根據(jù)最新的Sophos報告，勒索軟件試圖通過濫用受信任的合法程序來疏忽過去的安全控制措施，然后利用內(nèi)部系統(tǒng)加密最大數(shù)量的文件，并在IT安全團隊趕上之前禁用備份和恢復(fù)程序。

勒索軟件的主要模式

勒索軟件通常以以下三種方式之一進行傳播：

• 作為一種加密蠕蟲，它可以將自身快速復(fù)制到其他計算機上以產(chǎn)生最大的影響(例如WannaCry);
• 作為勒索軟件即服務(wù)(RaaS)，在暗網(wǎng)上以分發(fā)工具包的形式出售(例如Sodinokibi);
• 或通過自動主動攻擊者的攻擊方式，即攻擊者在對網(wǎng)絡(luò)進行自動掃描后，會手動部署勒索軟件，以尋找保護力較弱的系統(tǒng)。

加密代碼簽名勒索軟件

帶有購買或被盜的合法數(shù)字證書的加密代碼簽名勒索軟件，試圖說服某些安全軟件該代碼是可信賴的，不需要分析。

特權(quán)提升

使用隨時可用的漏洞(例如EternalBlue)提升權(quán)限，以提升訪問權(quán)限。這使攻擊者可以安裝程序(例如遠程訪問工具RAT)，以及查看，更改或刪除數(shù)據(jù)，創(chuàng)建具有完全用戶權(quán)限的新帳戶以及禁用安全軟件。

跨網(wǎng)絡(luò)橫向移動和狩獵

攻擊者可以在一個小時內(nèi)創(chuàng)建一個腳本，以在網(wǎng)絡(luò)端點和服務(wù)器上復(fù)制并執(zhí)行勒索軟件。

為了加快攻擊速度，勒索軟件可能會優(yōu)先處理遠程/共享驅(qū)動器上的數(shù)據(jù)，首先針對較小的文檔大小，然后同時運行多個加密過程。

遠程攻擊的威脅

文件服務(wù)器本身通常沒有感染勒索軟件。相反，威脅通常在一個或多個受感染的端點上運行，濫用特權(quán)用戶帳戶，有時通過遠程桌面協(xié)議(RDP)或針對托管服務(wù)提供商(MSP)

通常使用的遠程監(jiān)視和管理(RMM)解決方案來遠程攻擊文檔。以管理客戶的IT基礎(chǔ)架構(gòu)和/或最終用戶系統(tǒng)。

文件加密和重命名

有多種不同的文件加密方法，包括簡單地覆蓋文檔，但是大多數(shù)方法都伴隨著備份或原始副本的刪除，從而阻礙了恢復(fù)過程。

勒索軟件攻擊的發(fā)展

“勒索軟件的創(chuàng)建者非常了解安全軟件的工作原理，并相應(yīng)地調(diào)整了攻擊方式。一切都旨在避免檢測，同時惡意軟件會盡快加密盡可能多的文檔，并且即使不是不可能，也很難恢復(fù)數(shù)據(jù)。

“在某些情況下，攻擊的主體發(fā)生在晚上，即IT團隊在家里睡著了。當受害者發(fā)現(xiàn)發(fā)生了什么事時，為時已晚。

“至關(guān)重要的是要具有強大的安全控制，監(jiān)管到位和響應(yīng)覆蓋所有端點，網(wǎng)絡(luò)和系統(tǒng)，并且及時安裝軟件更新最新版本。