前言

此前，HSE遭到嚴(yán)重的勒索軟件攻擊，愛爾蘭的醫(yī)療服務(wù)系統(tǒng)是該國的公共資助醫(yī)療系統(tǒng)，在受到勒索病毒攻擊之后，被迫在上周五關(guān)閉其 IT 系統(tǒng)，以此作為預(yù)防措施，避免威脅擴(kuò)散。

該事件導(dǎo)致該國家多家醫(yī)院的服務(wù)取消和中斷，幸運(yùn)的是，正在進(jìn)行的冠狀病毒疫苗接種活動(dòng)并未受到影響,這次勒索病毒攻擊的勒索金額高達(dá)2000萬美元，就此次攻擊事件筆者監(jiān)控到的一些信息與大家分享，漫談業(yè)界針對(duì)勒索病毒攻擊防御存在的兩大誤區(qū)，同時(shí)針對(duì)這兩大誤區(qū)，筆者也分享自己在處理勒索病毒攻擊時(shí)候的一些安全經(jīng)驗(yàn)，供大家參考學(xué)習(xí)。

[[401530]]

攻擊事件

筆者通過監(jiān)控某惡意軟件分享平臺(tái)，獲取到此次攻擊事件的樣本，并在在暗網(wǎng)上找到這款勒索病毒的聊天記錄，2021年5月14號(hào)這個(gè)勒索病毒黑客組織對(duì)HSE發(fā)起勒索攻擊之后，受害者與勒索病毒黑客組織聯(lián)系，該黑客組織聲稱自己是ContiLocker團(tuán)隊(duì)，并獲取了HSE高達(dá)700GB的重要數(shù)據(jù)，這些信息包含患者信息和員工信息、合同、財(cái)務(wù)報(bào)表、工資單等，如下所示：

需要HSE支付高達(dá)19,999,000 美元的勒索贖金，同時(shí)為了讓受害者相信已經(jīng)獲取了HSE的重要數(shù)據(jù)，黑客提供了一些相關(guān)數(shù)據(jù)進(jìn)行下載驗(yàn)證，隨后幾天黑客組織一直在催受害者交納贖金，并威脅說在下周一(2021年5月24日)在暗網(wǎng)上售賣或公布盜取的數(shù)據(jù)，如下所示：

2021年5月20日黑客給受害者免費(fèi)下發(fā)了解密工具，如下所示：

筆者下載了這款勒索病毒的解密工具，確實(shí)是可以解密的，解密工具名稱前綴使用了受害者的ID信息，如下所示：

2021年5月14日愛爾蘭總理就曾在新聞發(fā)布會(huì)上表示，他們將不支付任何贖金，在收到解密工具之后，HSE給黑客發(fā)送了法院的指令信息給黑客組織。

據(jù)FBI調(diào)查Conti勒索軟件在過去的一年中，襲擊了美國至少16個(gè)醫(yī)療保健和緊急服務(wù)機(jī)構(gòu)，影響了超過400個(gè)全球組織，其中290個(gè)位于美國。

針對(duì)這個(gè)勒索病毒的一些攻擊流程，國外安全廠商之前也分享過一個(gè)此勒索病毒的溯源分析案例，黑客攻擊大致流程，如下所示：

詳細(xì)的報(bào)告鏈接：https://thedfirreport.com/2021/05/12/conti-ransomware/

兩大誤區(qū)

筆者看過一些業(yè)界分享的關(guān)于勒索病毒防御的視頻直播等，現(xiàn)在業(yè)界針對(duì)勒索攻擊的防御，可能存在兩大誤區(qū)，這可能也是因?yàn)閷?duì)勒索病毒研究和理解不夠深入導(dǎo)致的。

第一個(gè)誤區(qū)：

現(xiàn)在認(rèn)為勒索病毒攻擊并不多，交納贖金的企業(yè)也并不多，其實(shí)就最近被曝光的幾起勒索病毒來說，交納的贖金已經(jīng)高達(dá)上億美元了，可見交納贖金的企業(yè)還是很多的，還有一些企業(yè)是選擇偷偷交錢，外界不知道。

第二個(gè)誤區(qū)：

僅靠某個(gè)單一的產(chǎn)品就能防御勒索?零信任防勒索?現(xiàn)在勒索病毒攻擊都是以定向化攻擊為主，不在是以前那種使用單一的方式來傳播勒索病毒了，如果連勒索病毒攻擊手法都沒搞清楚，也沒搞清楚這些勒索病毒是怎么進(jìn)來的，企業(yè)的數(shù)據(jù)又是通過什么方式丟失的，就想當(dāng)然通過某個(gè)單一產(chǎn)品或某個(gè)新的概念就能防勒索，就是認(rèn)知層面的差距了.

