譯者 | 晶顏

審校 | 重樓

勒索軟件格局仍在持續演變，攻擊者正不斷創新策略來滲透系統并破壞數據。鑒于勒索軟件組織已將平均贖金金額提升至驚人的200萬美元，組織必須優先考應對慮勒索軟件的準備方案，以避免毫無準備和不受保護所造成的高昂成本。

實現應對勒索軟件的準備包括主動評估和降低勒索軟件風險的方法。全面的勒索軟件準備評估對于識別系統中的漏洞至關重要，確保您可以實施有效的措施來保護數據和進行操作。這種準備不僅有助于防御潛在的攻擊，而且還可以在攻擊發生時將影響降至最低。

本文將深入研究應對勒索軟件準備工作的基本組成部分，提供見解和策略來幫助企業加強自身防御。從了解勒索軟件的最新趨勢，到進行全面的風險評估，以及制定有效的應對計劃，本文將指導您完成必要的步驟，以加強對勒索軟件的防范。通過優先考慮這些措施，您可以顯著降低成為勒索軟件受害者的風險，以及通常伴隨此類攻擊而來的毀滅性財務和聲譽損失。

了解勒索軟件攻擊

勒索軟件是一種惡意軟件，旨在加密設備上的文件，使文件和系統無法使用。隨后，惡意行為者通常會以加密貨幣的形式索要贖金，以換取解密密鑰。如果不支付贖金，勒索軟件攻擊者將威脅出售或泄露竊取的數據。

研究表明，勒索軟件攻擊已成為當今組織面臨的最普遍且最具破壞性的網絡威脅之一。這些攻擊通常始于用戶無意中通過網絡釣魚郵件、惡意網站或受感染的軟件下載了惡意軟件。一旦惡意軟件被執行，它就會迅速加密受害者的文件，將他們鎖定在關鍵數據和應用程序之外。

勒索軟件的一個顯著特征是它的“雙重威脅”性質。它不僅會加密數據以破壞業務操作，還經常涉及數據泄露。攻擊者先竊取敏感信息，并以此為籌碼威脅如果他們的要求得不到滿足，就釋放或出售這些數據。這種形式的“雙重勒索”大大增加了受害者支付贖金要求的壓力，因為數據泄露和機密信息暴露的可能性會導致無法挽回的聲譽和財務損失。

多年來，勒索軟件持續發展，攻擊者不斷開發更復雜的策略來增加成功的幾率。現代勒索軟件變種通常使用先進的加密算法，如果沒有解密密鑰，幾乎不可能破解。此外，勒索軟件活動的目標也越來越明確，攻擊者進行了廣泛的研究，以鎖定高價值目標，例如醫療保健組織、金融機構和大型企業，這些目標更有可能支付大筆贖金。

勒索軟件風險演變過程

傳統上，勒索軟件的運作模式是“機會主義”勒索，攻擊者撒下一張大網，誘騙個人受害者一次性付款。隨著勒索軟件即服務（RaaS）模式的出現，網絡犯罪分子開始利用更有組織、更商業化的方法來部署攻擊，使其能夠最大限度地破壞和獲取潛在的贖金。自此，威脅形勢可謂發生了翻天覆地地變化。

RaaS降低了業余威脅行為者部署勒索軟件的門檻，允許他們通過租用惡意軟件和入侵劇本實現大規模的攻擊部署。這導致攻擊的頻率和復雜程度激增，對網絡安全防御戰略產生了深遠影響。

具體來看，勒索軟件風險的演變過程可以概述為如下方面：

過去：局部的勒索軟件攻擊

• 獨立工具部署；
• 文件加密和竊取；
• 可能出現單一備份。

現在：內部DoS

• 通過任何必要方式實現訪問；
• 勒索軟件作為催化劑；
• 無法恢復的受損備份；
• 大范圍的破壞；
• 對服務器和基礎機構的特權憑據訪問；
• 涉及贖金、勒索和出售數據等多種牟利方式；
• 引入勒索軟件即服務（RaaS）模式。

未來：升級的RaaS

• 自動化的持續和廣泛應用；
• 有組織化的破壞；
• 跨外包軟件的數據加密，其中憑據訪問將擴展至SaaS系統（包括會計、薪資、CRM等）。

勒索軟件攻擊媒介

勒索軟件攻擊利用各種攻擊媒介滲透系統并部署惡意有效載荷。了解這些媒介對于預防勒索病毒感染和降低勒索病毒風險至關重要。

1.網絡釣魚和商業電子郵件攻擊

勒索軟件攻擊的主要載體仍然是網絡釣魚電子郵件，它涉及發送看似合法的欺騙性電子郵件，誘騙收件人點擊惡意鏈接或下載受感染的附件。商業電子郵件攻擊（BEC）是一種復雜的網絡釣魚形式，攻擊者可以訪問企業電子郵件帳戶并使用它進行欺詐活動，包括分發勒索軟件。

