[[402936]]

2021年5月12日是世界第二個反勒索軟件日，無法否認的是：勒索軟件已成為安全界的流行語。這樣的說法不是沒有理由的,勒索軟件的威脅已經(jīng)存在了很長時間，但是它也一直在發(fā)生改變。年復一年，攻擊者變得越來越大膽，攻擊的方法也在不斷地完善，當然，系統(tǒng)也在不斷地遭到破壞。然而，媒體對于勒索軟件的關(guān)注主要集中在哪些公司遭到了攻擊，而沒有聚焦勒索軟件本身。在此報告中，我們從勒索軟件的日常新聞中退后一步，跟隨漣漪回溯到這個系統(tǒng)的核心，以了解勒索軟件的組織方式。

首先，我們將揭穿三個先入為主的想法，這些想法阻礙了對勒索軟件威脅的正確思考。接下來，我們深入研究暗網(wǎng)，以演示網(wǎng)絡(luò)犯罪分子如何相互影響以及他們提供的服務(wù)類型。最后，我們以兩個著名的勒索軟件品牌結(jié)尾：REvil和Babuk。

無論我們在編寫此報告方面做了多少工作，在開始閱讀之前，請確保已安全備份您的數(shù)據(jù)!

第一部分：關(guān)于勒索軟件的三個先入之見

想法1：勒索軟件團伙就是團伙

隨著2020年大型獵殺游戲的興起，我們看到了勒索軟件世界中許多引人注目的群體。犯罪分子發(fā)現(xiàn)，受害者如果能夠事先建立某種信任，就更有可能支付贖金。為了確保他們恢復加密文件的能力永遠不會受到質(zhì)疑，他們建立了在線形象，撰寫了新聞稿，并盡可能確保所有潛在受害者都知道他們的名字。

但是，通過將自己置于眾人關(guān)注之下，這些組織掩蓋了勒索軟件生態(tài)系統(tǒng)的實際復雜性。從外部看，它們似乎是單一實體。但實際上它們只是矛尖。在大多數(shù)攻擊中，都有大量參與者參與其中，一個關(guān)鍵的要點是，他們通過暗網(wǎng)市場相互提供服務(wù)。

Botmaster和帳戶轉(zhuǎn)銷商的任務(wù)是提供受害者網(wǎng)絡(luò)內(nèi)部的初始訪問權(quán)限。在本次討論中，這個生態(tài)系統(tǒng)的其他成員(為了方便討論，我們將其命名為red team)使用此初始訪問權(quán)限來獲得對目標網(wǎng)絡(luò)的完全控制。在此過程中，他們將收集有關(guān)受害者的信息并竊取內(nèi)部文件。

這些文件可能會轉(zhuǎn)發(fā)給外包的分析師團隊，他們將嘗試確定目標的實際財務(wù)狀況，以便確定他們可能支付的最高贖金價格。分析師還將留意任何可能用于支持其勒索策略的敏感信息或暗示性信息，目的是向決策者施加最大壓力。

當red team準備發(fā)動攻擊時，通常會從暗網(wǎng)開發(fā)人員那里購買勒索軟件產(chǎn)品，通常以贖金分成作為交換。這里有一個可選的角色是packer的開發(fā)者，他們可以為勒索軟件程序增加保護層，使得它們不易被安全產(chǎn)品所檢測到。

最后，與受害者談判可能由另外的團隊來處理，當支付贖金后，需要一整套全新的技能，以清洗所獲得的加密貨幣。

所有這一切當中，一個有趣的點是，“勒索軟件價值鏈”中的各個行為者不需要彼此了解，事實上他們也沒必要了解。他們通過互聯(lián)網(wǎng)相互交互，用加密貨幣支付服務(wù)費用。隨之而來的是，逮捕這些實體中的任何一個(雖然對威懾目的有用)對減緩生態(tài)系統(tǒng)幾乎沒有作用，因為無法獲知共同犯罪者的身份，并且在逮捕之后其他供應(yīng)者將立即填補所造成的空缺。

