勒索軟件即服務(RaaS)呈爆炸式發展
| 相信我,你也可以成為成功的網絡罪犯!簡單!低成本!一夜暴富!不需要花多年時間浸淫代碼編寫或軟件開發技藝。只需要下載我們簡單的勒索軟件工具包,就能讓您坐等錢財源源而來——享受在家辦公的舒適與彈指坐聽比特幣落袋聲的雙重快樂。 |
上面是虛擬出來的《勒索軟件宣言》,但事實情況也的確這樣。
開啟勒索軟件“事業”的小成本和簡單性,意味著近乎任何人,包括幾乎沒有IT經驗的那些,都可以成為成功的網絡罪犯。勒索軟件即服務(RaaS)的興起——惡意軟件作者招募“分發者”擴散感染再抽成的一種商業模式,讓上面的文字描述堪比電視購物銷售專家。
趨勢科技在最近的一篇博客帖子中更為正式地描述稱,“潛在分發者不需要太多資金或技術專業知識就能啟動;甚至毫無編程經驗的人也能發起勒索軟件攻擊活動。”事實上,某些勒索軟件包的價格還不足 $100。
換句話說,任何人都能干這事兒。
研究公司Osterman的一份白皮書揭示,勒索軟件處于“流行病”級別,去年近50%的美國公司都經歷過勒索軟件攻擊。而趨勢科技8月發布的一份報告發現了約80種新勒索軟件“家族”,比2016年上半年發現的增長了172%。在2015年,僅CryptoWall系列的1個老版本就攫取到約3.25億美元。
趨勢科技的報告發布之后,情況甚至更為糟糕了。9月底,增長率達到了400%。2015年,29個惡意軟件家族被發現,而今年9月,趨勢科技發現并封鎖了145個。鑒于此類威脅的動態本質,及時獲取和共享可行性情報是最大的挑戰。
DDoS攻擊能得到更多的媒體曝光——因為某產品或服務的所有用戶都會受到影響,關于其影響的新聞便會以典型網絡新聞的速度擴散。相反,勒索軟件往往除了公司內部的人之外無人得知,除非被勒索的公司、攻擊者或者受影響客戶公開消息。很多公司都不報告勒索軟件攻擊,而DDoS攻擊則是從設計上就盡可能地為人所知。
支付贖金絕對是迫不得已情況下的最后選擇。但不得不承認,勒索軟件是個正在發展中的產業,遠未達到巔峰,還僅僅在起步階段。大量公司的賬戶要么支付贖金,要么拉倒重來。賽門鐵克安全情報投放主管則認為,不僅僅攻擊數量有上升,贖金索要額度也在上漲。
| 平均贖金漲幅超2倍,現在達到了 $679 ,2015年還只是 $294。 |
2016年見證了贖金新記錄,名為7ev3n-HONE$T (Trojan.Cryptolocker.AD)的威脅索要每臺電腦13比特幣的贖金,換算成事發當時2016年1月的匯率,價值 $5,083。這種爆發式增長的原因之一可能是,即便有持續不斷的警告,大多數個人和公司依然不幸地漏洞滿身。即使有防護措施可用,他們也總是無視掉了。
最近對舊金山交通局的攻擊就是個例子。安全博主布萊恩·克雷布斯在其最近的一篇博文中指出,攻擊者實際上建議其受害者“閱讀此郵件并在重新接入互聯網前安裝安全補丁”,隨附據稱是Oracle發布的 WebLogic Server 漏洞補丁鏈接。但Oracle發布該補丁的時間是2015年11月10日——1年多前。
勒索軟件成功的另一原因,是安全研究人員需要時間來解密文件。以便提供封鎖它們的解決方案。該項工作正在進行。一旦研究人員破解了勒索軟件,他們就能創建特征碼或攻擊指標。
安全廠商飛塔、英特爾安全、Palo Alto Networks和賽門鐵克,成立了網絡威脅聯盟(CTA),采用共享威脅情報的方式來追蹤和分析惡意軟件。他們的一次聯合行動中就鎖定分析了CryptoWall家族。
據該聯盟稱,此項工作增強了每個成員的產品對該類威脅的防護能力,并通過其報告建立起了公眾意識。其他專家也歡迎共享威脅數據,但指出其仍是反應式的——更新、補丁和其他封鎖工具只有在威脅已經引發了損害之后才會出來。反病毒和反惡意軟件產品對易得手的東西防護給力,但威脅發展太快,任何工具都無法提供100%防護。
雖然CTA的目標值得鼓掌,這卻只是個會員制的俱樂部。為加入該俱樂部,你必須至少每天提供1000個與VirusTotal不重合的惡意軟件可執行文件。這一高門檻,意味著即便目標是好的,其包容性的不足卻幫不了那些受影響的人。更好的解決方案應是敞開大門,讓經過審查的公司和研究人員貢獻和研究那些樣本。
威脅信息的共享對與所有網絡威脅的作戰非常重要。但現實是,鑒于此類威脅的動態本質,及時獲取和共享可行性情報是最大的挑戰。沒有什么萬靈藥可以封鎖住所有威脅。但一個保護終端、網絡和云基礎設施的層次化聯網威脅防御,至少能讓公司管理應對勒索軟件威脅。
然而,最好的解決方案,是那些預防性的,包括:
- 及時安裝軟件更新和補丁
- 變得夠精明,不被網絡釣魚郵件欺騙。留心非預期的電子郵件,尤其是里面包含有鏈接或附件的情況。用戶應特別小心任何要求啟用宏以查看內容的微軟Office附件。除非你完全確定這是來自可信源的真實郵件,否則不要啟用宏。
- 經常備份,確保備份有額外的防護措施或離線存儲。
公司企業可以從限制對最重要數據的訪問開始,然后嚴格監視網絡異常。只要發現異常,可以自動在安全的位置創建文件備份。測試備份恢復也是很重要的。發生安全事件時,你最不想看到的,就是備份沒法恢復……
最后,專家對是否支付贖金問題看法各異。
有人認為“絕對不能支付贖金”。很多時候,即便支付了贖金,文件還是不能解鎖。看起來似乎只要贖金被支付了,犯罪分子就知道了這生意很好做,然后繼續進行這種類型的攻擊。
文件是否被解鎖是沒有保證的,而且之后再被攻擊的可能性還會上升。而且,即便攻擊者提供了解密密鑰,他也有可能已經滲漏了數據,然后在深網上售賣。
其他人也同意支付贖金是個不怎么樣的主意,但同時也認為,有時候乖乖交錢是唯一可行的辦法了。支付贖金絕對是迫不得已情況下的最后選擇。
從安全角度考慮,受害者絕對不應該支付,因為這只會鼓勵下一次索要更大額贖金的攻擊。但是,從公司角度考慮,如果不支付贖金業務就不能繼續運營,那么公司只能面對現實。
