻斷，防止帶有惡意代碼的網站并觸發惡意代碼，進而向用戶設備植入勒索病毒。

■ 文件保險柜：安恒EDR添加訪問控制策略，對重要文件或目錄進行訪問權限控制，僅允許配置的例外進程操作，根本上杜絕勒索病毒，根本上保護業務數據安全。

2.事中切斷攻擊者攻擊途徑，阻止攻擊者進行滲透

■ 防單機擴展：針對本機的擴展行為進行監測，防止提權行為。

■ 防遠控持久化：對失陷后主機遠控持久化行為進行檢測，并可阻斷遠控。

■ 防內網探測功能：對內網的惡意攻擊行為進行識別，阻斷攻擊者對內網的橫向滲透。并基于業務隔離的策略劃分特定的網絡域，防止威脅在內網擴散。

■ 一鍵關閉高危端口：一鍵封鎖威脅IP等應急策略，防止“威脅串網”維持整個網絡環境穩定。

3.事中精準阻斷勒索病毒加密行為，保護核心業務文件

智能勒索行為防護能力，實時分析程序行為及意圖，根據行為檢測智能識別勒索軟件。具備誘餌勒索引擎，可在系統中投遞誘餌文件，并可以實現在對誘餌文件進行操作時，立即告警并結束操作進程。

■ 勒索行為防護引擎：通過分析海量的勒索軟件樣本及病毒家族特性，總結了樣本具有的共性特征形成了引擎行為知識庫，通過系統API級別分析，高效抵御未知勒索病毒。

■ 勒索防護誘餌引擎：針對勒索病毒遍歷文件實施加密的特點，在終端關鍵目錄下放置誘餌文件，當有勒索病毒嘗試加密誘餌文件時及時精準中止惡意進程，阻止勒索病毒的進一步加密和擴散。

4、事后確保核心數據高效恢復，勒索保險降低實際損失

■ 文件備份恢復：勒索軟件試圖加密某些文件時，勒索加密文件恢復驅動可以監控到該軟件對文件的可疑修改操作，在勒索軟件寫入之前，搶先備份該文件。備份完成后，用戶可使用安全工具中的勒索加密文件恢復功能，輸入文件名稱，文件路徑，擴展名，或者被病毒查殺功能檢出的勒索軟件進程名，搜索出備份的文件，進而恢復原文件。