勒索攻擊已經(jīng)成為了全球黑客組織最受歡迎的攻擊方式，通過勒索攻擊能夠給黑客組織帶來巨大的利益，基本上全球每天都有企業(yè)被勒索攻擊，有些勒索攻擊導(dǎo)致企業(yè)的業(yè)務(wù)直接被中斷，有些勒索攻擊，企業(yè)已經(jīng)做好了數(shù)據(jù)備份，業(yè)務(wù)暫時沒有出現(xiàn)中斷，然而卻還是被勒索，這究竟是什么原因呢?

[[403651]]

討價還價

筆者在跟蹤分析某個流行勒索病毒家族樣本的時候，發(fā)現(xiàn)了國外某企業(yè)與黑客在暗網(wǎng)上進(jìn)行“討價還價”的過程，黑客組織找企業(yè)要“封口費(fèi)”，不然就在暗網(wǎng)上公布和出售企業(yè)的數(shù)據(jù)。

受害企業(yè)通過黑客提供的勒索信息，找到黑客組織，黑客直接開口150萬美元，并申稱盜取了企業(yè)200G的數(shù)據(jù)，這些數(shù)據(jù)包含企業(yè)的會計、法律文件、財務(wù)、合同和私人信件等數(shù)據(jù)，如下所示：

黑客聲稱如果不支付，就會把企業(yè)的數(shù)據(jù)在黑客論壇上進(jìn)行發(fā)布并公開出售，這個時候受害者肯定需要驗(yàn)證黑客是不是真的盜取了企業(yè)的數(shù)據(jù)，于是受害者要黑客提供盜取數(shù)據(jù)的相關(guān)證據(jù)，黑客給受害者提供了盜取數(shù)據(jù)的30%的信息樹，如下所示：

黑客給受害者提供了相關(guān)的數(shù)據(jù)樹信息，如下所示：

這個時候受害者為了驗(yàn)證數(shù)據(jù)的有效性，隨機(jī)找了幾個重要的文件，讓黑客提供這幾個文件來驗(yàn)證是否真的盜取了，如下所示：

黑客給受害者發(fā)送了這幾個文件，得到了驗(yàn)證，確實(shí)企業(yè)的數(shù)據(jù)被盜取了，于是企業(yè)開始評估這些數(shù)據(jù)的價值，最后給黑客組織開出了只能支付15萬美元的要求，如下所示：

經(jīng)過一輪的“討價還價”，最后企業(yè)將贖金提升到了20萬美元，但黑客也給出了90萬美元的價值，好像是在菜市場買菜講價一樣，企業(yè)也在評估這些數(shù)據(jù)的價值，同時黑客也會做出相應(yīng)的讓步，然后企業(yè)又提高了贖金，漲到了22.5萬美元，黑客也相應(yīng)的給出了讓步，變成了87.5萬美元，如下所示：

這場與黑客組織的“討價還價”，就這樣進(jìn)行中，最后這家企業(yè)會支付多少贖金呢?目前他們愿意支付的贖金從最初的15萬美元漲到了22.5萬美元，黑客也從最初的150萬美元降到了87.5萬美元，這個過程其實(shí)就是企業(yè)和黑客雙方都在評估數(shù)據(jù)價值的過程......

勒索攻擊

其實(shí)對于勒索攻擊，就像筆者之前的文章中提到的，業(yè)界一直存在的兩個誤區(qū)：

(1) 防勒索攻擊，不僅僅是防勒索病毒，需要防御的是黑客組織一整套攻擊流程，以及在整個攻擊鏈的各個環(huán)節(jié)中出現(xiàn)的各種不同功能的惡意軟件以及相關(guān)漏洞。

