二次“撕票”?如何應對雙重勒索的新威脅
今天,許多企業已經開始應對其IT基礎設施可能遭受的勒索攻擊。對此,攻擊者又開始“鉆研”新策略以繼續謀取暴利,“雙重勒索”攻擊由此產生。網絡犯罪分子會利用受害組織迫切需要恢復運營的恐慌心理,勒索其支付高額贖金;同時,網絡犯罪分子的攻擊目的還擴展到造成盡可能多的破壞,包括大規模中斷影響人們日常生活的關鍵性服務,以獲取更多“贖金”收益。
今年早些時候,美國Colonial Pipeline因遭遇勒索軟件攻擊導致服務暫停,為了重新獲得系統控制權并繼續為用戶提供服務,該公司向犯罪分子支付了約500萬美元的比特幣贖金;同月,愛爾蘭一家健康服務企業也因頂不住壓力,最終向犯罪分子支付了2000萬美元贖金,以保護患者的個人數據不被泄露,但遺憾的是,盡管達成了協議,仍有數百記錄流入了暗網交易。
什么是“雙重勒索”?
“雙重勒索”攻擊是網絡犯罪分子用得越來越多的一種策略,攻擊者加密目標系統數據之前會先竊取數據,這樣一來,即便受害者有備份數據,勒索軟件仍然可以用泄露數據作威脅要求其支付贖金。
如果受害者不付款,甚至達成贖金協議后,攻擊者仍然會實施“點名羞辱”(name-and-shame)策略,而且根據Emsisoft的研究發現,采用該策略的網絡犯罪分子數量正在不斷增加,在收到的勒索軟件攻擊企業和公共部門機構的100,101份報告中,其中11.6%是由竊取和公布數據的犯罪團伙發起的“點名羞辱”式攻擊。
而且,構成威脅的不只有與暗網組織合作的網絡攻擊團伙。該機構的最新一項研究顯示,近三分之二(65%)的專家認為勒索團伙正在從網絡犯罪中獲利,而58%的專家則表示勒索團伙招募網絡犯罪分子進行網絡攻擊正變得越來越普遍。
更完善的防護計劃
攻擊者想要成功獲取贖金,就必須確保受害者無法恢復有用的數據。為此,攻擊者會禁用或破壞備份,并將魔爪伸向可用的生產數據。因此,企業組織想要充分應戰必須要重新考慮現有的數據恢復計劃,與使用標準化數據恢復流程相比,通過制定專門的受損數據風險管理計劃,更能幫助企業提高他們的賠率并更有可能恢復網絡受損數據。為成功實現該計劃,企業需要規劃五個關鍵步驟:
- 識別——識別并驗證組織的重要數據資產(VDA)。這是需要額外保護級別的數據,也是企業必須擁有的數據;
- 保護——提高恢復干凈數據幾率的能力。例如,可以避免網絡攻擊的故障安全副本;
- 檢測——識別控件中可能允許攻擊者訪問企業重要數據資產、增加企業風險的漏洞;
- 響應——在已發生的數據泄露事件之后需要遵循的計劃、流程和程序;
- 恢復——讓安全團隊為這種可能性做好排練、測試和實戰演習。
當然,除了外部勒索攻擊者之外,企業今天同樣容易受到更多內部威脅的影響,例如擁有網絡特權訪問權限卻心懷不滿的員工。而且,即便經歷過安全意識培訓,但人為失誤仍然是一種高發的風險,未經授權的網絡訪問有時候只需一次意外的嵌入式鏈接點擊即可實現。
隨著“雙重勒索”軟件的興起,企業組織正面臨著確保其業務平穩運行的持續壓力,同時公眾對數據收集警惕度的不斷提高,也使得企業為此類攻擊做好準備變得更加重要。
勒索軟件攻擊本身的威脅可能是有限的,但其對組織品牌聲譽和客戶信任的威脅卻很嚴重。在 “雙重勒索”軟件攻擊的危害真正產生之前,企業組織應該對整體業務及關鍵性數據資產進行全面梳理,并與企業管理層實時同步相關信息,確定在關鍵業務連續性保障時,哪些數據應該是優先事項。只有這樣,企業才能做好充足的準備,以確保他們有時間在勒索軟件攻擊危害爆發之前能盡早采取行動。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
