虹科分享|硬件加密硬盘|与5个最新的勒索软件的近距离接触

勒索软件成功地创造了大规模的破坏。随之而来的是无数的受害者，一团糟的受损IT环境，以及数十亿美元的损失。让坏消息雪上加霜的是，这一全球现象并未显示出放缓的迹象。那么，是什么让勒索软件如此难以阻止呢？

答案很简单--进化。

就在安全专家似乎掌握了解决方案的时候，一个新的威胁出现了，以利用整个IT环境中的新漏洞。这种激增在很大程度上是由勒索软件即服务(RAAS)实现的，它借鉴了云的基于订阅的模式，使有抱负的黑客能够利用现有工具执行强大的攻击。

勒索软件有多种形式，没有两种变体是相同的。这篇文章将通过探索一些最新的野生威胁，让你了解我们面临的是什么。

Couti

Conti于2020年5月首次被发现，它通常通过链接到受感染的Google Drive文件的钓鱼电子邮件来攻击系统。点击链接后，收件人被告知无法在浏览器中预览该文件，建议改为下载该文件。按照已建立的恶意软件做法，此操作会将恶意可执行文件邀请到用户的系统上。一旦被执行，Conti就会安装一个后门，该后门联系控制与命令(C2)服务器，然后后者会安装其他恶意软件工具。

Conti可能是Ryuk变体的一个分支，通过与各种其他工具(包括合法和恶意工具)协同工作，从勒索软件包中脱颖而出。例如，Windows重新启动管理器可用于关闭原本会阻止文件加密的程序，从而使恶意软件能够在该过程中扩大其影响范围。众所周知，Conti还使用臭名昭著的TrickBot特洛伊木马在最初感染后造成进一步破坏。

Hive(蜂巢)

勒索软件命名约定通常受到部署它们的组织的启发。蜂巢就是一个典型的例子，它是一种相对较新的变种，对医疗保健行业造成了严重破坏。据报道，所谓的“蜂巢帮”是2021年8月针对纪念健康系统的勒索软件攻击的幕后黑手，在那次攻击中，它泄露了大量敏感的患者数据，包括他们的姓名、社保号码、家庭地址和病史。虽然最初2.4亿美元的赎金似乎不太可能，但纪念碑首席执行官证实，确实支付了一笔钱来解锁数据。

HIVE是勒索软件的另一个例子，它使用经过试验和验证的网络钓鱼策略来攻击目标系统。为了规避现有的防御机制，该恶意软件会禁用反病毒软件以及文件复制、备份和恢复功能。赎金笔记被投放在每个受感染的目录中，参考受害者如何购买解密密钥并取回他们的信息。如果没有支付赎金，蜂巢会在HiveLeaks上发布被盗数据，HiveLeaks是一个基于TOR的网站，黑客社区很容易访问。

LockBit 2.0

部分由于被纳入RAAS市场，LockBit成为网络犯罪分子的首选武器。这款勒索软件通过更新的网络安全变体LockBit 2.0增强了它在社区中的光泽。与新改进的变体相关的一个显著特征是，该组织采用了开箱即用的方法来入侵访问权限。众所周知，该团伙的成员贿赂能够从组织内部渗透到目标中的个人。他们还通过利用VPN和其他可公开访问的网络服务器中的漏洞获得了成功。

对于勒索软件参与者来说，泄露数据与加密数据一样重要。如果受害者拒绝支付，LockBit 2.0可以调用一些补充技术来实施自己扭曲的复仇品牌。LockBit的内部特洛伊木马StealBit和合法的C2服务器Cobalt Strike都在已链接到勒索软件的工具中。

阎罗王

一些黑客采取了一种更具哲理的方法来标记他们的勒索软件攻击。以阎罗王为例，受中国宗教传说中对死者进行审判的神严洛·王的启发，这种特殊的变体于2021年10月被发现，自那以来一直与美国几家大公司遭受的袭击有关。尽管它似乎有利于金融部门，但该勒索软件也与针对咨询、工程和IT服务行业的攻击有关。

经过进一步的分析，网络安全研究人员确定，阎罗王的文件是经过数字签名的，这是威胁行为者最近采取的一种趋势，他们绕过了反病毒扫描仪和内置的防御机制。一旦执行，它将终止各种系统进程，使勒索软件能够解锁对虚拟机、数据库和备份文件的访问。最后，在提供赎金纸条之前，它会在加密文件上附加一个“阎罗王”扩展名，警告受害者在做出付款安排之前不要联系当局。

DarkSide

大多数黑客更喜欢在幕后行动，限制了他们对网络犯罪社区的可见性。其他人无法抗拒成为聚光灯下的机会。Darkside在2020年夏天声名狼藉，甚至在一份专业撰写的新闻稿中公布了勒索软件的到来。这次袭击的幕后黑手声称，他们的目标不是医院、学校或非营利组织。相反，它更倾向于追查有能力支付高额赎金要求的大型高收入组织。

DarkSide以其对隐形的有效利用而闻名。勒索软件是为个别目标量身定做的，配有定制代码和连接主机，使得攻击难以追踪。此外，它会在文件加密之前保持耐心，花时间首先确定环境的范围。这一过程需要劫持特权帐户、获取凭据和其他有价值的数据，以及删除备份。袭击的复杂性和高调的目标促使美国政府悬赏1000万美元寻找逮捕黑暗势力领导人的细节。

永久勒索软件防御措施

随着勒索软件攻击的名单持续增长，这些破坏性威胁的能力肯定会与它们一起发展。虽然每个变种都面临着独特的挑战，但您可以遵循一些基本的指导原则来降低风险和潜在影响。

采取终端安全战略：网络犯罪分子将试图利用每一个可能的入口点。通过将强大的安全技术从USB端口和系统登录应用到应用程序和移动设备，保护您的网络。

使系统保持最新：运行过时的软件类似于敞开设施的大门。确保您的核心系统和应用程序稳定地接收更新以解决已知漏洞，并将安全工具配置为检测最新威胁。

制定应急计划：当整理数十个勒索软件恐怖故事时，一个共同的主题脱颖而出--受害者做好了最坏的准备，能够更好地从攻击中恢复过来。备份您的系统数据，在多个位置保存多份副本，并定期测试这些备份，以确保它们可以在危机情况下恢复。

保持警惕：无论是好是坏，勒索软件都嵌入了数字社会的结构中。花点时间确保您的员工接受了有关如何识别、避免和缓解潜在致命攻击的培训。有大量可用的资源可以帮助您提高对既有和新出现的威胁的认识。

虹科DataLocker的加密USB驱动器可以增强您抵御任何勒索软件攻击的能力。