科技云报道:勒索金额再创新高,企业应如何防范?

news2024/12/24 3:31:19

科技云报道原创。

今年上半年的数据表明,勒索软件活动和赎金金额有望创下历史新高。

Check Point Research在《2023 年年中安全报告》中指出,今年上半年,随着新的勒索软件团伙不断涌现,勒索软件攻击态势持续升级。

区块链分析公司Chainaanalysis的报告显示,勒索软件是2023年迄今为止唯一呈上升趋势的基于加密货币的犯罪形式,勒索赎金有望创下新的纪录。

截至6月份,勒索软件攻击者已勒索至少4.491亿美元,累计收入已达到2022年总收入的90%。

勒索攻击已经成为了互联网世界的顽疾,近年来几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业均受勒索攻击影响。

在面对新型勒索软件攻击时,大多数企业组织会处于极度弱势,根本难以招架。
在这里插入图片描述

勒索攻击呈五大趋势

日前,安全服务商Heimdal Security的安全研究人员分析了近一年来的勒索攻击典型案例后发现,各大勒索攻击团伙一直在不断改进攻击手法和模式,使得新一代勒索软件攻击变得更加复杂和更有针对性。

关基设施勒索攻击仍在继续

“勒索软件团伙破坏了至少860个关键基础设施组织的网络。”这一数据出自美FBI在今年一季度发布的2022年的互联网犯罪报告。媒体报道指出,该数据仅限于“投诉数据”,实际数量可能更高。

安全机构统计了2022年发生的600起勒索软件攻击事件称,针对关键基础设施的攻击翻了一倍。

针对关键基础设施的攻击要更具威胁性,这些企业可能的妥协(倾向于赎金支付)一方面来自于数据的重要性,更重要的是对企业核心生产连续性的威胁。

勒索软件组织优先考虑数据泄露

通常企业在遭受勒索软件攻击之后,支付赎金并不是他们的第一选择。现在,勒索组织将视野转向数据,并威胁企业如不支付赎金就会泄露数据,从而主动挑起企业安全违规事件。

勒索软件组织越来越多地针对数据泄露,而不再是过去的系统不可用性。

这方面有多家安全组织的报告都支撑了这一点,如在2022年勒索软件赎金支付下降了约40%,这一点也出自于企业已经投资于更强的安全性和更好的备份。

数据备份、针对业务系统做好容灾建设,是安全企业在对应勒索攻击的后期兜底建议,有一部分企业认识到了这一点,他们就可以有勇气在受到勒索之后不支付赎金,利用安全系统来恢复业务或数据。但如果勒索组织威胁泄露数据,留给企业在安全与合规之间的问题就有些麻烦了。

勒索软件受害者可能很快面临后续攻击

根据Akamai公司的研究报告,一旦受到勒索软件的攻击,企业很快就会面临第二次攻击的更高风险。报告称,事实上,被多个勒索软件组织攻击的受害者在前三个月内遭受后续攻击的可能性几乎是遭遇第一次攻击之后的六倍。

该报告警告说,遭受勒索软攻击并支付赎金也不能保证企业的安全,与其相反,它增加了被同一个或多个勒索软件组织再次攻击的可能性。

如果受害企业没有关闭其外围的漏洞/修复攻击者第一次破坏其网络时滥用的漏洞,那么很可能会再次被利用。

此外,如果受害者选择支付赎金,他们可能会被同一组织和其他人视为潜在的目标。

勒索软件智能化

随着人工智能和机器学习技术不断完善,攻击者也开始利用这些创新技术使勒索软件攻击更具针对性和复杂性。

研究人员发现,勒索软件组织开始使用人工智能技术来识别漏洞、撰写逼真的网络钓鱼邮件,并根据防御措施实时调整攻击策略,这对勒索软件防护工作构成了重大挑战。

由于勒索软件的智能化程度正在迅速增长,组织也需要及时关注更先进、更智能的网络安全措施,同时加强员工安全意识培训,以防范这种日益严峻的威胁。

攻击并不常见的应用系统

任何泄露事件都可能带来灾难,因此在面对新型勒索软件攻击时,任何攻击途径都不能被忽视。

在新型勒索软件攻击模式下,攻击者会更加重视一些没有备份的业务系统,或者一些并不常见的应用,这些看上去的“小应用”往往会给组织带来大威胁。

佐治亚理工学院的安全研究人员已经验证,勒索软件攻击可以通过屡试不爽的已知漏洞利用代码部署到程序逻辑控制器(PLC)中。

遗憾的是,这类设备的重建或更换成本过高,新型勒索软件组织正是瞅准了这一点以勒索受害者。

企业应如何防范勒索攻击?

