虹科分享|硬件加密硬盤|與5個(gè)最新的勒索軟件的近距離接觸

?

勒索軟件成功地創(chuàng)造了大規(guī)模的破壞。隨之而來(lái)的是無(wú)數(shù)的受害者，一團(tuán)糟的受損IT環(huán)境，以及數(shù)十億美元的損失。讓壞消息雪上加霜的是，這一全球現(xiàn)象并未顯示出放緩的跡象。那么，是什么讓勒索軟件如此難以阻止呢？

答案很簡(jiǎn)單--進(jìn)化。

?

就在安全專家似乎掌握了解決方案的時(shí)候，一個(gè)新的威脅出現(xiàn)了，以利用整個(gè)IT環(huán)境中的新漏洞。這種激增在很大程度上是由勒索軟件即服務(wù)(RAAS)實(shí)現(xiàn)的，它借鑒了云的基于訂閱的模式，使有抱負(fù)的黑客能夠利用現(xiàn)有工具執(zhí)行強(qiáng)大的攻擊。

?

勒索軟件有多種形式，沒有兩種變體是相同的。這篇文章將通過(guò)探索一些最新的野生威脅，讓你了解我們面臨的是什么。

Couti

Conti于2020年5月首次被發(fā)現(xiàn)，它通常通過(guò)鏈接到受感染的Google Drive文件的釣魚電子郵件來(lái)攻擊系統(tǒng)。點(diǎn)擊鏈接后，收件人被告知無(wú)法在瀏覽器中預(yù)覽該文件，建議改為下載該文件。按照已建立的惡意軟件做法，此操作會(huì)將惡意可執(zhí)行文件邀請(qǐng)到用戶的系統(tǒng)上。一旦被執(zhí)行，Conti就會(huì)安裝一個(gè)后門，該后門聯(lián)系控制與命令(C2)服務(wù)器，然后后者會(huì)安裝其他惡意軟件工具。

Conti可能是Ryuk變體的一個(gè)分支，通過(guò)與各種其他工具(包括合法和惡意工具)協(xié)同工作，從勒索軟件包中脫穎而出。例如，Windows重新啟動(dòng)管理器可用于關(guān)閉原本會(huì)阻止文件加密的程序，從而使惡意軟件能夠在該過(guò)程中擴(kuò)大其影響范圍。眾所周知，Conti還使用臭名昭著的TrickBot特洛伊木馬在最初感染后造成進(jìn)一步破壞。

Hive(蜂巢)

勒索軟件命名約定通常受到部署它們的組織的啟發(fā)。蜂巢就是一個(gè)典型的例子，它是一種相對(duì)較新的變種，對(duì)醫(yī)療保健行業(yè)造成了嚴(yán)重破壞。據(jù)報(bào)道，所謂的“蜂巢幫”是2021年8月針對(duì)紀(jì)念健康系統(tǒng)的勒索軟件攻擊的幕后黑手，在那次攻擊中，它泄露了大量敏感的患者數(shù)據(jù)，包括他們的姓名、社保號(hào)碼、家庭地址和病史。雖然最初2.4億美元的贖金似乎不太可能，但紀(jì)念碑首席執(zhí)行官證實(shí)，確實(shí)支付了一筆錢來(lái)解鎖數(shù)據(jù)。

HIVE是勒索軟件的另一個(gè)例子，它使用經(jīng)過(guò)試驗(yàn)和驗(yàn)證的網(wǎng)絡(luò)釣魚策略來(lái)攻擊目標(biāo)系統(tǒng)。為了規(guī)避現(xiàn)有的防御機(jī)制，該惡意軟件會(huì)禁用反病毒軟件以及文件復(fù)制、備份和恢復(fù)功能。贖金筆記被投放在每個(gè)受感染的目錄中，參考受害者如何購(gòu)買解密密鑰并取回他們的信息。如果沒有支付贖金，蜂巢會(huì)在HiveLeaks上發(fā)布被盜數(shù)據(jù)，HiveLeaks是一個(gè)基于TOR的網(wǎng)站，黑客社區(qū)很容易訪問。

?