勒索軟件世界必須被理解為一個生態(tài)系統(tǒng)，并被這樣對待：這是一個只能系統(tǒng)解決的問題，例如，通過阻止金錢在其內(nèi)部流通，這首先要求不支付任何贖金。

想法2：有針對性的勒索軟件就是有針對性的

先前對勒索軟件生態(tài)系統(tǒng)的描述對于選擇受害者的方式具有重要意義。是的，犯罪集團越來越肆無忌憚，要求的贖金也越來越多。但是勒索軟件攻擊對他們來說也有機會主義的方面。據(jù)我們所知，這些團伙不會通過細讀英國《金融時報》來決定下一步的目標。

令人驚訝的是，獲得對受害者網(wǎng)絡(luò)的初始訪問權(quán)的人不是后來部署勒索軟件的人，因此需要將訪問收集視為一個完全獨立的業(yè)務(wù)。為了使其可行，賣方需要源源不斷的“產(chǎn)品”?；〝?shù)周的時間試圖突破像《財富》中寫的500強公司這樣的既定目標，在財務(wù)上并不明智，因為要成功突破是一件很困難的事情。取而代之的是，準入賣家追求更低的目標。這種渠道有兩個主要來源：

•  僵尸網(wǎng)絡(luò)所有者。知名的惡意軟件家族參與了規(guī)模最大、影響最廣泛的活動。他們的主要目標是創(chuàng)建受感染計算機的網(wǎng)絡(luò)，盡管此時感染僅處于休眠狀態(tài)。僵尸網(wǎng)絡(luò)所有者(botmaster)將對受害機器的訪問權(quán)限作為一種資源出售，可以通過多種方式獲利，例如發(fā)起DDoS攻擊、分發(fā)垃圾郵件，或者在勒索軟件的情況下，利用這種初始感染來獲得立足點在一個潛在的目標。
•  訪問權(quán)限的賣家。黑客正在尋找面向互聯(lián)網(wǎng)的軟件(例如VPN設(shè)備或電子郵件網(wǎng)關(guān))中公開披露的漏洞(1-days)。一旦披露了此漏洞，在防御者應(yīng)用相應(yīng)的更新之前，他們將會破壞盡可能多的受影響的服務(wù)器。

出售對組織的RDP的訪問權(quán)的報價示例

在這兩種情況下，只有在攻擊者退后一步并弄清他們違反了誰的事實之后，并且這種感染是否可能導致贖金的支付才是事實。勒索軟件生態(tài)系統(tǒng)中的參與者沒有針對性，因為他們幾乎從不選擇攻擊特定的組織。對這一事實的理解突顯了公司及時更新面向Internet的服務(wù)以及有能力在潛伏感染被利用進行不法行為之前檢測出它們的重要性。

想法3：網(wǎng)絡(luò)犯罪分子就是罪犯

好吧，嚴格來講，它們是。但是，由于勒索軟件生態(tài)系統(tǒng)的多樣性，這也是一個遠不止表面所見的領(lǐng)域。當然，勒索軟件生態(tài)系統(tǒng)與其他網(wǎng)絡(luò)犯罪領(lǐng)域(例如，刷卡或銷售點(PoS)黑客攻擊)之間存在一個有記錄的漏洞。但值得指出的是，并非該生態(tài)系統(tǒng)的所有成員都來自網(wǎng)絡(luò)犯罪黑社會。過去，高調(diào)的勒索軟件攻擊被用作一種破壞性手段?？梢哉J為有些APT參與者仍在采取類似策略來破壞敵對者的經(jīng)濟穩(wěn)定，同時又有著合理的推諉理由，這并非不合理。

同樣，我們?nèi)ツ臧l(fā)布了一份有關(guān)Lazarus group試圖參與大型狩獵活動的報告。ClearSky發(fā)現(xiàn)了類似的活動，他們將其歸因于Fox Kitten APT。研究人員注意到，勒索軟件攻擊顯而易見的盈利能力已經(jīng)吸引了一些國家贊助的黑客加入這一生態(tài)系統(tǒng)，以此來規(guī)避國際制裁。