(2) 防勒索攻擊，不僅僅是備份企業(yè)數(shù)據(jù)，就萬事大吉了，勒索攻擊的關(guān)鍵已經(jīng)不僅僅是在中了勒索病毒之后，企業(yè)能不能拿到解密工具，解密數(shù)據(jù)，快速恢復(fù)業(yè)務(wù)這么簡單了，而是在黑客入侵安裝了惡意軟件之后，這一段潛伏期內(nèi)，企業(yè)的核心數(shù)據(jù)是否被黑客盜取，將來這些數(shù)據(jù)會不會在暗網(wǎng)上公開售賣。

關(guān)于這兩個誤區(qū)，更詳細(xì)的內(nèi)容可以參考筆者之前寫的一篇文章《從HSE攻擊事件漫談針對勒索攻擊防御的兩大誤區(qū)》，勒索攻擊不等于勒索病毒，使用勒索病毒僅僅是勒索攻擊中的一種手段，事實(shí)上勒索的核心點(diǎn)是企業(yè)的數(shù)據(jù)，之前很多企業(yè)的數(shù)據(jù)被盜，黑客組織也會在暗網(wǎng)上進(jìn)行售賣，但這種方式似乎還不能給黑客組織帶來快速的收益，隨著勒索病毒的發(fā)展，勒索攻擊成了一種主流，之前一些黑客組織也快速的更新了自己的經(jīng)營模式，開始通過公布企業(yè)核心數(shù)據(jù)來勒索企業(yè)支付“封口費(fèi)”，這種方式似乎在未來會成為另一種勒索的模式。

總結(jié)

不管是直接通過勒索病毒加密企業(yè)數(shù)據(jù)，還是通過各種不同類型的惡意軟件長期潛伏盜取企業(yè)核心數(shù)據(jù)，其實(shí)這兩種勒索攻擊的方式的核心是一樣的，那就是企業(yè)的數(shù)據(jù)，所以保護(hù)好企業(yè)的數(shù)據(jù)就是防止勒索攻擊的關(guān)鍵，數(shù)據(jù)安全一直是黑客攻擊的重點(diǎn)，不是是以前，還是現(xiàn)在，或者是將來，黑客獲利的關(guān)鍵就是企業(yè)的數(shù)據(jù)，獲取企業(yè)的數(shù)據(jù)有很多種方式，有些是“內(nèi)鬼”、“間諜”，有些是惡意軟件盜取，有些可以通過某些漏洞獲取，但是不管哪種方式，勒索攻擊事實(shí)上已經(jīng)發(fā)展成了 APT 攻擊模式，防勒索攻擊就是防御APT定向攻擊，企業(yè)的數(shù)據(jù)被黑客組織竊取或破壞，才是勒索攻擊的核心目標(biāo)。

其實(shí)黑客組織一直在活動，曝光的永遠(yuǎn)只是冰山一角，筆者一直致力于研究全球各種惡意軟件家族，最近又有幾款新型的勒索病毒和竊密木馬出現(xiàn)，而且功能非常強(qiáng)大，后面有空再給大家分享，惡意軟件是與黑客組織最直接，也是最有效的溝通橋梁，通過研究各種惡意軟件家族，你能更深入的了解黑客組織都在干什么?想做什么?目標(biāo)是什么?通過什么方式來進(jìn)行攻擊?使用了什么攻擊流程?黑客組織的運(yùn)營模式又是什么?他們下一步打算做什么?通過分析惡意軟件，你還可以從樣本中獲取到很多非常有價值的威脅情報信息。

我常常說做安全分析就像警察辦案抓罪犯一樣，只有通過技術(shù)手段分析，不斷猜測罪犯的犯案過程，做到知已知彼才能抓到罪犯，前段時間看了國內(nèi)出的一個新的電影《除暴》，其實(shí)里面的核心就是警察通過分析罪犯的做案手法，還原犯罪的過程，電影里面的那個警察憑借自己豐富的辦案經(jīng)驗(yàn)，不斷分析罪犯的犯罪活動，知已知彼，還原甚至提前預(yù)測了罪犯的下一步活動，最后找到罪犯，并抓到了罪犯。