鉴于 ” 勒索软件 ” 在新闻文章中呈现的频率,可能须要退后一步,理论思考该术语的含意。任何恶意软件或攻打,最终从受害者勒索赎金通常被称为勒索软件。个别的想法是加密受害者的数据,并承诺提供解密所需的密钥,以换取已付的赎金。
但也有十分不同类型的攻打,都被称为 ” 勒索软件 ”。让咱们从分析它们开始。
商品勒索软件
这种类型的勒索软件在主动驾驶仪上运行。尽管攻击者可能会制作一个独特的网络钓鱼流动,将恶意软件传送到特定指标,但一旦恶意软件进入零碎,它就会齐全自动化地执行其工作。对于这种类型的勒索软件,要求的赎金通常相当温和,其商业模式基于感化数千个零碎,并冀望肯定比例的受害者领取。
在本勒索软件的晚期版本(想想加密锁定器),每个胜利的感化导致单个零碎上的文件被加密。某些版本还无心中加密了零碎已装置的网络驱动器上的文件。
下一个进化步骤是恶意软件搜寻网络驱动器,零碎用户有权拜访但尚未装置的网络驱动器,并加密它们。在此步骤中,攻击者的现实指标从领取赎金以复原家庭照片的集体转移到将领取一个或多个赎金以复原业务要害文件的组织。进化的理由是明确的:通过加密更多的货色,领取赎金的可能性减少,因为这些加密文件中的一个或多个可能蕴含受害者不能没有的货色。
商品勒索软件的最初进化步骤来自于将其与蠕虫相结合。此术语是指自我复制恶意软件,它首先感化一个零碎,而后疾速感化相邻零碎,而后感化其街坊,等等。这样做的成果是坑骗单个网络钓鱼受害者,让勒索软件进入受害者的零碎,并从那里迅速感化受害者组织中的数千个零碎,而不须要这些零碎的用户也落入骗子之列。
人工操作勒索软件
与其商品兄弟不同,这种攻打包含更简单和更有针对性的攻打,最终导致对巨额赎金的需要。
指标攻打通常从组织中的初始立足点开始,须要采取许多步骤能力实现其指标。许多步骤是手动的,因为它们必须适应指标环境的细节和攻击者对指标组织的具体指标。大多数进行此类攻打的个人都应用一系列工具,但特定攻打的需要可能会扩充该工具链。
人工操作的勒索软件攻打通常须要数周工夫能力胜利。大部分工夫用于在指标组织网络的各个局部搁置所有攻打部件。在为攻打抉择的小时,所有攻打件同时通过加密以前确定的所有有价值的数据开始口头。
随着组织越来越长于进行备份(并确保它们可能理论复原备份),又呈现了另一个进化步骤:有价值的数据将被浸透并加密到位。领取,或者您的数据正本变得毫无用处,您的数据将被公开。
商品和人工操作的勒索软件都有一个独特的挑战:如何确保受害者领取赎金将导致数据被解锁(而不是泄露):第二,领取给该组织的资金不会用于更应受谴责的目标(如果受害者晓得可能赞助恐怖袭击,他们不太可能领取赎金)。
这就是勒索软件 ” 品牌 ” 发挥作用的中央。如果您据说带有 X 品牌勒索软件的人领取了赎金,并且依然失落了他们的数据,那么您领取赎金的可能性就更小了。每个勒索软件组实际上都有踊跃的旋转 P.R. 策略,并雇佣了一个客户胜利团队,以确保他们的 ” 客户 ” 在领取赎金时具备踊跃的体验。
最近的商业模式演变也产生了,黑暗面(击中殖民管道)和其他人为操作勒索软件的菌株的帮派曾经转移到特许经营模式。加盟商提供工具、口头手册和其余攻打基础设施,而加盟商则利用这些服务施行攻打,将已付赎金的肯定比例转发给特许经营者。
如何阻止勒索软件攻打
现有的商品勒索软件攻打通常能够在进入时被阻止(通过及时的斗争指标,或以威逼情报源提供 IoCs)。绕过预防措施的新商品勒索软件的范畴往往无限,因而一个好的备份 / 复原计划将起到作用。
蕴含更毒和疾速挪动的商品勒索软件更加艰难 – 微细分,零信赖,最低特权和其余政策驱动的管制能够帮忙遏制疫情。
人为操作的勒索软件攻打与其余有针对性的网络攻击十分类似,因为许多防备这些攻打的对策都是一样的。这意味着后卫的胜利不在于规范性政策、软化配置或某种保护性管制阈值。尽管在一点上是有用的,但一个足够有能源的攻击者最终会克服这些。
相同,针对人工操作的勒索软件的最佳进攻将是弱小的可见性和弱小的威逼狩猎和考察纪律的组合,目标是在歹意流动倒退到没有回报的境地之前发现歹意流动。无利的一面是,这种办法也将进步你的弹性的货色,如太阳能风供应链黑客。