此外，現(xiàn)在已經(jīng)并不僅僅是防勒索病毒這么簡(jiǎn)單了，黑客的攻擊是使用了一整套完整的攻擊流程，利用了多種不同的惡意軟件，很多都是潛伏在企業(yè)多達(dá)幾周，幾個(gè)月了，等盜取了企業(yè)的重要數(shù)據(jù)之后，最后才使用勒索病毒加密數(shù)據(jù)，這種成熟的攻擊手法并不是靠某個(gè)產(chǎn)品就可以防御解決的，需要的是一整套解決方案，同時(shí)需要跟黑客比拼速度，搶在黑客進(jìn)行勒索病毒攻擊之前，也就是攻擊鏈接中間階段，迅速捕獲到威脅，然后清除威脅，阻止黑客進(jìn)一步攻擊行為，這種不是單純的某個(gè)產(chǎn)品或某個(gè)概念來防御的。

勒索病毒重在防御，目前大部分勒索病毒都是無法解密的，很多人說那我做好數(shù)據(jù)備份，是不是就可以防御勒索病毒，高枕無憂了，再不用擔(dān)心勒索病毒了?

確實(shí)，數(shù)據(jù)備份可以有效在某些程度防御勒索病毒，就算中了勒索病毒沒有解密工具企業(yè)的重要業(yè)務(wù)也不會(huì)停止，可以使用備份的數(shù)據(jù)快速恢復(fù)業(yè)務(wù)，但是勒索病毒黑客組織早就不僅僅是最初的單純的使用某個(gè)勒索病毒進(jìn)行加密攻擊，而是已經(jīng)使用了"竊密+勒索"相組合雙重攻擊模式，先盜取企業(yè)的重要數(shù)據(jù)，最后再通過勒索病毒加密企業(yè)數(shù)據(jù)，這樣當(dāng)企業(yè)的重要數(shù)據(jù)被泄露之后，雖然企業(yè)數(shù)據(jù)有備份，但有可能還是會(huì)被黑客”勒索“交納贖金，因?yàn)槔账鞴粢呀?jīng)變?yōu)榱税l(fā)展成另外一種新的雙重威脅模式。

這樣看來，企業(yè)的數(shù)據(jù)沒有備份，想要快速恢復(fù)業(yè)務(wù)，那就只能乖乖交錢解密恢復(fù)業(yè)務(wù)了，既使你的企業(yè)的數(shù)據(jù)是有備份的，是不是就不用交錢解密了呢?

就像這次愛爾蘭醫(yī)療機(jī)構(gòu)HSE一樣，黑客免費(fèi)給HSE提供了勒索病毒解密工具，那HSE是不是就不用交錢了?如果這個(gè)黑客組織真的盜取了這家醫(yī)療機(jī)構(gòu)高達(dá)700G的客戶數(shù)據(jù)，這些數(shù)據(jù)如果都是客戶的隱私數(shù)據(jù)，里面如果還包含一些重要人物的隱私數(shù)據(jù)，這些數(shù)據(jù)如果被公開，那可能損失的不僅僅是這2000萬美元了，至于企業(yè)的數(shù)據(jù)文件解不解密其實(shí)并不重要了，所以黑客才免費(fèi)給HSE受害者提供了解密工具。

