Janus Agcaoili和Miguel Ang撰写的
勒索软件威胁已经存在多年了,它在不断发展,试图超越新的安全解决方案并从受害受害者中获利。 这种发展趋势一直持续到2019年:新数据表明,威胁的数量似乎有所下降,目标范围也发生了变化。 恶意软件的创建者采用了新的规避策略,完善了目标,并在尝试新的分发方法。
有了这些新技术,受害者的实际成本就更高了-赎金支付,维修和修复以及缓解成本。 在这种多变的威胁形势下,应保持针对所有形式的勒索软件的防护措施。 知道勒索软件的最新发展,找到正确的安全性并保持充分准备是必不可少的,因为勒索软件继续对全球用户和企业构成严重威胁。 发生了什么变化?
勒索软件通常是通过垃圾邮件传播的,其他流行的分发方法是托管勒索软件和漏洞利用工具包的恶意URL。 主要目标是数量-恶意软件分发者希望找到尽可能简单,最快的感染方式。 但是近年来,网络分子采取了不同的方法。 2017年,最臭名昭著且传播最广的勒索软件WannaCry和Petya使用了漏洞利用程序EternalBlue进行传播。
2019年,垃圾邮件和漏洞利用的使用仍在继续; 但是攻击采取了更具针对性的方法。 与WannaCry不同,当前的勒索软件系列的目标是通过本地网络而不是通过Internet进行传播。 似乎网络分子的目标是更高价值的目标,将他们的精力集中在寻找受害者并通过其网络横向移动。 攻击者可能会部署RDP蛮力攻击,或者利用已经受到威胁的系统来尝试寻找有价值的目标(例如域控制器),然后从那里进行传播。
根据一些新闻媒体的报道,这些最近的勒索软件攻击每个受害者的支出更高,这可能是因为新型攻击的性质是感染尽可能多的受害者端点。 这对目标企业造成了更大的破坏,促使他们支付赎金。
以下是一些最近的勒索软件及其值得注意的元素:
2019年使用的独特技巧和战术
企业影响力
LockerGoga
有人发现它是通过CMD的远程代码执行或系统管理工具PsExec引入系统的,这表明攻击者正在系统中进行横向移动,并可能正在网络中寻找高价值目标。
LockerGoga袭击了一系列工业和制造业公司,大规模破坏了运营。
闭锁
可以看到它是通过网络中受感染的活动目录传播的,并且可能是先前感染的结果。 攻击者可能故意将活动目录定为目标,以传播勒索软件,这是勒索软件攻击中通常不常见的一种策略。
Clop勒索软件声称针对整个网络而不是单个设备。
MegaCortex
报告显示,该勒索软件通过受害网络中受感染的域控制器进行传播。 它会在网络上的其他计算机上删除核心勒索软件,批处理文件(启动程序)和重命名的PsExec(用于远程执行)。 然后尝试在受感染的计算机上执行。
研究人员在5月初看到了MegaCortex活动的激增。 检测到针对大型企业网络的勒索软件。
GandCrab
安全研究人员观察到,黑客能够破坏企业主机并获得对域控制器的访问权限。 通过这种访问,他们使用企业的系统管理软件在网络上传播GandCrab。
GandCrab运营商声称已从勒索软件付款中赚取了约20亿美元; 勒索软件背后的团队也以他们的“成功”宣布即将退休。
琉克
恶意软件TrickBot通过EternalBlue漏洞和收集的凭据用于横向移动,攻击者能够将Ryuk勒索软件部署到尽可能多的计算机上。 另一起事件显示了攻击者如何获得管理权限并使用Powershell横向移动来感染目标。
FBI透露,自2018年以来,有100多家企业遭受Ryuk袭击,其中大多数是物流和技术公司以及小型市政。
表1. 2019年勒索软件的技术和影响
除了上述引人注目的策略外,这些勒索软件还采用了不同的技术来试图逃避安全解决方案。 Clop,MegaCortex和某些版本的LockerGoga使用有效的证书进行了数字签名-使其具有合法性的面纱,并允许它们进入某些系统并在其中运行。 这也表明以前有过入侵或某些组织无法访问其签名密钥。
LockerGoga和MegaCortex使用的另一种技术是利用基于实例的加密。 该恶意软件会生成一个子进程以对有限数量的文件进行加密,然后终止并重复该进程。 该技术可能是针对可能终止子进程的某些安全解决方案的一种防御机制,也是一种使核心勒索软件保持运行并能够为加密例程生成另一个子进程的方法。