目前活跃在市面上的勒索攻击病毒种类繁多,极高频率的变种使得基于病毒特征库的传统杀毒软件在应对海量新型勒索病毒时,毫无用武之地。

要防范勒索病毒攻击,需要从勒索病毒本身出发,深度剖析勒索病毒的普遍性特点,有针对性地进行干预和防范。

其实,勒索病毒行为具有高度趋同性,整个勒索杀伤链涉及:感染准备、遍历加密、破坏勒索三个环节。

感染准备阶段主要行为是漏洞利用、自身模块释放、进程中止和服务清除;遍历加密阶段主要行为是文件遍历、数据加密;破坏勒索阶段主要行为是删除系统备份、弹出勒索通知。

摸清楚了勒索病毒杀伤链的典型行为特征,接下来就能有效应对勒索病毒,企业可以从检测、防护、恢复三个阶段来应对勒索病毒。

勒索行为监测

勒索病毒的磁盘遍历、进程终止、文件加密、回收站清空等行为,实际上都是在调用操作系统底层驱动的高危指令。

所以防勒索系统安装操作系统后,会接管操作系统底层的进程、文件、磁盘、网络驱动,勒索病毒在执行高危指令调用时,必然优先被防勒索系统感知。

防勒索系统内置恶意行为监测引擎,通过规则树的匹配来识别恶意破坏行为,进而实现对勒索病毒的拦截和阻断。

关键业务保护

勒索病毒加密文件前,会优先终止业务进程,以解除文件占用,便于文件加密或删除操作。所以防勒索系统安装到操作系统后,会接管操作系统进程驱动。

当有进程终止或线程退出指令时,防勒索系统会对指令来源和指令类型进行判断。

如果是不可信的进程发起的跨进程、跨地址空间的指令行为,防勒索系统将会对指令操作进行拦截,从而避免勒索病毒对关键业务进程的破坏,在保障业务连续性的同时,保持关键应用对数据文件的持续占用,进而确保数据文件不会被加密勒索。

勒索病毒诱捕

勒索病毒在遍历文件时,会优先检索系统常规路径,如桌面、文档路径、磁盘根目录等,然后破坏这些文件。

防勒索系统安装后在系统中投放诱饵文件,并持续监控对诱饵文件的操作,由于正常应用一般不会访问诱饵文件,因此对诱饵文件的操作基本上可以判定为勒索病毒,防勒索系统会直接杀死可疑进程并置于隔离区。

核心数据保护

未安装防勒索系统时,无论是正常的应用如word、数据库服务,还是勒索病毒,对应用数据的读写都是不受限制的,勒索病毒随意的对数据文件进行加密写入,致使用户无法正常使用数据文件。

安装防勒索系统后,通过内置规则及动态识别技术,可以很方便地建立可信应用与应用数据间的访问关系模型。

因为勒索病毒不在可信应用列表内,不具备应用数据的访问权限,所以勒索病毒尝试加密系统中文档、数据库、工程文件、音视频等数据文件时,将会被拦截阻断。

核心数据保护功能一方面可避免应用数据被恶意加密,防范典型的文件加密勒索行为,另一方面还可以防范双重勒索中文件信息泄露的勒索行为。

数据智能备份

备份恢复技术用于对抗勒索病毒很有效,因为由于误操作、安全策略配置不当可能导致检测、防护能力被绕过,所以还需要备份恢复能力做技术兜底。

防勒索系统安装后,任何文件的操作均会触发防勒索的安全检查,可信应用文件操作放行,非可信应用文件操作将触发备份动作。

在备份入库前,防勒索系统会检查入库数据的安全性,通过文件名、后缀名、信息熵、方差值完成文件是否被勒索加密的判断。

这是因为被勒索病毒加密的文件会被修改文件名、后缀名,文件的熵值和方差值会发生显著变化,基于防勒索系统可识别被勒索加密的文件,已经被勒索加密的文件将直接丢弃,并对操作该文件的进程进行终止和隔离操作,被识别为正常的数据文件则经过重复检查后进入备份区。

