黑客动态播报 | 警惕！这种新型勒索攻击正在兴起！

一抹伤

　　在网络威胁无处不在的当下
3 A0 A' R+ I) P
　　企业遭遇勒索攻击是件很糟心的事

: E& _1 e9 H6 C6 h4 [　　但还有比这更糟心的
9 U; \; L: N, J
7 f  r" e* g* d3 Q( {- N　　那就是
8 C, o$ x& X$ f1 h, p4 M
　　同时被三伙黑客勒索!
. k6 V4 J: p- w: |8 T
　　三封勒索信
2 V2 F( p& k6 N& f" x, y
　　今年上半年,某汽车制造商在两周内遭遇了连续三起勒索攻击。

6 L  G9 l( y. k4 ]) d; u$ H; f* C　　三个勒索团伙都以同一个远程桌面协议(RDP)的错误配置为切入点发动袭击,他们各自执行勒索软件、加密数据、留下赎金要求,其中一些文件甚至被三重加密。
" [0 i1 o; e0 \
　　值得玩味的是,本起攻击事件中,第三家黑客组织BlackCat在撤场前不仅清理了自家活动痕迹,还将前两个攻击者LockBit和Hive的行为日志一并删除掉。

　　“同一时间段发起攻击”、“基于相同的漏洞获取网络权限”、“日志信息一起删除”——三起攻击的相似之处不止一星半点,难道是巧合吗?

( @: o+ f, i! r, C3 e% b　　
" `, ~/ b0 [) E7 w4 J$ s
; R1 |: `) [  s( U　　尽管目前研究人员尚未找到证据证明这三起攻击是犯罪分子协调好的预谋行为,但需要警觉的是,一股不同寻常的攻击风向正在勒索网络中兴起。
4 H/ d: j4 d* \7 Q
2 p4 l8 P3 r' I  n- w0 Q　　多重攻击

　　在一般认知里,地下网络犯罪集团之间大多存在黑吃黑的情况:他们相互争夺资源,千方百计阻止对方扩张,比如加密矿工通常会在同一个系统上灭掉竞争对手,远程访问木马(RAT) 看到其他恶意软件家族也会将其从受感染的系统中踢出去……
3 r# H( B  b8 N
$ W1 Q- F: N) m5 p5 B4 B# ^　　不过勒索软件攻击者似乎并没有遵循这一趋势,除了前述BlackCat帮忙删除前两家黑客组织活动日志,还有个例子是黑客组织Karakurt Team曾利用LockBit勒索团伙创建的后门窃取数据并勒索赎金。

8 c! G9 ~/ A* F/ p　　为什么勒索软件攻击者们会达成这种友好的合作呢?可能有如下原因:

% r( d5 o) F' F/ g7 L( X　　●勒索团伙之间不存在争夺CPU资源或僵尸网络规模的利益冲突,所以没必要扼杀竞争。

1 O! R; q; ?' f3 I$ n6 Y; L( d　　●初始访问代理 (IAB)为勒索软件铺平了道路。初始访问代理就是那些贩卖网络初始访问权限的人,他们先通过多种方式,如暴力访问远程桌面协议(RDP)或远程管理软件、利用系统中未修补的漏洞等获得受害者网络初始访问权限,之后再转售他人以获利。

9 \4 {2 X  c6 N& ]1 Y/ c　　自此网络犯罪分子不必在前期投入大量时间去识别目标、破解密钥,只需将精力用在部署更多攻击活动上,从而获得更高收益。