图1. MegaCortex感染链 2016-2019年的勒索软件数量
2016年至2019年收集的勒索软件数据显示了勒索软件的变化。 总体而言,新家庭的数量一直在下降,但威胁的数量似乎又在加快。 但是,勒索软件系列的详细信息以及他们一直在使用的新技术在2019年提供了更清晰的勒索软件图景。
总体勒索软件威胁
2016
1,078,091,703
2017
631,128,278
2018
55,470,005
2019年(1月至4月)
40,916,812
表2.从2016年到2019年初的勒索软件威胁检测
2019年的前四个月,勒索软件威胁检测的总数几乎等于2018年的总数。加速的一个可能原因是,与2018年相比,当前的勒索软件在感染端点方面更有效。 以上,当前的勒索软件事件表明,网络分子正在部署有针对性的勒索软件:他们试图攻击大型企业并获得对本地网络的访问权限。 进入后,他们尝试将其有效负载分散到所有连接的端点。 过去,勒索软件可能不那么成功。 在2018年,随着对威胁的意识增强以及用户实施更好的安全解决方案,勒索软件可能还没有超过下载阶段。 可能会检测到来自电子邮件附件的恶意文档,然后将其阻止。
新家庭
2016
247
2017
327
2018
222
2019年(1月至4月)
40
表3.从2016年到2019年初检测到的新勒索软件系列的比较
在撰写本文时,2019年前四个月发现了40个新的勒索软件系列。随着这一年的发展,我们可能会看到这些系列采用了广泛的勒索软件所利用的技术,例如GandCrab,Clop,LockerGoga和MegaCortex。 如何防范勒索软件
勒索软件是一种经过广泛研究的公认威胁,因此,企业和用户可以采用几种已知的最佳做法来更好地保护自己:定期备份文件,保持系统和应用程序的更新,实施最小特权原则, 并实施深度防御,即从网关,网络,端点和服务器在每个在线边界部署安全性。
勒索软件在2019年使用的新策略更加复杂,可能需要更高级的安全解决方案。 可以通过在端点上部署行为监控机制来检测和阻止Ryuk,MegaCortex和GandCrab等勒索软件滥用企业网络中常用的工具和应用程序。 通过监视和阻止与恶意软件相关的恶意行为和例程以及对OS或软件/应用程序的非常规修改,这有助于防止和限制数据泄漏和恶意软件感染。 一个好的行为监控系统不仅要查看应用程序的行为,还要调查流程链中的异常情况,例如Explorer如何启动命令提示符以调用恶意的PowerShell脚本。 趋势科技勒索软件解决方案
企业可以从多层方法中受益,以最大程度地减轻勒索软件带来的风险。 在端点级别,趋势科技™智能防护套件可提供多种功能,例如高保真机器学习,行为监控和应用程序控制以及漏洞屏蔽,以最大程度地减少此威胁的影响。 趋势科技威胁发现设备可以检测并阻止网络上的勒索软件,而趋势科技趋势科技服务器深度安全防护系统平台则可以阻止勒索软件到达企业服务器(无论是物理服务器,虚拟服务器还是云服务器)。 趋势科技趋势科技服务器深度安全防护系统,漏洞保护和TippingPoint提供虚拟补丁程序,可保护端点免受利用未修补漏洞提供勒索软件的威胁。
电子邮件和Web网关解决方案(例如趋势科技威胁发现电子邮件检查器和InterScan™Web Security)可防止勒索软件到达最终用户。 趋势科技的云应用安全性(CAS)通过使用针对勒索软件和其他高级威胁的尖端沙箱恶意软件分析,可以帮助增强Office 365应用和其他云服务的安全性。
这些解决方案由趋势科技XGen™安全性提供支持,该安全性提供了针对数据中心,云环境,网络和端点的全方位威胁的跨代威胁防御技术。 智能,优化和连接的XGen为趋势科技的安全解决方案套件提供了支持:混合云安全性,用户保护和网络防御。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