在本周的RSA 2020會議上，F(xiàn)BI特別探員Joel DeCapua分享了關(guān)于勒索軟件相關(guān)的話題。FBI通過私人分享或者VirusTotal等渠道收集比特幣錢包和贖金記錄，來統(tǒng)計近六年來受害者支付了多少贖金。

[[316631]]

據(jù)DeCapua的數(shù)據(jù)，在2013年1月10日至2019年7月11日期間，大約有價值144350000萬美元的比特幣支付給了勒索軟件攻擊者，這損失并不包括與攻擊相關(guān)的運營成本，而是純粹的贖金支付。

通過分析獲得贖金的勒索軟件家族，Ryuk以總計6126萬美元的贖金收入脫穎而出。排在第二位的是Crosis/Dharma，收入為2448萬美元，其次為Bitpaymer，收入為804萬美元。

需要注意的是，全球范圍內(nèi)在過去六年里，因勒索攻擊造成的實際支付贖金必定遠(yuǎn)超F(xiàn)BI所統(tǒng)計的數(shù)字，因為有大量贖金記錄和加密貨幣錢包是無法獲取到的。其次，很多公司對勒索攻擊事件實行嚴(yán)格保密，以防影響股價。

Joel DeCapua在RSA 2020 演講實錄：https://v.qq.com/x/page/b30739kvjg6.html

FBI提供勒索軟件防御技巧

在DeCapua的分享中，還提供了一些關(guān)于企業(yè)如何抵御勒索軟件攻擊的建議。

1. RDP占網(wǎng)絡(luò)入侵的70%-80%

DeCapua 指出，Windows 遠(yuǎn)程桌面協(xié)議 (RDP) 是攻擊者在部署勒索軟件之前訪問網(wǎng)絡(luò)的最常見方法。有70%-80%的勒索軟件都是以RDP作為最初的立足點。

因此，如果企業(yè)中使用RDP，建議使用網(wǎng)絡(luò)級身份驗證 (NLA)，要求客戶端在實際連接到遠(yuǎn)程桌面服務(wù)器之前通過網(wǎng)絡(luò)進(jìn)行身份驗證，這樣能夠有效提升安全性，與此同時，還需要對RDP帳戶使用唯一且復(fù)雜的密碼。

有條件的話，可以將所有 RDP 服務(wù)放在 VPN 之后，以便它們不能在互聯(lián)網(wǎng)上公開訪問。

2. 小心網(wǎng)絡(luò)釣魚攻擊

DeCapua 特別提到，除了通過RDP網(wǎng)入侵之外，勒索軟件多會利用網(wǎng)絡(luò)釣魚或者是遠(yuǎn)程代碼執(zhí)行漏洞。

所有用戶都必須警惕帶有附件的陌生郵件，要求您啟用內(nèi)容或啟用編輯，在與 IT 人員或系統(tǒng)管理員溝通之前之前，就不要輕易授權(quán)。

網(wǎng)絡(luò)釣魚越來越難被發(fā)現(xiàn)，而且越來越復(fù)雜，尤其是現(xiàn)在攻擊者試圖黑掉同事的帳戶，并利用他們來釣魚其他員工。

因此，對于任何帶有附件的電子郵件，請始終保持警惕，如果您不能100%確定它們是否安全，請在打開之前通過電話聯(lián)系發(fā)件人或與系統(tǒng)管理員聯(lián)系。

3. 保持軟件和操作系統(tǒng)的及時更新

每月的第二個星期二，微軟都會發(fā)布其軟件和 Windows 的安全更新，在更新發(fā)布后不久就披露POC漏洞利用是非常常見的，這對管理員和研究人員很有用，但也可供攻擊者用于攻擊。

因此，盡快安裝這些更新非常重要，尤其是面向公眾的服務(wù)(如 RDP、Exchange 等)。

4. 使用復(fù)雜密碼

每個人都知道需要使用不同的復(fù)雜密碼，來保證每個登錄賬戶的唯一性?？上В⒉皇撬腥硕紘?yán)格聽從這個建議，依然會在每個網(wǎng)站上使用相同的密碼。

這意味著如果其中一個站點遭到黑客攻擊，您暴露的憑據(jù)可能會被用于其他站點的憑據(jù)填充攻擊，甚至可能用于網(wǎng)絡(luò)登錄。

建議使用密碼管理器來管理復(fù)雜的密碼，可以有效提升每個賬戶的安全性。

5. 監(jiān)控您的網(wǎng)絡(luò)

DeCapua表示，企業(yè)中難免會有人遭受網(wǎng)絡(luò)釣魚、黑客攻擊或者其他形式的網(wǎng)絡(luò)入侵，因此始終監(jiān)控網(wǎng)絡(luò)中的可疑活動非常重要。

DeCapua 說：“你無法阻止入侵，但當(dāng)攻擊者橫向移動并試圖提升他們的權(quán)限時，行為就會變得很明顯。”

企業(yè)需要借助網(wǎng)絡(luò)監(jiān)控工具和入侵檢測系統(tǒng)，以檢測網(wǎng)絡(luò)中的可疑活動和流量。

6. 制定應(yīng)急計劃和備份

如果事故已經(jīng)發(fā)生，那么你最好需要有一個良好的應(yīng)急計劃和備份。

無論您多么努力地保護(hù)您的計算機和網(wǎng)絡(luò)，總會有人點擊錯誤的東西，或者服務(wù)器以某種方式暴露。

因此，請始終確保每晚都有經(jīng)過測試且可以正常使用的文件版本控制備份例程，包括無法通過云端訪問的離線備份。

一般的勒索軟件攻擊者也會針對性破壞受害者基于云的備份服務(wù)，并在加密之前刪除所有備份。因此，保留不能被入侵者擦除的脫機備份非常重要。