HSE目前要做的可能是要需要安全專家去給企業(yè)做一次完整的溯源分析，確認(rèn)是不是有高達(dá)700G的客戶數(shù)據(jù)被泄露了，可能黑客只是盜取了很少的一部分?jǐn)?shù)據(jù)而已，并沒有像黑客說的那樣，盜取了企業(yè)高達(dá)700G的數(shù)據(jù)，這些問題HSE應(yīng)該也請(qǐng)了專業(yè)的安全應(yīng)急專家團(tuán)隊(duì)進(jìn)行了相應(yīng)的評(píng)估，最后發(fā)現(xiàn)可能黑客并沒有盜取這么多數(shù)據(jù)，也有可能盜取的數(shù)據(jù)并不太重要，也不是企業(yè)的核心數(shù)據(jù)，(猜測(cè))這也許就是愛爾蘭總理拒絕支付贖金的原因，或者是因?yàn)榕乱院笥懈嗟钠髽I(yè)被勒索攻擊，給國家造成更大的損失，所以拒絕支付贖金，至于后面是否支付了贖金，可能也是個(gè)未知數(shù)了。

很多企業(yè)被勒索之后選擇交錢的其實(shí)是有兩個(gè)原因，一個(gè)原因就是為了快速恢復(fù)業(yè)務(wù)，另外一個(gè)原因也是為了企業(yè)的數(shù)據(jù)不被泄露，被迫交納贖金，可能數(shù)據(jù)被泄露風(fēng)險(xiǎn)價(jià)值遠(yuǎn)大于勒索病毒的贖金吧，但是交了贖金，黑客還會(huì)不會(huì)公開這些數(shù)據(jù)或者在暗網(wǎng)渠道再次販賣這些企業(yè)的重要數(shù)據(jù)，就只能看這些黑客是不是“盜亦有盜”，講不講“武德”了。

此前因?yàn)榻患{贖金的企業(yè)太多了，有一些企業(yè)中了勒索病毒之后選擇默默交納贖金，才導(dǎo)致越來越多的黑客組織，甚至包含一些技術(shù)成熟的黑客組織也開始使用勒索病毒進(jìn)行攻擊快速獲利，比方Lazarus之前就利用勒索病毒發(fā)起勒索攻擊。

未來這種APT+勒索的定向攻擊方式應(yīng)該會(huì)成為勒索病毒網(wǎng)絡(luò)犯罪活動(dòng)的主流趨勢(shì)，這些被勒索病毒攻擊的企業(yè)最后為什么要交納贖金，也許就是筆者上面說的兩個(gè)原因吧，其實(shí)勒索病毒黑客組織一直在改變自己的攻擊方式以及勒索運(yùn)營模式，最開始單純的使用一些簡(jiǎn)單的攻擊方式，使用一個(gè)勒索病毒加密勒索，后面通過各種復(fù)雜的攻擊流程，進(jìn)入企業(yè)盜取企業(yè)重要數(shù)據(jù)之后，最后再使用勒索病毒攻擊，隨著勒索病毒黑客組織的發(fā)展，現(xiàn)在又多了一種勒索運(yùn)營模式，就是下面這種使用DDOS三重勒索的攻擊模式。

勒索病毒的攻擊已經(jīng)呈現(xiàn)定向化趨勢(shì)，企業(yè)備份數(shù)據(jù)固然很重要，然而僅僅靠備份數(shù)據(jù)來防止勒索病毒以及其他網(wǎng)絡(luò)犯罪黑客攻擊，是遠(yuǎn)遠(yuǎn)不夠了，勒索病毒攻擊從最開始的單純的“勒索”，發(fā)展到后面“勒索+竊密”，最近一些勒索病毒黑客組織還使用DDOS的方式，對(duì)受害者企業(yè)進(jìn)行攻擊，迫逼受害者交納贖金，如下所示：

這似乎成了另一種方式的“勒索”了，勒索攻擊未來還會(huì)有更多新型的表現(xiàn)形式，單純的防個(gè)勒索病毒攻擊已經(jīng)完全滿足不了企業(yè)的需求了，防御勒索病毒攻擊的關(guān)鍵的是需要更快更及時(shí)地發(fā)現(xiàn)企業(yè)中存在各種潛在的黑客組織攻擊活動(dòng)，及時(shí)阻斷這些潛在的攻擊行為，從而阻止黑客進(jìn)行更進(jìn)一步的攻擊，保護(hù)企業(yè)的數(shù)據(jù)資產(chǎn)，企業(yè)的數(shù)據(jù)是企業(yè)的核心資產(chǎn)，目前黑客主要通過兩種手段來獲利：(1)竊取 (2)勒索，未來黑客組織會(huì)結(jié)合這兩種方式來對(duì)企業(yè)發(fā)起攻擊，并會(huì)產(chǎn)生更多的“勒索”攻擊運(yùn)營模式，也許是因?yàn)?ldquo;勒索”能帶來更直接的收入吧。

