不講武德?警惕雙重加密勒索軟件
被勒索軟件攻擊、關鍵數據被加密也許還不是最糟糕的。近日,反病毒公司Emsisoft發現多起“雙重加密勒索”,受害者的數據被多個勒索軟件先后加密,或者被同一個勒索軟件對數據進行了兩次加密。
勒索軟件組織大多沒有道德底線和“契約精神”,很多受害者支付了贖金,恢復營業后,勒索軟件組織會二次光顧。此外,如今越來越多的勒索軟件采用“雙重勒索”策略,攻擊者加密目標系統數據之前會先竊取數據,因此,即便受害者有備份數據,勒索軟件依然可以用泄漏數據作為要挾勒索贖金。
如果說“雙重勒索”只是確保受害企業支付贖金,那么勒索軟件團伙最新升級的策略——“雙重加密”,更加讓人發指:
勒索軟件黑客會對受害者的數據進行兩次加密,并且索要兩份贖金。
以前業界觀測到的兩次加密勒索軟件攻擊,往往是“意外”,通常是由兩個獨自行動的勒索軟件幫派恰巧同時攻擊了同一個受害者造成的。而“雙重加密”則是單一勒索軟件團伙對受害者有意為之的攻擊方式。
根據反病毒公司Emsisoft的報告,該公司已經發現數十起”雙重加密“勒索軟件攻擊事件,勒索軟件團伙有意將兩種類型的勒索軟件組合使用。
Emsisoft威脅分析師布雷特·卡洛(Brett Callow)說:“這些勒索軟件團隊一直在努力找出最好的勒索策略,用最少的精力賺到最多的錢。遭受雙重加密攻擊的受害者發現,他們繳納贖金解密的數據,仍然處于被加密狀態。”
Callow透露,有些受害者立即收到了兩張贖金通知,這意味著在這些攻擊中黑客希望他們的受害者知道遭受的是雙重加密攻擊。但是,在某些情況下,受害者在支付了消除第一層加密的費用后,才會看到第二條贖金通知,需要第二次付費才能解開第二層加密。
Callow說:“即使在標準的單層加密勒索軟件案例中,數據恢復也常常是噩夢,更糟糕的是,如今我們越來越多地看到雙重加密攻擊,我們認為企業在考慮他們的勒索軟件響應時應該意識到這一點。”
Emsisoft已經發現了兩種截然不同的雙重加密勒索策略。首先,黑客使用勒索軟件A對數據進行加密,然后使用勒索軟件B對數據進行重新加密。另一個策略是所謂的“并行加密”攻擊,攻擊者對企業一部分數據使用勒索軟件A加密,對另外一些數據使用勒索軟件B加密,在這種情況下,雖然數據僅被加密一次,但受害者將需要“購買”兩個解密密鑰才能解鎖所有內容。研究人員還注意到,在并行加密攻擊中,攻擊者會盡可能采用兩種看上去非常相似的勒索軟件,這讓事件響應人員更難弄清正在發生的事情。
勒索軟件幫派通常以收益分享模式(RaaS)運作,其中一個小組開發并維護一系列勒索軟件,然后將其攻擊基礎設施租借給進行特定攻擊的“會員”。Callow指出,雙重加密適合此模型,直接實施攻擊的“會員”可以與兩個勒索軟件開發運營者分享收益。
此前,業界的報告已經顯示支付贖金的風險很大,因為只有8%的企業能夠在支付贖金后獲得全部數據的解密密鑰,雙重加密攻擊的“雙份贖金”增加了這種風險,同時也意味著企業備份和恢復數據能力比以往任何時候都更加重要。
但是Callow指出:“雖然從備份中恢復數據是一個漫長的復雜過程,但是雙重加密并不會使其進一步復雜化。如果您決定從備份中重建,那么您將重新開始,舊數據被加密多少次都無關緊要。”
對于最初沒有充分備份或不想花時間從頭開始重建系統的勒索軟件受害者來說,雙重加密攻擊構成了新的威脅。但是,如果發現更多的受害者不愿意為雙重加密攻擊“埋單”,那么攻擊者可能會選擇新的策略。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