此外,防勒索系统的备份机制并非是全盘备份,而是经过巧妙设计的按需触发,既可以实现勒索病毒的精准防范,又能确保最小的系统资源消耗。

结语

未来的勒索软件攻击还将持续演进,并且增长速度也会更快,攻击的目标和形势不断变化,防御对抗将是长期性的。

为了共同抵抗这项威胁,还需要全行业携手合作、推动创新,共同应对勒索攻击的挑战,才能保障企业的安全和稳定发展,打赢这场持久战。

【关于科技云报道】

专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1039147.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【Proteus仿真】【STM32单片机】基于单片机的智能晾衣架控制系统

文章目录 一、功能简介二、软件设计三、实验现象联系作者 一、功能简介 系统运行后,LCD1604显示传感器检测的温湿度、光线强度和风速,工作模式,以及相应阈值,系统工作状态等;系统默认为自动模式, 可通过K4…

企业如何寻找适合的CRM系统软件

在数字化转型步伐不断加快的今天,CRM软件成为企业必不可少的一项工具。如果您并不清楚如何寻找合适的CRM系统软件?不妨通过下列几点来寻觅。 1.根据CRM系统行业和类别 例如企业重视营销功能,搜寻营销型CRM软件; 企业希望梳理好…

ideogram.ai 不同风格的效果图

https://ideogram.ai/ 提示词: French bulldog with sunglasses, playing skateboarding, speed up, happiness, front viewPhoto 相片 正常照片 Poster 海报 偏绘画,清晰的勾线 3D Render 3D 渲染 胶质感,像 3D 模型 Typography …

王珊教授:坚定信念走自主可控之路

在人大金仓2023新品发布会上,我国数据库泰斗、CCF最高科学技术奖获得者、原人民大学信息学院院长、原中国计算机学会(CCF)副理事长、人大金仓首任董事长王珊教授发表了致辞。 去年,王珊教授同样见证了人大金仓KESV9产品的发布。一…

氨基酸代谢:从基础到应用,揭示其在健康与疾病的角色

氨基酸(Amino Acid, 简称AA ) 是蛋白质合成的基石。它们是正常细胞生长、分化和功能所必需的细胞结构元素和能量来源。 蛋白质是长链氨基酸。人的身体有数千种不同的蛋白质,每种蛋白质都有重要的作用。每种蛋白质都有自己的氨基酸序列。该序列使蛋白质呈现不同的形状…

freemarker自定义模板

模板编程器指南 <dependency><groupId>org.freemarker</groupId><artifactId>freemarker</artifactId><version>2.3.31</version> </dependency>freemarker官网参考&#xff1a; https://freemarker.apache.org/docs/pgui_qu…

C# OpenCvSharp Yolov8 Cls 图像分类

效果 项目 代码 using OpenCvSharp; using OpenCvSharp.Dnn; using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Windows.Forms;namespace OpenC…

【OpenPLC学习】RK3568上运行OpenPLC

1 下载Runtime源码 git clone https://github.com/thiagoralves/OpenPLC_v3.git2 安装程序 ./install.sh linux3 在RK3568上运行Runtime sh start_openplc.sh4 在windows网页端登录 账号&#xff1a;openplc 密码&#xff1a;openplc 6 下载OpenPLC Editor https://git…

​旅行季《乡村振兴战略下传统村落文化旅游设计》许少辉八一著作想象和世界一样宽广

​旅行季《乡村振兴战略下传统村落文化旅游设计》许少辉八一著作想象和世界一样宽广

防火墙旁挂、和热备

旁挂 拓扑 防火墙配置 interface GigabitEthernet0/0/0 undo shutdown ip binding vpn-instance default ip address 172.25.254.2 255.255.255.0 alias GE0/METH service-manage http permit service-manage https permit service-manage ping permit service-manage…