我們的數(shù)據(jù)表明，這種勒索軟件攻擊僅占總數(shù)的一小部分。盡管它們并不能說明公司的防范體系存在什么問題，但它們的存在卻給受害者帶來了額外的風險。2020年10月1日，美國財政部OFAC發(fā)布了一份備忘錄，闡明了向攻擊者匯款的公司需要確保收款人不受國際制裁。該聲明似乎已經(jīng)生效，并且它已經(jīng)對勒索軟件市場造成了一定的影響。毫無疑問，對勒索軟件運營商進行盡職調(diào)查本身就是一個挑戰(zhàn)。

第二部分：暗網(wǎng)惡作劇

通過市場通道

在暗網(wǎng)上銷售與網(wǎng)絡(luò)犯罪相關(guān)的數(shù)字商品或服務(wù)時，盡管針對單個主題或產(chǎn)品的較小主題平臺，但大多數(shù)信息僅聚集在少數(shù)幾個大型平臺上。我們分析了三個主要論壇，在這些論壇上匯總了與勒索軟件相關(guān)的產(chǎn)品。這些論壇是使用勒索軟件的網(wǎng)絡(luò)罪犯進行積極交流和交易的主要平臺。雖然論壇上有數(shù)百種各式各樣的廣告和報價，但為了進行分析，我們僅選擇了幾十個已由論壇管理機構(gòu)驗證并由具有良好聲譽的團體放置的報價。這些廣告包括各種各樣的報價，從源代碼銷售到定期更新的招聘廣告，主要是英語和俄語版本。

不同類型的報價

如前所述，勒索軟件生態(tài)系統(tǒng)由扮演不同角色的參與者組成。暗網(wǎng)論壇部分反映了這種情況，盡管這些市場上的報價主要針對銷售或招聘，但就像在任何市場上一樣，當運營商需要某些東西時，他們會在論壇上主動更新其廣告投放，并在滿足需求后立即將其撤下。勒索軟件開發(fā)人員和會員勒索軟件程序的運營商(以下簡稱“勒索軟件即服務(wù)”)提供以下服務(wù)：

•  邀請加入合作伙伴網(wǎng)絡(luò)，針對勒索軟件運營商的聯(lián)盟計劃
•  勒索軟件源代碼或勒索軟件生成器的廣告

第一種類型的參與假定勒索軟件組運營者與會員之間存在長期的合作關(guān)系。通常，勒索軟件運營商會分得20%到40%的利潤，而其余60-80%的利潤則屬于附屬會員。

在合作伙伴計劃中列出付款條件的要約示例

許多勒索軟件運營商正在尋找合作伙伴，但有些人也在出售勒索軟件源代碼或自己動手(DIY)勒索軟件包，報價從300美元到5000美元不等。

就勒索軟件的技術(shù)熟練程度和賣方投入的精力而言，出售勒索軟件源代碼或泄漏樣本是從勒索軟件獲利的最簡單方法。但是，由于源代碼和示例會很快失去其價值，這樣的報價也賺得最少。有兩種不同類型的報價：有支持/沒有支持。如果購買的勒索軟件沒有支持，則一旦網(wǎng)絡(luò)安全解決方案檢測到勒索軟件，購買者就需要自己弄清楚如何重新打包，或者找到一個可以提供樣本重新包裝的服務(wù)，但這仍然很容易就被安全解決方案檢測到。

