與黑客討價(jià)還價(jià),勒索攻擊企業(yè)數(shù)據(jù)是關(guān)鍵
勒索攻擊已經(jīng)成為了全球黑客組織最受歡迎的攻擊方式,通過(guò)勒索攻擊能夠給黑客組織帶來(lái)巨大的利益,基本上全球每天都有企業(yè)被勒索攻擊,有些勒索攻擊導(dǎo)致企業(yè)的業(yè)務(wù)直接被中斷,有些勒索攻擊,企業(yè)已經(jīng)做好了數(shù)據(jù)備份,業(yè)務(wù)暫時(shí)沒(méi)有出現(xiàn)中斷,然而卻還是被勒索,這究竟是什么原因呢?
討價(jià)還價(jià)
筆者在跟蹤分析某個(gè)流行勒索病毒家族樣本的時(shí)候,發(fā)現(xiàn)了國(guó)外某企業(yè)與黑客在暗網(wǎng)上進(jìn)行“討價(jià)還價(jià)”的過(guò)程,黑客組織找企業(yè)要“封口費(fèi)”,不然就在暗網(wǎng)上公布和出售企業(yè)的數(shù)據(jù)。
受害企業(yè)通過(guò)黑客提供的勒索信息,找到黑客組織,黑客直接開(kāi)口150萬(wàn)美元,并申稱盜取了企業(yè)200G的數(shù)據(jù),這些數(shù)據(jù)包含企業(yè)的會(huì)計(jì)、法律文件、財(cái)務(wù)、合同和私人信件等數(shù)據(jù),如下所示:
黑客聲稱如果不支付,就會(huì)把企業(yè)的數(shù)據(jù)在黑客論壇上進(jìn)行發(fā)布并公開(kāi)出售,這個(gè)時(shí)候受害者肯定需要驗(yàn)證黑客是不是真的盜取了企業(yè)的數(shù)據(jù),于是受害者要黑客提供盜取數(shù)據(jù)的相關(guān)證據(jù),黑客給受害者提供了盜取數(shù)據(jù)的30%的信息樹(shù),如下所示:
黑客給受害者提供了相關(guān)的數(shù)據(jù)樹(shù)信息,如下所示:
這個(gè)時(shí)候受害者為了驗(yàn)證數(shù)據(jù)的有效性,隨機(jī)找了幾個(gè)重要的文件,讓黑客提供這幾個(gè)文件來(lái)驗(yàn)證是否真的盜取了,如下所示:
黑客給受害者發(fā)送了這幾個(gè)文件,得到了驗(yàn)證,確實(shí)企業(yè)的數(shù)據(jù)被盜取了,于是企業(yè)開(kāi)始評(píng)估這些數(shù)據(jù)的價(jià)值,最后給黑客組織開(kāi)出了只能支付15萬(wàn)美元的要求,如下所示:
經(jīng)過(guò)一輪的“討價(jià)還價(jià)”,最后企業(yè)將贖金提升到了20萬(wàn)美元,但黑客也給出了90萬(wàn)美元的價(jià)值,好像是在菜市場(chǎng)買菜講價(jià)一樣,企業(yè)也在評(píng)估這些數(shù)據(jù)的價(jià)值,同時(shí)黑客也會(huì)做出相應(yīng)的讓步,然后企業(yè)又提高了贖金,漲到了22.5萬(wàn)美元,黑客也相應(yīng)的給出了讓步,變成了87.5萬(wàn)美元,如下所示:
這場(chǎng)與黑客組織的“討價(jià)還價(jià)”,就這樣進(jìn)行中,最后這家企業(yè)會(huì)支付多少贖金呢?目前他們?cè)敢庵Ц兜内H金從最初的15萬(wàn)美元漲到了22.5萬(wàn)美元,黑客也從最初的150萬(wàn)美元降到了87.5萬(wàn)美元,這個(gè)過(guò)程其實(shí)就是企業(yè)和黑客雙方都在評(píng)估數(shù)據(jù)價(jià)值的過(guò)程......