由于找不到MSVCP140.dll,无法继续执行代码,重新安装程序可能会解决此问题的”修复方案

在Windows操作系统中&#xff0c;msvcp140.dll是一个非常重要的动态链接库文件&#xff0c;它是Microsoft Visual C 2015 Redistributable的一部分。这个文件主要用于支持许多应用程序的正常运行&#xff0c;例如Microsoft Office、SQL Server等。当计算机上缺少msvcp140.dll文…

网络编程-TCP协议(客户端和服务端)

需要了解UDP协议的&#xff0c;可以看往期文章 https://flypeppa.blog.csdn.net/article/details/133273416 TCP/IP参考模型 代码案例 服务端代码 package com.hidata.devops.paas.udp;import java.io.BufferedReader; import java.io.IOException; import java.io.InputStr…

tomcat在idea上的配置

tomcat在idea上的配置主要包含以下几个步骤&#xff1a; 1、创建一个maven web工程 2、配置tomcat 1、创建一个maven web工程 第一个是仓库配置文件的路径&#xff0c;第二个是你的仓库路径。 2、配置tomcat 配置tomcat有以下两种方式&#xff1a; 1、集成配置 2、插件配置…

Unity 制作登录功能01-创建登录的UI并获取输入内容

1.创建UI面板 导入插件TextMesh Pro 2.编写脚本获取用户输入 这里用的是输入框侦听函数&#xff0c;所有UI都可以使用侦听函数 &#xff0c;需要注意TMP_InputField 这个类是UI中导入的一个插件TextMesh Pro&#xff01;在代码中需要引用using TMPro; 命名空间&#xff01; …

9月25日学习记录

1. vs中Qt添加模块在这个位置&#xff1a; VS2019 Qt 怎么添加Qt模块&#xff1f;_qtvs添加第三方qt模块_令狐掌门的博客-CSDN博客 2.布局学习 (1) QVBoxLayout *layoutnew QVBoxLayout(this);QWidget *w1new QWidget;QWidget *w2new QWidget;w1->setStyleSheet("bac…

【STM32笔记】HAL库I2C通信配置、读写操作及通用函数定义

【STM32笔记】HAL库I2C通信配置、读写操作及通用函数定义 文章目录 I2C协议I2C配置I2C操作判断I2C是否响应I2C读写 附录&#xff1a;Cortex-M架构的SysTick系统定时器精准延时和MCU位带操作SysTick系统定时器精准延时延时函数阻塞延时非阻塞延时 位带操作位带代码位带宏定义总…

【广州华锐互动】VR智能内容中控平台有什么作用?

随着科技的发展&#xff0c;教育方式也在不断地进行创新。广州华锐互动开发的VR智能内容中控平台&#xff0c;为教育带来了新的可能性。它不仅可以帮助教师更好地控制和管理虚拟现实教学环境&#xff0c;还可以让学生在虚拟环境中进行互动学习&#xff0c;提高他们的学习效果。…

C#中实现定时器Timer定时判断IP是否ping通(连通)和端口号是否telnet可达(可用)

场景 Winform中使用HttpClient(设置最大超时响应时间)调用接口并做业务处理时界面卡住&#xff0c;使用async Task await异步任务编程优化&#xff1a; Winform中使用HttpClient(设置最大超时响应时间)调用接口并做业务处理时界面卡住&#xff0c;使用async Task await异步任…

做个网页火了,结果一天欠下8000元!

大家好&#xff0c;我是鱼皮。 事情是这样的&#xff0c;昨天我在 B 站某个视频的评论区下被 了&#xff1a; 我内心&#xff1a;熟悉&#xff1f;什么熟悉&#xff1f;我以为又是朋友开玩笑说哪个动物和我长得很像来着。 结果点进去一看&#xff0c;标题就直接 “震惊” 到…

【Vue】深究计算和侦听属性的原理

hello&#xff0c;我是小索奇&#xff0c;精心制作的Vue系列教程持续更新哈&#xff0c;涵盖大量的经验和示例&#xff0c;由浅入深进行讲解&#xff0c;想要学习&巩固&避坑就一起学习吧~ 计算和侦听属性 计算属性 重点概要 定义&#xff1a;要用的属性不存在&#…