通過將防御意識和防御準備相結合，就有很大的可能躲過勒索軟件的攻擊。通常，勒索軟件攻擊具有誤導性，這意味著防御者要么完全阻止攻擊，要么攻擊者完全控制其目標IT基礎設施。但過去幾年表明，防御者在應對勒索軟件攻擊方面的成功取決于一系列潛在結果，并且其中一些明顯優于其他結果。

我們也很容易想象，所有從事勒索軟件業務的團隊都擁有相同的技能，相同的目標，并在相同的商業模式下運作。但與任何垂直行業的情況一樣，勒索軟件團體具有廣泛的技能、各種攻擊目標和不同的商業模式。

雖然現在大家都喜歡將REvil和DarkSide稱為提供勒索軟件即服務的“特許經營模式”很，但重要的是要記住，特許經營商實際上是自由職業的網絡犯罪分子。特許經營者為這些自由職業者提供后臺操作，但對他們的其他運營方式幾乎沒有影響。

鑒于上述情況，讓我們考慮一下可能影響攻擊結果的每個因素。

攻擊者技巧和持久性

攻擊者的技能和防御者的技能——再加上一些運氣因素——通常決定了攻擊可能進展到何種程度：

• 低技能：一些攻擊者可能擅長攻擊安全實踐滯后的組織，但通常會在具有強大防御能力的組織中遇到他們的對手
•  錯誤的技能：擁有可用于攻擊傳統數據中心的技能和工具的攻擊者將難以攻入已將所有內容移至云端的目標
• 運氣不好：被鎖定的組織組織通常被鎖定，但可能會被暫時暴露從而讓攻擊者有發現的可能
•  運氣較好：那些持續開放（例如，在AWS enclave中對外部開放RDP訪問）的組織運氣很不錯，因為沒有攻擊者遇到它

攻擊者的目標

攻擊組也可能專注于以泄漏為中心與以運營為中心的目標。

以泄漏為中心的目標涉及泄露和威脅泄漏屬于目標組織的機密數據。這方面最有價值的數據通常是與目標客戶和員工相關的數據，因為潛在的聲譽和法律責任是支付贖金的有力誘因。

或者，公開披露或出售知識產權或商業秘密也可以促使目標組織支付贖金。此類攻擊的策略通常涉及向受害者發送數據樣本以顯示攻擊者擁有的數據。從那里，它可以升級為公開數據樣本并聯系受害者的客戶，向受害者施加壓力以支付贖金。

以泄漏為中心的攻擊的一個例子是與REvil相關的對Quanta的攻擊，該攻擊泄露了未來Apple產品設計的規范。攻擊者首先向Quanta索要5000萬美元的贖金，但很快就認定蘋果財力雄厚，并試圖勒索5000萬美元，以換取不公開泄露數據，或將其出售給蘋果競爭對手。

以運營為中心的目標包括試圖削弱受害組織繼續運營的能力。這些攻擊有時集中在傳統的IT系統上，有時則針對作為OT（操作技術）的系統，但這些系統通常由傳統IT（例如Windows NT）技術組裝而成。

該方案通常不存在機密數據的泄露或出售數據的情況。與DarkSide相關的對Colonial Pipeline的攻擊（支付了450萬美元的贖金）和與REvil相關的對JBS Foods的攻擊（支付了1100萬美元的贖金）正是針對這一目標：支付贖金是為了確保公司及時恢復正常運營的能力。

成功程度

有幾個因素（包括運氣）限制了勒索軟件攻擊的可能結果。可能的結果包括：

• 攻擊者在目標組織上進展不足并放棄。這可能是由于攻擊者發現成功實施攻擊的難度很高，或者因為攻擊者同時進攻的其他一些目標看起來更有希望，因此將此視為機會成本。無論哪種方式，都不需要再支付贖金。
• 攻擊者在一定程度上取得了成功，并相信自己在索要贖金方面具有一定的影響力，但最終并未支付贖金。這些情況下，結果通常是產生一些運營影響或聲譽損害。
• 攻擊者在一定程度上取得了成功，并且贖金請求足夠溫和，受害者可能會選擇支付贖金，因為它的成本低于恢復工作的成本。這也可能受到受害者擁有提供勒索軟件保險的網絡保險單的影響。
• 攻擊者成功接觸到了核心業務，并有效地阻止了受害組織繼續開展業務。在這種情況下，受害組織可能會支付贖金（Colonial Pipeline，JBS Foods）并相對較快地恢復服務。或者他們拒絕支付（參見巴爾的摩市的RobbinHood攻擊或亞特蘭大市的Samsam攻擊）并最終從頭開始重建他們的IT基礎設施。

結論

您應該列出各種場景，包括攻擊者追求針對的以泄漏為中心和以運營為中心的目標，并思考您如何應對攻擊者部分或是完全的成功：

• 了解您的網絡保險政策的范圍以及它有哪些限制。
• 如果涉及贖金請求，您的網絡保險提供商會指派人員來處理贖金談判嗎？
• 你有事件響應公司嗎？
• 您的災難恢復計劃有多強大？

這些類型的許多問題都會逐漸浮現出來，這將幫助你在遭受攻擊時做好更充分的準備。

本文翻譯自：https://threatpost.com/a-guide-to-surviving-a-ransomware-attack/180110/如若轉載，請注明原文地址。