很多朋友會(huì)問我某某勒索病毒是怎么進(jìn)來的?某某勒索病毒是通過什么方式傳播的?某次勒索病毒攻擊事件的攻擊手法是怎么樣的?其實(shí)每一次的勒索病毒攻擊都需要專業(yè)的安全團(tuán)隊(duì)對(duì)企業(yè)進(jìn)行一次深入的分析和溯源，這并不是一項(xiàng)簡(jiǎn)單的工作，是一項(xiàng)非常復(fù)雜且繁瑣的工作，需要安全專家有足夠的安全分析經(jīng)驗(yàn)。

這些分析溯源工作不是靠AI或自動(dòng)化就能完成的事情，必須要有專業(yè)的安全分析人員對(duì)中招的企業(yè)環(huán)境進(jìn)行詳細(xì)的分析溯源，勒索病毒攻擊現(xiàn)在已經(jīng)使用了類似APT的攻擊方式，每一個(gè)攻擊的背后可能都是一次完整的有預(yù)謀的定向攻擊，這種攻擊溯源就是人與人的對(duì)抗了，高端成熟的黑客組織還會(huì)在他們?nèi)肭滞瓿芍?，在進(jìn)行勒索病毒攻擊之前，刪除掉所有的系統(tǒng)日志、殘留文件等入侵痕跡，這更一步加大了專業(yè)安全分析人員溯源分析的難度，可能需要收集更多的數(shù)據(jù)，才能更好的溯源了。

針對(duì)上面的兩個(gè)誤區(qū)：

• 勒索病毒黑客組織攻擊越來越多，黑客組織不斷地在尋找著下一個(gè)攻擊目標(biāo)，而且很多企業(yè)選擇交納贖金，這也從側(cè)面導(dǎo)致勒索病毒攻擊會(huì)更多。
• 防御勒索病毒攻擊并不是防御某個(gè)單一勒索病毒樣本，這種防御已經(jīng)演變成了防御類似APT攻擊這種高端的攻擊行為，黑客各種不同的攻擊鏈階段會(huì)使用不同類型的惡意軟件以及漏洞等，需要一套完整的安全防御解決方案和完整的防御體系。

同時(shí)需要有更專業(yè)的安全分析人員對(duì)企業(yè)中潛在的威脅活動(dòng)進(jìn)行分析，及時(shí)發(fā)現(xiàn)企業(yè)中存在的潛在威脅，中斷后面被勒索攻擊的風(fēng)險(xiǎn)，現(xiàn)在的黑客組織一般在進(jìn)入企業(yè)之后，會(huì)在企業(yè)潛伏數(shù)天，數(shù)周，數(shù)月或更長(zhǎng)時(shí)間，誰能在這個(gè)期間更早的發(fā)現(xiàn)企業(yè)中存在的潛在安全威脅，誰才能有效的阻止企業(yè)被黑客進(jìn)行勒索病毒攻擊的可能。

總結(jié)

未來幾年勒索病毒仍然是企業(yè)最大的威脅之一，現(xiàn)在這種攻擊的背后是一套完整的攻擊流程，黑客在不同的攻擊階段會(huì)使用各種不同的攻擊手法，同時(shí)在攻擊的過程中會(huì)使用各種不同的惡意軟件以及相關(guān)漏洞等，并不是像之前使用單一的攻擊手法了，變成了一種非常復(fù)雜的攻擊活動(dòng)。

防勒索病毒攻擊，其實(shí)已經(jīng)變成了防APT攻擊一樣了，而且勒索病毒黑客組織也在不斷的更新自己的“勒索”運(yùn)營模式，未來可能會(huì)有更多新型的“勒索”模式出現(xiàn)。