勒索软件攻击 – 它是什么以及它是如何工作的？

最新推荐文章于 2024-10-10 23:05:59 发布

data166888

最新推荐文章于 2024-10-10 23:05:59 发布

阅读量685

点赞数 15

文章标签：数据库数据库开发 sql database mysql 网络安全

本文链接：https://blog.csdn.net/V_data_119/article/details/142066285

版权

随着互联网的普及和发展，网络安全问题日益严重。网络攻击和诈骗已经成为当今社会最大的威胁之一。为了应对这些问题，人工智能和深度学习技术在网络安全领域发挥着越来越重要的作用。本文将介绍深度学习在网络安全领域的应用，以及如何利用深度学习技术来应对网络攻击。

勒索软件攻击为何出现？

现代勒索软件热潮始于 2017 年的 WannaCry 爆发。这次大规模且广为人知的攻击表明，勒索软件攻击是可能的，并且可能有利可图。从那时起，已经开发了数十种勒索软件变体，并将其用于各种攻击。

COVID-19 大流行也导致了最近勒索软件的激增。随着组织迅速转向远程工作，他们的网络防御出现了差距。网络犯罪分子利用这些漏洞来传播勒索软件，导致勒索软件攻击激增。

在一个由数字风险主导的时代，令人震惊的是，71% 的公司遭遇了勒索软件攻击，导致每次事件的平均经济损失为 435 万美元。

仅在 2023 年，勒索软件攻击未遂就针对全球 10% 的组织。与去年面临类似威胁的 7% 的组织相比，这一比例显著上升，这是近年来记录的最高比例。

勒索软件的工作原理

为了成功，勒索软件需要访问目标系统，加密其中的文件，并要求受害者支付赎金。
虽然勒索软件变体的实施细节各不相同，但所有变体都具有相同的核心三个阶段

步骤 1.感染和传播媒介

与任何恶意软件一样，勒索软件可以通过多种不同的方式访问组织的系统。但是，勒索软件运营商往往更喜欢一些特定的感染媒介。

其中之一是网络钓鱼电子邮件。恶意电子邮件可能包含指向托管恶意下载的网站的链接或内置下载程序功能的附件。如果电子邮件收件人中了网络钓鱼，那么勒索软件就会被下载并在他们的计算机上执行。

另一种流行的勒索软件感染媒介利用远程桌面协议（RDP）等服务。借助 RDP，窃取或猜测员工登录凭据的攻击者可以使用它们对企业网络中的计算机进行身份验证和远程访问。通过此访问权限，攻击者可以直接下载恶意软件并在他们控制的机器上执行它。

其他人可能会尝试直接感染系统，例如 WannaCry 如何利用 EternalBlue 漏洞。大多数勒索软件变体具有多个感染媒介。

步骤 2.数据加密

勒索软件获得对系统的访问权限后，它可以开始加密其文件。由于加密功能内置于操作系统中，因此这只涉及访问文件，使用攻击者控制的密钥对其进行加密，并用加密版本替换原始文件。大多数勒索软件变体在选择要加密的文件时都很谨慎，以确保系统稳定性。一些变体还将采取措施删除文件的备份和卷影副本，以使没有解密密钥的恢复更加困难。

步骤 3.赎金要求

文件加密完成后，勒索软件就准备提出赎金要求。不同的勒索软件变体以多种方式实现这一点，但将显示背景更改为赎金记录或文本文件放置在包含赎金记录的每个加密目录中的情况并不少见。通常，这些票据需要一定数量的加密货币以换取对受害者文件的访问。如果支付了赎金，勒索软件运营商将提供用于保护对称加密密钥的私钥副本或对称加密密钥本身的副本。此信息可以输入到解密程序（也由网络犯罪分子提供）中，该程序可以使用它来逆转加密并恢复对用户文件的访问。

虽然这三个核心步骤存在于所有勒索软件变体中，但不同的勒索软件可能包括不同的实施或其他步骤。例如，像MALLOX这样的勒索软件变体在数据加密之前执行文件扫描、注册表信息和数据盗窃，而 WannaCry 勒索软件会扫描其他易受攻击的设备以进行感染和加密。

