勒索軟件攻擊的受害者支付了贖金，但網(wǎng)絡(luò)犯罪分子最終并沒有說到做到。

Barracuda Networks的網(wǎng)絡(luò)安全研究人員詳細(xì)描述了這起發(fā)生在現(xiàn)實(shí)當(dāng)中的事件，事件發(fā)生在2021年8月，當(dāng)時(shí)來自BlackMatter勒索軟件團(tuán)伙的黑客使用網(wǎng)絡(luò)釣魚電子郵件，闖入了一家未透露姓名的公司單單一個(gè)受害者的帳戶。

攻擊者從最初的這塊跳板入手，在這家公司的基礎(chǔ)架構(gòu)內(nèi)橫向移動，伺機(jī)擴(kuò)大網(wǎng)絡(luò)訪問權(quán)，最終導(dǎo)致他們得以安裝黑客工具，并竊取敏感數(shù)據(jù)。

竊取敏感數(shù)據(jù)已成為勒索軟件攻擊的一個(gè)常見部分。犯罪分子利用竊取的敏感數(shù)據(jù)來勒索受害者，揚(yáng)言不收到贖金就發(fā)布數(shù)據(jù)。

這伙攻擊者訪問網(wǎng)絡(luò)似乎至少已有幾周，在加密系統(tǒng)、索要贖金（以比特幣支付）之前一直未被發(fā)現(xiàn)。

網(wǎng)絡(luò)安全當(dāng)局警告，盡管網(wǎng)絡(luò)被加密，但受害者不應(yīng)支付贖金以換取解密密鑰，因?yàn)檫@只會向黑客表明此類攻擊很有效。

盡管如此，這家身份不明的組織在將贖金談到原來的一半后還是選擇了支付贖金。但即使這家公司滿足了勒索要求，BlackMatter團(tuán)伙在幾周后還是泄露了數(shù)據(jù)，這個(gè)活生生的教訓(xùn)表明了為什么永遠(yuǎn)不該相信網(wǎng)絡(luò)犯罪分子。

Barracuda的網(wǎng)絡(luò)安全響應(yīng)人員幫助受害者隔離了受感染的系統(tǒng)，使它們重新上線，并通過備份恢復(fù)了數(shù)據(jù)。

對網(wǎng)絡(luò)進(jìn)行審計(jì)后發(fā)現(xiàn)，帳戶并未采用多因素身份驗(yàn)證（MFA），這表明缺少M(fèi)FA幫助攻擊者當(dāng)初訪問了帳戶，并維持了帳戶訪問權(quán)。

事件發(fā)生幾個(gè)月后，BlackMatter宣布關(guān)門大吉，建議使用這項(xiàng)勒索軟件即服務(wù)的那些人應(yīng)換成 LockBit。

據(jù)Barracuda的報(bào)告顯示，勒索軟件攻擊呈上升趨勢，針對關(guān)鍵行業(yè)（包括醫(yī)療保健、教育和地方政府）的攻擊數(shù)量增加了一倍多。

研究人員還警告，在過去這一年，針對關(guān)鍵基礎(chǔ)設(shè)施的記錄在案的勒索軟件攻擊數(shù)量翻了兩番。然而，該報(bào)告表明有理由保持樂觀。

報(bào)告稱：“好消息是，我們分析多起廣為人知的攻擊后發(fā)現(xiàn)，支付贖金的受害者比較少；由于更好的防御措施，尤其是在針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊中，越來越多的企業(yè)站穩(wěn)了腳跟?！?/p>

除了采用MFA外，組織還可以采取其他措施來幫助保護(hù)網(wǎng)絡(luò)免受勒索軟件和網(wǎng)絡(luò)攻擊，包括設(shè)置網(wǎng)絡(luò)分段機(jī)制，禁用宏命令以防止攻擊者在網(wǎng)絡(luò)釣魚電子郵件中鉆宏命令的空子，以及確保備份離線存儲。

報(bào)告還建議組織盡快部署安全更新，以阻止攻擊者攻擊已知漏洞，從而獲取訪問帳戶和網(wǎng)絡(luò)的權(quán)限。

本文翻譯自：https://www.zdnet.com/article/this-company-paid-a-ransom-demand-hackers-leaked-its-data-anyway/如若轉(zhuǎn)載，請注明原文地址。