提供支持的服務(wù)(誠然，在金融類惡意軟件市場中更為廣泛)通常會提供定期更新并做出有關(guān)惡意軟件更新的決策。

在這方面，與2017年相比，暗網(wǎng)論壇的報價沒有太大變化。

勒索軟件開發(fā)人員有時會在沒有客戶支持的情況下一次性購買生成器和源代碼

提供勒索軟件訂閱和附加服務(wù)看起來與任何其他合法產(chǎn)品的廣告非常相似，只是利益和價格范圍不同

暗網(wǎng)中看不到一些大型團伙

盡管暗網(wǎng)上提供的報價的數(shù)量和范圍肯定不小，但市場并不能反映整個勒索軟件生態(tài)系統(tǒng)。一些大型勒索軟件團體要么獨立工作，要么直接尋找合作伙伴(例如，據(jù)我們所知，Ryuk在Trickbot感染后能夠訪問其某些受害者的系統(tǒng)，這表明兩個團體之間存在潛在的伙伴關(guān)系)。因此，論壇通常會托管較小的參與者，要么是中等規(guī)模的RaaS運營商，要么是出售源代碼的較小參與者或新手。

暗網(wǎng)會員的基本規(guī)則

勒索軟件市場是一個封閉的市場，其背后的運營商對選擇與誰合作非常謹慎。這種謹慎反映在運營商放置的廣告以及他們選擇合作伙伴時附加的條件上。

第一個通用的規(guī)則是對運營商施加地理條件的限制。當惡意軟件操作員與合作伙伴合作時，他們避免在其所在轄區(qū)使用惡意軟件。會員需要嚴格遵守此規(guī)則，不遵守此規(guī)則的合作伙伴會很快失去對其一直使用的程序的訪問權(quán)限。

此外，運營商會篩選潛在的合作伙伴，例如通過檢查他們聲稱自己所來自的國家或地區(qū)的了解，來避免自己所雇用的是臥底官員，如下例所示。他們還可能根據(jù)其政治觀點對某些國籍施加限制。這些只是運營商試圖確保其安全性的一些方式。

在此示例中，該團伙建議通過詢問有關(guān)前蘇聯(lián)共和國的歷史和通常只有俄語為母語的人才能回答的晦澀問題來審查新的附屬組織。

根據(jù)這則廣告，Avaddon可能會考慮說英語的會員，如果他們已經(jīng)建立聲譽或可以提供保證金。

為了更詳細的進行描述，我們選擇了2021年最值得關(guān)注的兩個大型狩獵類勒索軟件。

第一個是REvil(又名Sodinokibi)團伙。該勒索軟件自2019年以來在地下論壇上進行了廣告宣傳，并因以RaaS運營商的聲譽享有盛譽。該團伙的名字REvil經(jīng)常出現(xiàn)在信息安全社區(qū)的新聞頭條中。在2021年，REvil運營商索要的贖金最高。

另一個是Babuk locker。Babuk是2021年發(fā)現(xiàn)的第一個的RaaS團伙，這表明他的活動量很大。

REvil

由REvil投放的廣告示例

REvil是最多產(chǎn)的RaaS運營之一。該團伙的首次活動是在2019年4月，在另一個現(xiàn)已淘汰的勒索軟件團伙GandCrab關(guān)閉之后。

為了分發(fā)勒索軟件，REvil與在網(wǎng)絡(luò)犯罪論壇上雇用的會員合作。贖金數(shù)量基于受害者的年收入，分銷商賺取贖金的60%至75%，使用門羅幣(XMR)加密貨幣進行支付。根據(jù)對REvil運營商的采訪，該團伙從2020年的運營中獲得了超過1億美元的收入。

開發(fā)人員會定期更新REvil勒索軟件，以避免被檢測到，同時提高持續(xù)攻擊的可靠性。該團伙在網(wǎng)絡(luò)犯罪論壇的各個帖子中宣布所有的重大更新和新的合作伙伴計劃項目。2021年4月18日，開發(fā)人員宣布勒索軟件的* nix實施正在進行封閉測試。

REvil通知了勒索軟件的* nix實施的內(nèi)部測試

技術(shù)細節(jié)