勒索攻擊
其實(shí)對(duì)于勒索攻擊,就像筆者之前的文章中提到的,業(yè)界一直存在的兩個(gè)誤區(qū):
(1) 防勒索攻擊,不僅僅是防勒索病毒,需要防御的是黑客組織一整套攻擊流程,以及在整個(gè)攻擊鏈的各個(gè)環(huán)節(jié)中出現(xiàn)的各種不同功能的惡意軟件以及相關(guān)漏洞。
(2) 防勒索攻擊,不僅僅是備份企業(yè)數(shù)據(jù),就萬(wàn)事大吉了,勒索攻擊的關(guān)鍵已經(jīng)不僅僅是在中了勒索病毒之后,企業(yè)能不能拿到解密工具,解密數(shù)據(jù),快速恢復(fù)業(yè)務(wù)這么簡(jiǎn)單了,而是在黑客入侵安裝了惡意軟件之后,這一段潛伏期內(nèi),企業(yè)的核心數(shù)據(jù)是否被黑客盜取,將來(lái)這些數(shù)據(jù)會(huì)不會(huì)在暗網(wǎng)上公開(kāi)售賣。
關(guān)于這兩個(gè)誤區(qū),更詳細(xì)的內(nèi)容可以參考筆者之前寫的一篇文章《從HSE攻擊事件漫談針對(duì)勒索攻擊防御的兩大誤區(qū)》,勒索攻擊不等于勒索病毒,使用勒索病毒僅僅是勒索攻擊中的一種手段,事實(shí)上勒索的核心點(diǎn)是企業(yè)的數(shù)據(jù),之前很多企業(yè)的數(shù)據(jù)被盜,黑客組織也會(huì)在暗網(wǎng)上進(jìn)行售賣,但這種方式似乎還不能給黑客組織帶來(lái)快速的收益,隨著勒索病毒的發(fā)展,勒索攻擊成了一種主流,之前一些黑客組織也快速的更新了自己的經(jīng)營(yíng)模式,開(kāi)始通過(guò)公布企業(yè)核心數(shù)據(jù)來(lái)勒索企業(yè)支付“封口費(fèi)”,這種方式似乎在未來(lái)會(huì)成為另一種勒索的模式。
總結(jié)
不管是直接通過(guò)勒索病毒加密企業(yè)數(shù)據(jù),還是通過(guò)各種不同類型的惡意軟件長(zhǎng)期潛伏盜取企業(yè)核心數(shù)據(jù),其實(shí)這兩種勒索攻擊的方式的核心是一樣的,那就是企業(yè)的數(shù)據(jù),所以保護(hù)好企業(yè)的數(shù)據(jù)就是防止勒索攻擊的關(guān)鍵,數(shù)據(jù)安全一直是黑客攻擊的重點(diǎn),不是是以前,還是現(xiàn)在,或者是將來(lái),黑客獲利的關(guān)鍵就是企業(yè)的數(shù)據(jù),獲取企業(yè)的數(shù)據(jù)有很多種方式,有些是“內(nèi)鬼”、“間諜”,有些是惡意軟件盜取,有些可以通過(guò)某些漏洞獲取,但是不管哪種方式,勒索攻擊事實(shí)上已經(jīng)發(fā)展成了 APT 攻擊模式,防勒索攻擊就是防御APT定向攻擊,企業(yè)的數(shù)據(jù)被黑客組織竊取或破壞,才是勒索攻擊的核心目標(biāo)。
其實(shí)黑客組織一直在活動(dòng),曝光的永遠(yuǎn)只是冰山一角,筆者一直致力于研究全球各種惡意軟件家族,最近又有幾款新型的勒索病毒和竊密木馬出現(xiàn),而且功能非常強(qiáng)大,后面有空再給大家分享,惡意軟件是與黑客組織最直接,也是最有效的溝通橋梁,通過(guò)研究各種惡意軟件家族,你能更深入的了解黑客組織都在干什么?想做什么?目標(biāo)是什么?通過(guò)什么方式來(lái)進(jìn)行攻擊?使用了什么攻擊流程?黑客組織的運(yùn)營(yíng)模式又是什么?他們下一步打算做什么?通過(guò)分析惡意軟件,你還可以從樣本中獲取到很多非常有價(jià)值的威脅情報(bào)信息。
我常常說(shuō)做安全分析就像警察辦案抓罪犯一樣,只有通過(guò)技術(shù)手段分析,不斷猜測(cè)罪犯的犯案過(guò)程,做到知已知彼才能抓到罪犯,前段時(shí)間看了國(guó)內(nèi)出的一個(gè)新的電影《除暴》,其實(shí)里面的核心就是警察通過(guò)分析罪犯的做案手法,還原犯罪的過(guò)程,電影里面的那個(gè)警察憑借自己豐富的辦案經(jīng)驗(yàn),不斷分析罪犯的犯罪活動(dòng),知已知彼,還原甚至提前預(yù)測(cè)了罪犯的下一步活動(dòng),最后找到罪犯,并抓到了罪犯。