勒索软件攻击的类型

勒索软件在过去几年中发生了重大变化。一些重要的勒索软件和相关威胁类型包括：

双重勒索：像lockbit这样的双重勒索勒索软件将数据加密与数据盗窃相结合。这项技术是为了应对组织拒绝支付赎金并从备份中恢复而开发的。通过窃取组织的数据，网络犯罪分子可能会威胁说，如果受害者不付款，就会泄露这些数据。
三重勒索：Triple extortion 勒索软件增加了第三种勒索技术来双重勒索。通常，这包括向受害者的客户或合作伙伴索要赎金，或者对公司进行分布式拒绝服务（DDoS）攻击。
Locker 勒索软件：Locker 勒索软件是不会加密受害者机器上的文件的勒索软件。相反，它会锁定计算机——使受害者无法使用它——直到支付赎金。
加密勒索软件：加密勒索软件是勒索软件的另一个名称，它强调了勒索软件付款通常以加密货币支付的事实。这样做的原因是加密货币是更难追踪的数字货币，因为它们不受传统金融系统的管理。
BitLocker：BitLocker是微软自带防泄密软件，与勒索软件相关但又不同。虽然他们可能使用相同的加密技术，但目标是永久拒绝访问加密文件(BitLocker)，这可能包括删除加密密钥的唯一副本。
勒索软件即服务（RaaS）：RaaS 是一种恶意软件分发模型，勒索软件团伙在其中为“附属公司”提供对其恶意软件的访问权限。这些附属公司用恶意软件感染目标，并与勒索软件开发商分摊任何赎金。
数据窃取勒索软件：一些勒索软件变体专注于数据盗窃，完全放弃数据加密。原因之一是加密可能非常耗时且易于检测，这为组织提供了终止感染并保护某些文件免受加密的机会。
流行的勒索软件变体

存在数十种勒索软件变体，每种变体都有其独特的特征。然而，一些勒索软件组织比其他勒索软件组织更多产和成功，使它们在人群中脱颖而出。

1. Ryuk

Ryuk 是针对性很强的勒索软件变体的一个例子。它通常通过鱼叉式网络钓鱼电子邮件或使用泄露的用户凭据使用远程桌面协议（RDP）登录企业系统来传递。一旦系统被感染，Ryuk 就会加密某些类型的文件（避免那些对计算机运行至关重要的文件），然后提出赎金要求。

Ryuk 是众所周知的现存最昂贵的勒索软件类型之一。Ryuk 要求的平均赎金超过 100 万美元。因此，Ryuk 背后的网络犯罪分子主要关注拥有满足其需求所需资源的企业。

2.Maze

Maze勒索软件以第一个将文件加密和数据盗窃相结合的勒索软件变体而闻名。当目标开始拒绝支付赎金时，Maze 开始从受害者的计算机上收集敏感数据，然后再对其进行加密。如果赎金要求未得到满足，这些数据将被公开或出售给出价最高的人。代价高昂的数据泄露的可能性被用作支付费用的额外激励。

Maze 勒索软件背后的组织已正式结束其运营。但是，这并不意味着勒索软件的威胁已经减少。一些 Maze 附属公司已过渡到使用 Egregor 勒索软件，据信 Egregor、Maze 和 Sekhmet 变体具有共同来源。

3.REvil (Sodinokibi)

REvil 组织（也称为 Sodinokibi ）是另一种针对大型组织的勒索软件变体。

REvil 是网络上最著名的勒索软件家族之一。该勒索软件团伙自 2019 年以来一直由讲俄语的 REvil 团伙运营，对“Kaseya”和“JBS”等许多重大违规行为负责

在过去的几年里，它一直与 Ryuk 争夺最昂贵的勒索软件变体的称号。众所周知，REvil 要求支付 800,000 美元的赎金。

虽然 REvil 最初是一种传统的勒索软件变体，但它随着时间的推移而发展——
他们正在使用双重勒索技术——从企业窃取数据，同时还加密文件。这意味着，除了要求赎金解密数据外，攻击者还可能威胁如果不进行第二次付款，就释放被盗数据。

