2020年5月12日是WannaCry勒索軟件攻擊三周年，據(jù)估計(jì)，WannaCry攻擊已經(jīng)對全球150個(gè)國家/地區(qū)的數(shù)十萬個(gè)網(wǎng)絡(luò)終端造成了影響，損失總額高達(dá)40億美元。

WannaCry勒索軟件本身使用了兩個(gè)由NSA開發(fā)的獨(dú)立漏洞來感染網(wǎng)絡(luò)終端并在整個(gè)網(wǎng)絡(luò)中傳播，使用由NSA開發(fā)并由Shadow Brokers攻擊小組在線泄漏的DoublePulsar后門工具，WannaCry勒索軟件在受感染的網(wǎng)絡(luò)終端上安裝并執(zhí)行了自己的副本。然后，它使用EternalBlue漏洞(Shadow Brokers泄漏的另一個(gè)NSA工具)對網(wǎng)絡(luò)終端的數(shù)據(jù)進(jìn)行加密并感染了其他網(wǎng)絡(luò)終端，該漏洞濫用了未修補(bǔ)的Microsoft Windows操作系統(tǒng)中SMB v1協(xié)議的實(shí)現(xiàn)中的漏洞，并最終提出了勒索消息，要求支付比特幣才能解密加密數(shù)據(jù)。

WannaCry攻擊以及一些其他勒索軟件攻擊，這些漏洞又因新泄漏的NSA漏洞而浮出水面或特別針對這些勒索軟件進(jìn)行了攻擊，這被一些網(wǎng)絡(luò)安全從業(yè)者稱為2017年網(wǎng)絡(luò)安全災(zāi)難。

這次網(wǎng)絡(luò)安全的災(zāi)難，隨著勒索軟件攻擊的不斷涌現(xiàn)，證明了整個(gè)網(wǎng)絡(luò)攻擊尤其是勒索軟件具有毀滅性的破壞潛力。當(dāng)考慮到勒索軟件攻擊也破壞了英國國家衛(wèi)生服務(wù)局，導(dǎo)致挽救生命的手術(shù)和其他治療方法被推遲甚至取消，從而造成人員傷亡時(shí)，潛在的破壞力變得驚人。

自從這種特定類型的惡意軟件被傳播開來，2017年的地獄之夏被公認(rèn)為是簡短歷史上最大的勒索軟件爆發(fā)浪潮。然而，2017年勒索軟件攻擊造成的破壞只是一個(gè)非?？梢傻难葑冩溨械淖钚乱淮?。在過去的三年中，攻擊者一直在不斷升級(jí)和現(xiàn)代化這些大規(guī)模毀滅性武器，以使自己的貨幣收益最大化并造成更廣泛的破壞。

這樣的一個(gè)例子是勒索軟件即服務(wù)(RaaS)或勒索軟件會(huì)員程序的興起。在過去幾年的眾多案例和變種中，實(shí)際的攻擊者(即分支機(jī)構(gòu))無需具備任何類型的深厚技術(shù)技能，而無需具備傳播網(wǎng)絡(luò)釣魚電子郵件或誘騙人們雙擊電子郵件的能力。文件中，有一個(gè)特殊的例子值得特別注意。

GandCrab勒索軟件于2018年初首次出現(xiàn)，并向攻擊者提供“流量銷售、垃圾郵件發(fā)送和固定安裝渠道”。除了類似的RaaS服務(wù)產(chǎn)品外，GandCrab的創(chuàng)建者還承諾將專注于性能，靈活性和可靠性，同時(shí)為參與者提供持續(xù)的產(chǎn)品支持和更新以及技術(shù)支持。

在開始流通后的大約一年內(nèi)，GandCrab不斷進(jìn)行更新和維護(hù)，并付出了巨大的努力，以使其逃逸機(jī)制越來越先進(jìn)，以最大程度地減少通過不同安全解決方案對其進(jìn)行檢測和預(yù)防的機(jī)會(huì)，GandCrab的創(chuàng)建者宣布聯(lián)盟計(jì)劃的終止。在他們的通知中，他們聲稱自己獲得了一年內(nèi)1.5億美元的收入。據(jù)此，正式的GandCrab會(huì)員計(jì)劃聲稱已為其各種參與者賺取了超過20億美元的收入，受害者有成千上萬，包括組織和個(gè)人。據(jù)估計(jì)，該項(xiàng)目幾乎占據(jù)了全球RaaS市場的一半。

