勒索軟件是一個(gè)遠(yuǎn)程數(shù)字化惡意軟件，具有破壞性強(qiáng)和經(jīng)濟(jì)影響高，影響范圍廣的特點(diǎn)，從尖端空間技術(shù)公司到羊毛工業(yè)，再到工業(yè)環(huán)境都受其影響。近期，勒索軟件將數(shù)據(jù)加密與數(shù)據(jù)泄露相結(jié)合，增加對(duì)受害者的影響。Mandiant情報(bào)研究表明，關(guān)鍵領(lǐng)域的防御力與行動(dòng)力，可能會(huì)讓組織遭受署勒索軟件攻擊前阻止其行為。

Mandiant Intelligence回顧了2017年至2019年數(shù)十起勒索軟件事件調(diào)查。通過這項(xiàng)研究，從初始入侵向量、駐留時(shí)間和勒索軟件部署中識(shí)別出一些共同的特征。還發(fā)現(xiàn)攻擊者在利益最大化上的創(chuàng)新(圖1)。所有事件影響到了北美、歐洲、亞太和中東幾乎所有行業(yè)組織，包括金融服務(wù)、化學(xué)材料、法律和專業(yè)服務(wù)、地方政府和醫(yī)療保健等。

這些事件使我們對(duì)勒索軟件發(fā)展趨勢(shì)有了更深入的了解，但這些數(shù)據(jù)只是所有活動(dòng)的樣本。例如，從2017年到2019年，勒索軟件事件增加了860%。這些事件中的大多數(shù)是被入侵后發(fā)生感染勒索行為，攻擊者正在利用入侵勒索的策略增加支付贖金的可能性。還觀察到勒索軟件被立即執(zhí)行的事件，例如GANDCRAB和globeimparter，但大多數(shù)受害者被入侵時(shí)間較長(zhǎng)，且在被入侵后部署了勒索軟件。

1. 常見初始感染載體

多個(gè)勒索軟件事件中的幾個(gè)初始感染媒介：包括RDP、帶有惡意鏈接或釣魚郵件，以及通過下載惡意軟件來進(jìn)行后續(xù)活動(dòng)。2017年觀察到RDP更頻繁，2018年和2019年有所下降。這些攻擊向量表明勒索軟件可以通過各種方式進(jìn)入受害者環(huán)境，不是所有這些攻擊方式都需要用戶交互。

(1) RDP或其他遠(yuǎn)程接入

最常見得攻擊向量之一是通過遠(yuǎn)程桌面協(xié)議(RDP)登錄到受害者的系統(tǒng)，RDP登錄是受勒索軟件感染前的第一個(gè)證據(jù)，目標(biāo)系統(tǒng)可能使用默認(rèn)或弱憑據(jù)，攻擊者通過其他未察覺的惡意活動(dòng)獲取有效憑據(jù)，攻擊者通過暴力破解獲取登錄憑據(jù)或者向其他組織個(gè)人購(gòu)買了RDP訪問權(quán)限。

(2) 釣魚鏈接和附件

大量勒索軟件案件與網(wǎng)絡(luò)釣魚有關(guān)，這些活動(dòng)出現(xiàn)了一些以經(jīng)濟(jì)獲利為目的的惡意軟件家族：TRICKBOT、EMOTET和Factedamyy。

(3) 惡意文件下載感染

幾起勒索軟件感染可追溯到受害者訪問惡意網(wǎng)站導(dǎo)致DRIDEX感染。在2019年10月發(fā)現(xiàn)受感染的Web基礎(chǔ)設(shè)施，這些基礎(chǔ)設(shè)施提供了FAKEUPDATES，DRIDEX等惡意文件。

2. 感染時(shí)間

大多數(shù)勒索軟件部署發(fā)生在感染后的三天或三天以上，從第一次發(fā)現(xiàn)惡意活動(dòng)到部署勒索軟件之間經(jīng)過的天數(shù)從0到299天不等(圖2)。駐留時(shí)間的范圍很長(zhǎng)，基本上第一次訪問和勒索軟件部署之間存在時(shí)間間隔。在75%的事件中，從最初的惡意活動(dòng)到勒索軟件部署之間要經(jīng)過三天及以上。

表明許多組織如果能夠快速檢測(cè)、控制和補(bǔ)救，就可以避免勒索軟件感染造成重大損害。幾項(xiàng)調(diào)查發(fā)現(xiàn)有證據(jù)表明勒索軟件安裝在受害者機(jī)器中，但尚未成功執(zhí)行。

3. 部署時(shí)間

勒索軟件通常在下班后部署，在審查的76%的事件中，勒索軟件是在周末或上午8:00之前下午6:00之后執(zhí)行的，如圖3和圖4。

一些攻擊者可能有意選擇在下班后，周末或節(jié)假日期間部署勒索軟件，最大程度發(fā)揮其有效性。 在其他情況下，攻擊者將勒索軟件部署與用戶操作關(guān)聯(lián)。 例如，在2019年針對(duì)零售和服務(wù)公司攻擊事件中，攻擊者創(chuàng)建了Active Directory組策略，可根據(jù)用戶登錄和注銷來觸發(fā)勒索軟件。

4. 意見建議

• 企業(yè)需要使用電子郵件和主機(jī)的安全產(chǎn)品，預(yù)防和檢測(cè)常見的惡意軟件，例如TRICKBOT，DRIDEX和EMOTET。
• 快速遏制和補(bǔ)救感染，防止攻擊者進(jìn)行后續(xù)活動(dòng)或出售訪問權(quán)。
• 網(wǎng)絡(luò)外圍和防火墻規(guī)則審核，識(shí)別任何無法訪問Internet的系統(tǒng)。 禁用RDP和其他協(xié)議，啟用多因素身份驗(yàn)證，尤其是可通過Internet訪問的連接。
• 強(qiáng)制實(shí)施多因素身份驗(yàn)證，不允許尚未設(shè)置多因素機(jī)制的用戶進(jìn)行單因素身份驗(yàn)證。
• 定期對(duì)所有員工進(jìn)行反網(wǎng)絡(luò)釣魚培訓(xùn)。
• 盡可能實(shí)施網(wǎng)絡(luò)分段，防止?jié)撛诘母腥緮U(kuò)散。
• 關(guān)鍵數(shù)據(jù)備份，確保業(yè)務(wù)連續(xù)性;必要時(shí)異地存儲(chǔ)，攻擊者經(jīng)常將備份作為目標(biāo)。
• 限制本地管理員帳戶使用特定的登錄類型。
• 使用LAPS解決方案為每個(gè)系統(tǒng)生成唯一的本地管理員密碼。
• 禁止將明文密碼存儲(chǔ)在內(nèi)存中。
• 考慮勒索軟件感染網(wǎng)絡(luò)保險(xiǎn)。