REvil使用Salsa20對稱流算法通過橢圓曲線非對稱算法來加密文件和密鑰的內(nèi)容。該惡意軟件樣本具有一個加密的配置塊，其中包含許多字段，攻擊者可以對該payload進行微調(diào)。該可執(zhí)行文件可以在加密之前終止黑名單進程，竊取基本主機信息，對本地存儲設(shè)備和網(wǎng)絡(luò)共享上未列入白名單的文件和文件夾進行加密。您可以在我們的私密(https://opentip.kaspersky.com/comparison/?utm_source=SL&utm_medium=SL&utm_campaign=SL)和公共(https://securelist.com/sodin-ransomware/91473/)報告中，可以更詳細地了解REvil的技術(shù)功能。

現(xiàn)在，勒索軟件主要通過受損的RDP訪問、網(wǎng)絡(luò)釣魚和軟件漏洞進行分發(fā)。附屬機構(gòu)負責獲得對公司網(wǎng)絡(luò)的初始訪問權(quán)限并部署locker，這是RaaS模型的標準做法。應(yīng)當指出的是，該團伙對新會員的招募規(guī)則非常嚴格：REvil只招募會說俄語、有進入網(wǎng)絡(luò)經(jīng)驗的高技能合作伙伴。

成功攻擊后，會發(fā)生特權(quán)提升、偵察和橫向移動。然后，操作員會評估、竊取和加密敏感文件。下一步是與受攻擊的公司進行談判。如果受害者決定不支付贖金，那么REvil操作員將開始在.onion Happy Blog網(wǎng)站上發(fā)布受攻擊公司的敏感數(shù)據(jù)。在數(shù)據(jù)泄露網(wǎng)站上公布泄露的機密數(shù)據(jù)的策略，最近已經(jīng)成為Big Game Hunting的主流。

REvil博客上的帖子示例，其中包括從受害者那里竊取的數(shù)據(jù)

值得注意的是，勒索軟件運營商已開始對業(yè)務(wù)合作伙伴和記者使用語音呼叫業(yè)務(wù)以及DDoS攻擊來迫使受害者支付贖金。據(jù)運營商稱，該團伙于2021年3月推出了一項免費服務(wù)，可以安排讓會員組織與受害者的合作伙伴和媒體致電，從而施加壓力。外加收費的DDoS(L3，L7)服務(wù)。

REvil宣布了一項新功能，可以聯(lián)系受害者的合作伙伴和媒體，以便在要求贖金時施加額外壓力

根據(jù)我們的研究，該惡意軟件影響了近20個業(yè)務(wù)部門。受害比例最大的行業(yè)是工程與制造(30%)，其次是金融(14%)、專業(yè)與消費者服務(wù)(9%)、法律(7%)以及IT與電信(7%)。

這場攻擊運動的受害者包括通濟隆(Travelex)、百富門(Brown-Forman Corp.)、制藥集團皮埃爾•法布爾(Pierre Fabre)以及知名律師事務(wù)所格魯伯曼•夏爾•梅塞拉斯與薩克斯(Grubman Shire Meiselas & Sacks)等公司。2021年3月，該團伙侵入宏碁，索要5000萬美元的贖金，創(chuàng)下歷史最高紀錄。

2021年4月18日，REvil小組的一名成員宣布，該團伙在招募新成員的論壇上發(fā)帖稱，該組織即將宣布發(fā)動“有史以來最高調(diào)的攻擊”。4月20日，該組織在Happy Blog網(wǎng)站上發(fā)布了許多涉嫌針對Apple設(shè)備的設(shè)計圖紙。根據(jù)攻擊者的說法，數(shù)據(jù)是從Quanta的網(wǎng)絡(luò)中竊取的。Quanta Computer是一家中國臺灣的一家制造商，也是Apple的合作伙伴之一。Quanta最初的贖金要求為5000萬美元。

 

在過去的幾個季度中，REvil的目標活動激增

REvil團伙是Big Game Hunting的典型代表。在2021年，我們看到了針對公司敏感數(shù)據(jù)勒索更多贖金的趨勢。他們使用新策略向受害者施加壓力，積極開發(fā)非Windows版本，以及定期招募新分支機構(gòu)的現(xiàn)象都表明在2021年，攻擊的數(shù)量和規(guī)模只會不斷增加。