與以往的網絡釣魚郵件和BEC攻擊不同，惡意郵件的語言和風格已經發生了很大的變化——特別是隨著ChatGPT等生成式人工智能工具的引入。攻擊者現在可以使用這些工具使他們的電子郵件看起來更逼真，甚至可以匹配一個人自己的風格和語言。這使得用戶更難以區分真正的電子郵件和網絡釣魚電子郵件，因此必須格外警惕。

2.基于瀏覽器的攻擊

除此之外，各種社會工程策略也開始興起，以提高攻擊者成功的機會。其中一種策略是搜索引擎優化（SEO）中毒，即創建惡意網站，然后對其進行優化，以在搜索引擎結果中排名靠前。毫無戒心的用戶在搜索合法信息時可能會無意中訪問這些受感染的站點，從而導致勒索軟件感染。網絡犯罪分子還會利用惡意廣告，在熱門網站的廣告中嵌入惡意軟件，誘騙用戶下載勒索軟件。

3.濫用遠程桌面協議

遠程桌面協議（RDP）允許遠程訪問計算機，以便用戶從另一個位置控制它。網絡犯罪分子會利用弱的或受損的RDP憑據來獲得對系統的未經授權訪問，然后他們可以使用這些訪問來部署勒索軟件。使用強密碼、多因素身份驗證和定期監控來保護RDP對于降低這種風險至關重要。

4.濫用憑據

攻擊者經常從以前的入侵活動或通過交易市場獲得被盜或泄露的憑據。有了這些憑據，他們就可以獲得對網絡和系統的未經授權訪問，從而允許他們橫向移動和部署勒索軟件。

為應對勒索軟件做好準備

想要完全阻止勒索軟件是不現實的，因為勒索軟件攻擊是如此普遍。但了解如何準備和防御勒索軟件攻擊仍然至關重要。防范勒索軟件風險的關鍵策略包括強化系統、制定嚴格的預防措施、實現勒索軟件檢測和響應、部署恢復措施，以及通知相關當局和受影響方的應對計劃。

預測勒索軟件攻擊

組織需要通過以下方式預測勒索軟件攻擊：

• 將初始訪問向量作為勒索軟件風險的關鍵領域，并設計網絡安全策略，包括實施強大的電子郵件安全解決方案，執行強大的密碼策略，以及監控遠程訪問協議，以顯著降低未經授權訪問的風險。
• 通過滲透測試解決方案、漏洞掃描工具以及網絡釣魚和安全意識培訓計劃進行年度評估和測試。
• 部署端點檢測和響應（EDR）解決方案，實時監控和響應端點上的可疑活動。
• 利用主動威脅搜索功能和威脅情報服務，隨時了解最新的網絡威脅、戰術和漏洞。

抵御勒索軟件攻擊

組織需要能夠防御勒索軟件，并在其進一步傳播之前阻止它。為此，建議組織遵循如下策略：

• 與全天候MDR服務提供商合作，獲得全天候威脅檢測和響應能力，從而持續監控整個環境，實時遏制威脅。
• 了解攻擊者的存在，評估立足點，并對抗持久的訪問嘗試。
• 訪問原始威脅研究及基于最新威脅情報的見解，以領先于新出現的威脅、漏洞和勒索軟件風險。

從勒索軟件攻擊中恢復

從勒索軟件攻擊中恢復需要一個協調良好的響應策略，優先恢復操作，保護系統，并從事件中學習以防止未來的攻擊。具體建議如下：

• 快速隔離受感染的設備和網絡，防止勒索軟件進一步傳播。
• 立即激活事件響應計劃（IRP）以確保協調響應。該計劃應包括控制攻擊、根除勒索軟件、恢復系統以及與利益相關者溝通的步驟。一些事件響應提供商將提供IR就緒服務，通過提高事件響應的效率和有效性，幫助您超越傳統的IR計劃，從而消除停機風險。
• 通知關鍵的利益相關者（包括您的執行領導團隊、員工、客戶和合作伙伴）有關攻擊的情況。如有必要，請通知執法機構和監管機構，特別是在敏感數據泄露涉嫌違反法規遵從性的情況下。
• 徹底清理受感染的系統，以清除勒索軟件的所有痕跡，這可能涉及重新映像受影響的設備，重新安裝操作系統，以及恢復應用程序和數據。
• 聘請事件響應專家協助恢復過程，幫助進行取證分析，并提供有關補救步驟的指導。請記住，在發生勒索軟件攻擊時，有效的事件響應服務可快速實現控制，具有穩定性和組織性。

原文標題：Top Strategies for Ensuring Ransomware Readiness in 2024，作者：Mitangi Parekh