通過將防御意識和防御準備相結(jié)合，就有很大的可能躲過勒索軟件的攻擊。通常，勒索軟件攻擊具有誤導(dǎo)性，這意味著防御者要么完全阻止攻擊，要么攻擊者完全控制其目標(biāo)IT基礎(chǔ)設(shè)施。但過去幾年表明，防御者在應(yīng)對勒索軟件攻擊方面的成功取決于一系列潛在結(jié)果，并且其中一些明顯優(yōu)于其他結(jié)果。

我們也很容易想象，所有從事勒索軟件業(yè)務(wù)的團隊都擁有相同的技能，相同的目標(biāo)，并在相同的商業(yè)模式下運作。但與任何垂直行業(yè)的情況一樣，勒索軟件團體具有廣泛的技能、各種攻擊目標(biāo)和不同的商業(yè)模式。

雖然現(xiàn)在大家都喜歡將REvil和DarkSide稱為提供勒索軟件即服務(wù)的“特許經(jīng)營模式”很，但重要的是要記住，特許經(jīng)營商實際上是自由職業(yè)的網(wǎng)絡(luò)犯罪分子。特許經(jīng)營者為這些自由職業(yè)者提供后臺操作，但對他們的其他運營方式幾乎沒有影響。

鑒于上述情況，讓我們考慮一下可能影響攻擊結(jié)果的每個因素。

攻擊者技巧和持久性

攻擊者的技能和防御者的技能——再加上一些運氣因素——通常決定了攻擊可能進展到何種程度：

• 低技能：一些攻擊者可能擅長攻擊安全實踐滯后的組織，但通常會在具有強大防御能力的組織中遇到他們的對手
•  錯誤的技能：擁有可用于攻擊傳統(tǒng)數(shù)據(jù)中心的技能和工具的攻擊者將難以攻入已將所有內(nèi)容移至云端的目標(biāo)
• 運氣不好：被鎖定的組織組織通常被鎖定，但可能會被暫時暴露從而讓攻擊者有發(fā)現(xiàn)的可能
•  運氣較好：那些持續(xù)開放（例如，在AWS enclave中對外部開放RDP訪問）的組織運氣很不錯，因為沒有攻擊者遇到它

攻擊者的目標(biāo)

攻擊組也可能專注于以泄漏為中心與以運營為中心的目標(biāo)。

以泄漏為中心的目標(biāo)涉及泄露和威脅泄漏屬于目標(biāo)組織的機密數(shù)據(jù)。這方面最有價值的數(shù)據(jù)通常是與目標(biāo)客戶和員工相關(guān)的數(shù)據(jù)，因為潛在的聲譽和法律責(zé)任是支付贖金的有力誘因。

或者，公開披露或出售知識產(chǎn)權(quán)或商業(yè)秘密也可以促使目標(biāo)組織支付贖金。此類攻擊的策略通常涉及向受害者發(fā)送數(shù)據(jù)樣本以顯示攻擊者擁有的數(shù)據(jù)。從那里，它可以升級為公開數(shù)據(jù)樣本并聯(lián)系受害者的客戶，向受害者施加壓力以支付贖金。

以泄漏為中心的攻擊的一個例子是與REvil相關(guān)的對Quanta的攻擊，該攻擊泄露了未來Apple產(chǎn)品設(shè)計的規(guī)范。攻擊者首先向Quanta索要5000萬美元的贖金，但很快就認定蘋果財力雄厚，并試圖勒索5000萬美元，以換取不公開泄露數(shù)據(jù)，或?qū)⑵涑鍪劢o蘋果競爭對手。

以運營為中心的目標(biāo)包括試圖削弱受害組織繼續(xù)運營的能力。這些攻擊有時集中在傳統(tǒng)的IT系統(tǒng)上，有時則針對作為OT（操作技術(shù)）的系統(tǒng)，但這些系統(tǒng)通常由傳統(tǒng)IT（例如Windows NT）技術(shù)組裝而成。

該方案通常不存在機密數(shù)據(jù)的泄露或出售數(shù)據(jù)的情況。與DarkSide相關(guān)的對Colonial Pipeline的攻擊（支付了450萬美元的贖金）和與REvil相關(guān)的對JBS Foods的攻擊（支付了1100萬美元的贖金）正是針對這一目標(biāo)：支付贖金是為了確保公司及時恢復(fù)正常運營的能力。

成功程度

有幾個因素（包括運氣）限制了勒索軟件攻擊的可能結(jié)果?？赡艿慕Y(jié)果包括：

• 攻擊者在目標(biāo)組織上進展不足并放棄。這可能是由于攻擊者發(fā)現(xiàn)成功實施攻擊的難度很高，或者因為攻擊者同時進攻的其他一些目標(biāo)看起來更有希望，因此將此視為機會成本。無論哪種方式，都不需要再支付贖金。
• 攻擊者在一定程度上取得了成功，并相信自己在索要贖金方面具有一定的影響力，但最終并未支付贖金。這些情況下，結(jié)果通常是產(chǎn)生一些運營影響或聲譽損害。
• 攻擊者在一定程度上取得了成功，并且贖金請求足夠溫和，受害者可能會選擇支付贖金，因為它的成本低于恢復(fù)工作的成本。這也可能受到受害者擁有提供勒索軟件保險的網(wǎng)絡(luò)保險單的影響。
• 攻擊者成功接觸到了核心業(yè)務(wù)，并有效地阻止了受害組織繼續(xù)開展業(yè)務(wù)。在這種情況下，受害組織可能會支付贖金（Colonial Pipeline，JBS Foods）并相對較快地恢復(fù)服務(wù)。或者他們拒絕支付（參見巴爾的摩市的RobbinHood攻擊或亞特蘭大市的Samsam攻擊）并最終從頭開始重建他們的IT基礎(chǔ)設(shè)施。

結(jié)論

您應(yīng)該列出各種場景，包括攻擊者追求針對的以泄漏為中心和以運營為中心的目標(biāo)，并思考您如何應(yīng)對攻擊者部分或是完全的成功：

• 了解您的網(wǎng)絡(luò)保險政策的范圍以及它有哪些限制。
• 如果涉及贖金請求，您的網(wǎng)絡(luò)保險提供商會指派人員來處理贖金談判嗎？
• 你有事件響應(yīng)公司嗎？
• 您的災(zāi)難恢復(fù)計劃有多強大？

這些類型的許多問題都會逐漸浮現(xiàn)出來，這將幫助你在遭受攻擊時做好更充分的準備。

本文翻譯自：https://threatpost.com/a-guide-to-surviving-a-ransomware-attack/180110/如若轉(zhuǎn)載，請注明原文地址。