然而，即使在GandCrab的官方程序終止之后，RaaS和GandCrab的現(xiàn)代變種仍然在運(yùn)行。

GandCrab勒索軟件附屬程序廣告

另一個(gè)例子是在勒索軟件受害者無法支付贖金的情況下，從受感染的組織泄漏或發(fā)布敏感數(shù)據(jù)。與過去的勒索軟件不同，這些變種在加密任何數(shù)據(jù)之前，先將數(shù)據(jù)從受感染的網(wǎng)絡(luò)終端泄漏到攻擊者控制的服務(wù)器。然后，將泄漏的數(shù)據(jù)用作另一種威脅，有時(shí)甚至是更有效的威脅，以確保受害者支付贖金。

這種技術(shù)旨在處理許多情況，在這些情況下，由于有隨時(shí)可用的備份和結(jié)構(gòu)良好的業(yè)務(wù)連續(xù)性計(jì)劃，組織能夠從似乎具有破壞性的攻擊中恢復(fù)過來。

公開泄漏數(shù)據(jù)的威脅，涉及到將私人數(shù)據(jù)、敏感知識(shí)產(chǎn)權(quán)、金融信息、甚至用戶憑證發(fā)布到網(wǎng)上讓全世界看到所帶來的恐懼，以及對聲譽(yù)、商業(yè)和監(jiān)管的潛在損害。

出現(xiàn)勒索軟件威脅的第三個(gè)例子集中在運(yùn)營技術(shù)(OT)網(wǎng)絡(luò)和設(shè)備以及工業(yè)控制系統(tǒng)(ICS)。勒索軟件的最后一個(gè)系列一直面向全世界的工業(yè)和醫(yī)療行業(yè)，自COVID-19大流行開始以來，案件數(shù)量就出現(xiàn)了瘋狂的增長。

目標(biāo)是打擊那些沒有打補(bǔ)丁的系統(tǒng)，這些系統(tǒng)要么是由于控制工業(yè)系統(tǒng)的遺留軟件無法在現(xiàn)代操作系統(tǒng)上運(yùn)行，要么是過于敏感，無法承受大多數(shù)補(bǔ)丁和重啟周期，這些威脅很少面對有效的防御。

在許多情況下，由于系統(tǒng)的高度敏感性，被擊中的系統(tǒng)完全無法使用。因此，他們可能遭受任何宕機(jī)，更不用說由于勒索軟件攻擊而完全鎖定，對大多數(shù)組織來說都是災(zāi)難性的，導(dǎo)致他們幾乎立即愿意支付贖金。

與一些研究預(yù)計(jì)不同的是，勒索軟件似乎會(huì)一直存在下去。每當(dāng)勒索軟件案件減少，或其他更流行的威脅似乎在上升，新的創(chuàng)新技術(shù)和服務(wù)似乎就會(huì)出現(xiàn)。

也就是說，勒索軟件的攻擊是可以被緩解的，通過嘗試和測試的方法可以將潛在的破壞最小化：

不要下載不受信任的文件或附件，不要點(diǎn)擊任何未經(jīng)驗(yàn)證的鏈接。

定期備份個(gè)人和公司計(jì)算機(jī)，包括關(guān)鍵網(wǎng)絡(luò)終端和服務(wù)器。

實(shí)施一個(gè)結(jié)構(gòu)化和高效的補(bǔ)丁管理和軟件更新計(jì)劃，并在所有可能的操作系統(tǒng)和第三方軟件上執(zhí)行。

考慮對無法修補(bǔ)的網(wǎng)絡(luò)終端和極其敏感的數(shù)據(jù)資產(chǎn)實(shí)施完全隔離以最小化這些資產(chǎn)被破壞或被破壞的風(fēng)險(xiǎn)。

如果可能的話，不要支付贖金。付錢給攻擊者會(huì)激發(fā)他們更多的貪欲，而且主要是為了讓勒索軟件市場對威脅行為者更具吸引力。應(yīng)該指出的是，在許多情況下，支付贖金并不能保證恢復(fù)鎖定的文件。在某些情況下，甚至可以通過特別的恢復(fù)工具恢復(fù)數(shù)據(jù)。

使用網(wǎng)絡(luò)終端安全解決方案保護(hù)你的網(wǎng)絡(luò)終端。