4. LOCKBIT

LockBit 是一种自 2019 年 9 月以来运行的数据加密恶意软件，也是最近的勒索软件即服务（RaaS）。开发这种勒索软件是为了快速加密大型组织，以防止安全设备和 IT/SOC 团队快速检测到它。

5. DearCry

2021 年 3 月，Microsoft 发布了针对 Microsoft Exchange 服务器中四个漏洞的补丁。DearCry 是一种新的勒索软件变体，旨在利用 Microsoft Exchange 中最近披露的四个漏洞

DearCry 勒索软件会加密某些类型的文件。加密完成后，DearCry 将显示一条赎金消息，指示用户向勒索软件运营商发送电子邮件，以了解如何解密他们的文件。

6. Lapsus$

Lapsus$ 是一个南美勒索软件团伙，与针对一些知名目标的网络攻击有关。这个网络团伙以勒索而闻名，如果受害者不提出要求，他们就会威胁要发布敏感信息。该组织吹嘘自己已经打入了 Nvidia、Samsung、Ubisoft 等公司。该组织使用窃取的源代码将恶意软件文件伪装成值得信赖。

勒索软件对企业有何影响？

成功的勒索软件攻击可能会对企业产生各种影响。一些最常见的风险包括：
财务损失：勒索软件攻击旨在迫使受害者支付赎金。此外，公司可能会因补救感染的费用、业务损失和潜在的法律费用而亏损。
数据丢失：一些勒索软件攻击将加密数据作为其勒索工作的一部分。通常，这可能会导致数据丢失，即使公司支付了赎金并收到了解密器。
数据泄露：勒索软件团伙越来越多地转向双重或三重勒索攻击。这些攻击包括数据盗窃和潜在暴露以及数据加密。
停机时间：勒索软件会加密关键数据，而三重勒索攻击可能包含 DDoS 攻击。这两者都可能导致组织运营停机。
品牌损害：勒索软件攻击可能会损害组织在客户和合作伙伴中的声誉。如果客户数据被泄露或他们也收到赎金要求，则尤其如此。
法律和监管处罚：勒索软件攻击可能是由于安全疏忽而启用的，并且可能包括泄露敏感数据。这可能会使公司面临监管机构的诉讼或处罚。
如何防范勒索软件
利用最佳实践
适当的准备可以显著降低勒索软件攻击的成本和影响。采用以下最佳实践可以减少组织遭受勒索软件的风险，并最大限度地减少其影响：
网络意识培训和教育：勒索软件通常使用网络钓鱼电子邮件进行传播。培训用户如何识别和避免潜在的勒索软件攻击至关重要。由于当前的许多网络攻击都是从一封目标电子邮件开始的，该电子邮件甚至不包含恶意软件，而只是一条鼓励用户点击恶意链接的社交工程消息，因此用户教育通常被认为是组织可以部署的最重要的防御措施之一。
持续数据备份： 勒索软件的定义说，它是恶意软件，旨在使支付赎金是恢复对加密数据的访问的唯一方法。自动化、受保护的数据备份使组织能够以最少的数据丢失从攻击中恢复，并且无需支付赎金。将定期数据备份作为常规过程进行维护是一种非常重要的做法，可以防止数据丢失，并能够在损坏或磁盘硬件故障时恢复数据。功能备份还可以帮助组织从勒索软件攻击中恢复。
修补：修补是防御勒索软件攻击的关键组成部分，因为网络犯罪分子通常会在可用的补丁中寻找最新发现的漏洞，然后以尚未修补的系统为目标。因此，组织必须确保所有系统都应用了最新的补丁，因为这可以减少企业中可供攻击者利用的潜在漏洞数量。
用户身份验证： 使用被盗的用户凭据访问 RDP 等服务是勒索软件攻击者最喜欢的技术。使用强用户身份验证可以使攻击者更难使用猜测或被盗的密码