勒索軟件是一個遠程數字化惡意軟件，具有破壞性強和經濟影響高，影響范圍廣的特點，從尖端空間技術公司到羊毛工業，再到工業環境都受其影響。近期，勒索軟件將數據加密與數據泄露相結合，增加對受害者的影響。Mandiant情報研究表明，關鍵領域的防御力與行動力，可能會讓組織遭受署勒索軟件攻擊前阻止其行為。

Mandiant Intelligence回顧了2017年至2019年數十起勒索軟件事件調查。通過這項研究，從初始入侵向量、駐留時間和勒索軟件部署中識別出一些共同的特征。還發現攻擊者在利益最大化上的創新(圖1)。所有事件影響到了北美、歐洲、亞太和中東幾乎所有行業組織，包括金融服務、化學材料、法律和專業服務、地方政府和醫療保健等。

這些事件使我們對勒索軟件發展趨勢有了更深入的了解，但這些數據只是所有活動的樣本。例如，從2017年到2019年，勒索軟件事件增加了860%。這些事件中的大多數是被入侵后發生感染勒索行為，攻擊者正在利用入侵勒索的策略增加支付贖金的可能性。還觀察到勒索軟件被立即執行的事件，例如GANDCRAB和globeimparter，但大多數受害者被入侵時間較長，且在被入侵后部署了勒索軟件。

1. 常見初始感染載體

多個勒索軟件事件中的幾個初始感染媒介：包括RDP、帶有惡意鏈接或釣魚郵件，以及通過下載惡意軟件來進行后續活動。2017年觀察到RDP更頻繁，2018年和2019年有所下降。這些攻擊向量表明勒索軟件可以通過各種方式進入受害者環境，不是所有這些攻擊方式都需要用戶交互。

(1) RDP或其他遠程接入

最常見得攻擊向量之一是通過遠程桌面協議(RDP)登錄到受害者的系統，RDP登錄是受勒索軟件感染前的第一個證據，目標系統可能使用默認或弱憑據，攻擊者通過其他未察覺的惡意活動獲取有效憑據，攻擊者通過暴力破解獲取登錄憑據或者向其他組織個人購買了RDP訪問權限。

(2) 釣魚鏈接和附件

大量勒索軟件案件與網絡釣魚有關，這些活動出現了一些以經濟獲利為目的的惡意軟件家族：TRICKBOT、EMOTET和Factedamyy。

(3) 惡意文件下載感染

幾起勒索軟件感染可追溯到受害者訪問惡意網站導致DRIDEX感染。在2019年10月發現受感染的Web基礎設施，這些基礎設施提供了FAKEUPDATES，DRIDEX等惡意文件。

2. 感染時間

大多數勒索軟件部署發生在感染后的三天或三天以上，從第一次發現惡意活動到部署勒索軟件之間經過的天數從0到299天不等(圖2)。駐留時間的范圍很長，基本上第一次訪問和勒索軟件部署之間存在時間間隔。在75%的事件中，從最初的惡意活動到勒索軟件部署之間要經過三天及以上。

表明許多組織如果能夠快速檢測、控制和補救，就可以避免勒索軟件感染造成重大損害。幾項調查發現有證據表明勒索軟件安裝在受害者機器中，但尚未成功執行。

3. 部署時間

勒索軟件通常在下班后部署，在審查的76%的事件中，勒索軟件是在周末或上午8:00之前下午6:00之后執行的，如圖3和圖4。

一些攻擊者可能有意選擇在下班后，周末或節假日期間部署勒索軟件，最大程度發揮其有效性。 在其他情況下，攻擊者將勒索軟件部署與用戶操作關聯。 例如，在2019年針對零售和服務公司攻擊事件中，攻擊者創建了Active Directory組策略，可根據用戶登錄和注銷來觸發勒索軟件。

4. 意見建議

• 企業需要使用電子郵件和主機的安全產品，預防和檢測常見的惡意軟件，例如TRICKBOT，DRIDEX和EMOTET。
• 快速遏制和補救感染，防止攻擊者進行后續活動或出售訪問權。
• 網絡外圍和防火墻規則審核，識別任何無法訪問Internet的系統。 禁用RDP和其他協議，啟用多因素身份驗證，尤其是可通過Internet訪問的連接。
• 強制實施多因素身份驗證，不允許尚未設置多因素機制的用戶進行單因素身份驗證。
• 定期對所有員工進行反網絡釣魚培訓。
• 盡可能實施網絡分段，防止潛在的感染擴散。
• 關鍵數據備份，確保業務連續性;必要時異地存儲，攻擊者經常將備份作為目標。
• 限制本地管理員帳戶使用特定的登錄類型。
• 使用LAPS解決方案為每個系統生成唯一的本地管理員密碼。
• 禁止將明文密碼存儲在內存中。
• 考慮勒索軟件感染網絡保險。