　　●近些年勒索软件的暴利吸引了不少犯罪者加入,勒索软件即服务(RaaS)也降低了网络攻击的门槛,在这个狼多肉少的拥挤市场上,黑客们可能认为对目标施加的压力越大(多次攻击),受害者支付的可能性就越高。
6 J. \9 F+ R/ [. A0 [; G0 n/ t7 y
* ^& F+ c! ]8 C& J5 R( J) k　　
2 x# G4 J( t9 q7 K7 p" S/ t
　　多重攻击现象对企业意味着灾难,一个绑匪的赎金要求已经吃不消了,更何况这些绑匪的数量要乘以N,多份赎金加起来,恐怕数十万、数百万乃至数千万美金都打不住。
' U# U& n) o  B% o& |5 s$ D
　　另外,受害者不仅要面对更多对手,而且业务数据经过重叠加密,要想在短时间内从这些攻击中恢复过来,技术困难可能难于上青天。
# S2 i/ A& L7 l( w. q2 g
/ v% n# V# i7 V; G5 f" c$ q( J3 g8 l; ~　　化被动为主动
9 g5 n8 x* ]; v
　　虽然黑客攻击手段不断翻新,网络威胁形势一直在演变升级,但这并非无解,应对安全风险,首要的法子是避免成为受害者。
& y8 [! Q* j9 g% q: Z. P3 [# s3 j( F
) B. B: q: {3 n8 D$ S) I' t, u　　组织可以在整个网络中实施强密码和多因素身份验证,如上述三重攻击事件所示,远程桌面协议等给黑客的登堂入室大开方便之门,但使用复杂密码和多因素身份验证在很大程度上可以抵御账户入侵威胁。
! Y- U' _- R; c/ _% a& j. Q
  O% C! |* k8 b# }- L1 M% ?! ]　　黑客用以入侵网络的另一种常见手段是利用漏洞,对此组织必须尽快应用安全更新,该打补丁打补丁,以免不法分子滥用已知漏洞与修复程序发起勒索攻击。
; o- F% Z# K# `6 E$ ?4 P4 ?. E
" F" [; N  Z3 V& Z/ r  k' `8 B　　另外,如果组织自身应对网络威胁的能力有限,可以信赖戴尔科技集团这样的专业选手。面对数据时代下的安全诉求,戴尔科技集团以全面完善的技术、解决方案和多种现代化手段,帮助企业加强数据安全、提高网络弹性,筑牢安全根基。

　　为了更好地帮助用户应对数据安全挑战,戴尔科技集团着力构建了“三位一体”的数据保护策略,即备份(BR)+容灾(DR)+数据避风港(CR),让企业用户面对不同威胁时可按需采取不同的保护措施。
* P- j* h0 y& N" x
　　“三位一体”数据保护以PowerProtect DD系列产品为基础构建,PowerProtect DD可无缝集成用户的现有环境与新型应用,建立统一的数据保护资源池,打破备份数据孤岛,简化多云工作负载的数据保护流程。

　　* PowerProtect DD数据保护专用存储设备采用英特尔?Xeon?可扩展处理器,可以快速、安全、高效地保护和管理用户数据,并为多云工作负载实现简化和高效运营。
( F, u! B; \% J( A
　　在这个数据保护体系中,备份(BR)方案以可靠、快速、低成本的恢复策略可满足企业用户对大规模数据的备份需求,容灾(DR)方案可为关键业务数据提供全面且高效的保护,避风港(CR)方案可自动执行端到端工作流,保护和隔离关键数据、识别可疑活动,并在需要时执行数据恢复,提高业务从网络攻击中恢复的能力。

　　特别值得一提的是PowerProtect Cyber Recovery避风港(CR)方案,作为应对网络威胁的大杀器,PowerProtect Cyber Recovery于2020年得到美国银行家协会联合多家金融机构和协会成立的非营利组织Sheltered Harbor正式认可,多年来在全球多个行业守护多家客户的网络安全。

( @8 o) F6 j4 `% C* q2 s$ Y　　Cyber Recovery 通过Air Gap网闸隔离机制和副本锁定机制阻断勒索病毒感染备份数据的可能性。为防止备份文件被恶意删除,系统同时对隔离保存库内的数据进行锁定,确保备份数据副本不可加密、不可篡改、不可删除。一旦“最坏情况”发生,还可迅速对数据进行隔离、清洗、扫描,让核心业务起死回生。
- N. U' V0 p3 B& a
7 V! p3 l" R, D+ k+ G　　同时,CyberSense可对存储区的所有数据执行完整的内容索引以确认完整性,并且在文件可能发生损害时发出报警,从而主动识别风险。借助Cyber Recovery方案,当生产系统的数据和备份数据遭遇勒索软件加密,数据避风港会基于干净的数据实现数据恢复和业务还原,提高数据保护和恢复的成功性,提升企业部署方案的信心。

　　在层出不穷的网络威胁态势下,戴尔科技集团永远是您值得信赖的合作伙伴,我们提供全面的网络弹性,助您安全地进行业务创新并实现突破。
# R# [' e. y9 m, N! B. {
1 s8 X& T" \8 R$ q: O　　

2 B4 Z& s' }; {: l* m. Z  e