Babuk

Babuk locker是2021年Big Game Hunting中的另一團伙。在2021年初，我們觀察到了幾起涉及該勒索軟件的事件。

2021年4月底，Babuk背后的攻擊者宣布活動結(jié)束，稱他們將公開其源代碼，以便“做類似開源RaaS的事情”。這意味著，一旦各種規(guī)模較小的威脅參與者采用泄漏的源代碼進行操作，我們可能會看到新一輪的勒索軟件活動。我們已經(jīng)在其他RaaS和MaaS項目中看到過這種情況——去年的Android的Cerberus銀行木馬就是很好的例子。

Babuk關(guān)于終止運營的公告

該團伙顯然為每個受害者定制了獨特的樣本，因為它包括組織的硬編碼名稱、個人勒索軟件注釋以及加密文件的擴展名。Babuk的運營商也使用RaaS模型。在感染之前，分支機構(gòu)或運營商會破壞目標網(wǎng)絡(luò)，因此他們可以確定如何有效部署勒索軟件并評估敏感數(shù)據(jù)，從而為受害者設(shè)定最高的現(xiàn)實勒索價格。巴布克(Babuk)背后的團隊將其小組定義為使用RDP作為感染媒介“隨機測試企業(yè)網(wǎng)絡(luò)安全性”的賽博朋克(CyberPunks)。該團伙向其會員提供80%的贖金。

Babuk投放的廣告示例

Babuk在講俄語和英語的黑客論壇上做廣告。2021年1月開始，一個論壇上出現(xiàn)了有關(guān)新勒索軟件Babuk的公告，隨后的帖子主要關(guān)注其更新和會員招募。

Babuk向新聞界發(fā)表的聲明解釋了他們的策略和受害者選擇

Babuk的白名單阻止了以下國家或地區(qū)的會員：中國、越南、塞浦路斯、俄羅斯和其他獨聯(lián)體國家。根據(jù)ZoomInfo，運營商還禁止攻擊醫(yī)院、非營利慈善機構(gòu)和年收入低于3000萬美元的公司。要加入會員計劃，合作伙伴必須通過有關(guān)Hyper-V和ESXi虛擬機管理程序的面試。

Babuk可能是第一個因為公開宣布對LGBT和Black Lives Matter(BLM)社區(qū)持負面態(tài)度而登上頭條的勒索軟件幫派。正是由于這一事實，該組織將這些社區(qū)排除在白名單之外。但是在Babuk數(shù)據(jù)泄漏網(wǎng)站上的一篇關(guān)于兩個月工作結(jié)果總結(jié)的帖子中，該團伙報告說，他們已經(jīng)將LGBT和BLM基金會以及慈善組織添加到了白名單中。

技術(shù)細節(jié)

關(guān)于加密算法，Babuk使用與橢圓曲線Diffie-Hellman(ECDH)相結(jié)合的對稱算法。成功加密后，該惡意軟件會在每個處理過的目錄中添加“How To Restore Your Files.txt”。除了文本之外，贖金記錄還包含指向一些被竊取數(shù)據(jù)的屏幕截圖的鏈接列表。這證明惡意軟件樣本是在受害者的數(shù)據(jù)被泄露之后被制作的。如上所述，每個樣本都是針對特定目標定制的。

在贖金記錄中，該團伙還建議受害者使用其個人聊天門戶網(wǎng)站進行談判。這些步驟并不僅限于Babuk，但通常出現(xiàn)在Big Game Hunting中。值得注意的是，贖金記錄的文本還包含一個指向.onion數(shù)據(jù)泄漏站點上相關(guān)帖子的私有鏈接，該鏈接無法從該站點的主頁上訪問。這里有一些屏幕截圖、關(guān)于被盜文件類型的文字描述以及針對受害者的一般威脅。如果受害者決定不與網(wǎng)絡(luò)罪犯談判，則此帖子的鏈接將公開。

Babuk locker背后的組織主要針對歐洲、美國和大洋洲的大型工業(yè)組織。目標行業(yè)包括但不限于運輸服務(wù)、醫(yī)療保健部門以及各種工業(yè)設(shè)備供應(yīng)商。實際上，最近的案例表明，Babuk運營商正在擴大目標范圍。4月26日，DC警察局證實其網(wǎng)絡(luò)已被破壞，Babuk運營商聲稱對此事負責，并在他們的.onion數(shù)據(jù)泄露網(wǎng)站宣布了此次攻擊。

Babuk宣布成功攻擊DC警察局

根據(jù)該網(wǎng)站上的帖子，該團伙從華盛頓特區(qū)警察局網(wǎng)絡(luò)中竊取了250GB以上的數(shù)據(jù)。截至撰寫本文時，警察局還有三天時間開始與攻擊者進行談判，否則，該組織將開始向犯罪團伙泄漏數(shù)據(jù)。Babuk還警告說，它將繼續(xù)攻擊美國國有企業(yè)。

結(jié)論

2021年4月23日，我們發(fā)布的勒索軟件統(tǒng)計數(shù)據(jù)顯示，遭受該威脅的用戶數(shù)量顯著下降。不過這些數(shù)字不應(yīng)該被曲解：盡管隨機個體遭受勒索軟件的可能性確實比過去要少，但對公司的風險從未如此高。

勒索軟件生態(tài)系統(tǒng)一直渴望利潤最大化，他們現(xiàn)在正在逐漸壯大，以致于可以被視為是對全球公司的系統(tǒng)性威脅。

曾經(jīng)有一段時間，中小企業(yè)大多忽略了信息安全帶來的挑戰(zhàn)：他們太微小了，APT參與者根本不會將他們置于監(jiān)視之下，但他們又足夠強大，不會受到隨機和一般攻擊的影響。但現(xiàn)在那些日子過去了，所有公司現(xiàn)在都必須做好抵御犯罪集團的準備。

值得慶幸的是，此類攻擊者通常會先攻擊一些容易得手的對象，因此從現(xiàn)在開始采取適當?shù)陌踩胧⒋笥凶鳛椤?/p>

在5月12日(即反勒索軟件日)，卡巴斯基鼓勵組織遵循以下最佳做法，以保護您的組織免受勒索軟件的侵害：

• 經(jīng)常更新所有設(shè)備上的軟件，以防止攻擊者通過利用漏洞滲透到您的網(wǎng)絡(luò)中。
• 將防御策略的重點放在檢測橫向移動和數(shù)據(jù)泄露上。要特別注意傳出的流量，以檢測網(wǎng)絡(luò)犯罪連接。設(shè)置入侵者無法篡改的脫機備份。確保在緊急情況下可以快速訪問它們。
• 為了保護公司環(huán)境，請對您的員工進行專門培訓。專門的培訓課程可以提供幫助，例如卡巴斯基自動安全意識平臺中提供的課程。
•  對您的網(wǎng)絡(luò)進行網(wǎng)絡(luò)安全審核，并及時修復在外部或內(nèi)部發(fā)現(xiàn)的所有弱點。
• 對所有端點啟用勒索軟件保護。
•  安裝反APT和EDR解決方案，以實現(xiàn)高級威脅發(fā)現(xiàn)和檢測、調(diào)查以及對事件進行及時補救的功能。為您的SOC團隊提供最新威脅情報的訪問權(quán)限，并通過專業(yè)培訓定期對其進行升級。
• 如果您不幸成為受害者，切勿支付贖金。它不能保證您能取回數(shù)據(jù)，但會鼓勵犯罪分子繼續(xù)其活動。相反，您應(yīng)將事件報告給您當?shù)氐膱?zhí)法機構(gòu)。嘗試在互聯(lián)網(wǎng)上找到一個解密程序，例如https://www.nomoreransom.org/en/index.html

本文翻譯自： https://securelist.com/ransomware-world-in-2021/102169/如若轉(zhuǎn)載，請注明原文地址。