LockBit 2.0

部分由于被納入RAAS市場(chǎng)，LockBit成為網(wǎng)絡(luò)犯罪分子的首選武器。這款勒索軟件通過(guò)更新的網(wǎng)絡(luò)安全變體LockBit 2.0增強(qiáng)了它在社區(qū)中的光澤。與新改進(jìn)的變體相關(guān)的一個(gè)顯著特征是，該組織采用了開箱即用的方法來(lái)入侵訪問權(quán)限。眾所周知，該團(tuán)伙的成員賄賂能夠從組織內(nèi)部滲透到目標(biāo)中的個(gè)人。他們還通過(guò)利用VPN和其他可公開訪問的網(wǎng)絡(luò)服務(wù)器中的漏洞獲得了成功。

對(duì)于勒索軟件參與者來(lái)說(shuō)，泄露數(shù)據(jù)與加密數(shù)據(jù)一樣重要。如果受害者拒絕支付，LockBit 2.0可以調(diào)用一些補(bǔ)充技術(shù)來(lái)實(shí)施自己扭曲的復(fù)仇品牌。LockBit的內(nèi)部特洛伊木馬StealBit和合法的C2服務(wù)器Cobalt Strike都在已鏈接到勒索軟件的工具中。

閻羅王

一些黑客采取了一種更具哲理的方法來(lái)標(biāo)記他們的勒索軟件攻擊。以閻羅王為例，受中國(guó)宗教傳說(shuō)中對(duì)死者進(jìn)行審判的神嚴(yán)洛·王的啟發(fā)，這種特殊的變體于2021年10月被發(fā)現(xiàn)，自那以來(lái)一直與美國(guó)幾家大公司遭受的襲擊有關(guān)。盡管它似乎有利于金融部門，但該勒索軟件也與針對(duì)咨詢、工程和IT服務(wù)行業(yè)的攻擊有關(guān)。

經(jīng)過(guò)進(jìn)一步的分析，網(wǎng)絡(luò)安全研究人員確定，閻羅王的文件是經(jīng)過(guò)數(shù)字簽名的，這是威脅行為者最近采取的一種趨勢(shì)，他們繞過(guò)了反病毒掃描儀和內(nèi)置的防御機(jī)制。一旦執(zhí)行，它將終止各種系統(tǒng)進(jìn)程，使勒索軟件能夠解鎖對(duì)虛擬機(jī)、數(shù)據(jù)庫(kù)和備份文件的訪問。最后，在提供贖金紙條之前，它會(huì)在加密文件上附加一個(gè)“閻羅王”擴(kuò)展名，警告受害者在做出付款安排之前不要聯(lián)系當(dāng)局。

DarkSide

大多數(shù)黑客更喜歡在幕后行動(dòng)，限制了他們對(duì)網(wǎng)絡(luò)犯罪社區(qū)的可見性。其他人無(wú)法抗拒成為聚光燈下的機(jī)會(huì)。Darkside在2020年夏天聲名狼藉，甚至在一份專業(yè)撰寫的新聞稿中公布了勒索軟件的到來(lái)。這次襲擊的幕后黑手聲稱，他們的目標(biāo)不是醫(yī)院、學(xué)校或非營(yíng)利組織。相反，它更傾向于追查有能力支付高額贖金要求的大型高收入組織。

DarkSide以其對(duì)隱形的有效利用而聞名。勒索軟件是為個(gè)別目標(biāo)量身定做的，配有定制代碼和連接主機(jī)，使得攻擊難以追蹤。此外，它會(huì)在文件加密之前保持耐心，花時(shí)間首先確定環(huán)境的范圍。這一過(guò)程需要劫持特權(quán)帳戶、獲取憑據(jù)和其他有價(jià)值的數(shù)據(jù)，以及刪除備份。襲擊的復(fù)雜性和高調(diào)的目標(biāo)促使美國(guó)政府懸賞1000萬(wàn)美元尋找逮捕黑暗勢(shì)力領(lǐng)導(dǎo)人的細(xì)節(jié)。

?

永久勒索軟件防御措施

隨著勒索軟件攻擊的名單持續(xù)增長(zhǎng)，這些破壞性威脅的能力肯定會(huì)與它們一起發(fā)展。雖然每個(gè)變種都面臨著獨(dú)特的挑戰(zhàn)，但您可以遵循一些基本的指導(dǎo)原則來(lái)降低風(fēng)險(xiǎn)和潛在影響。

采取終端安全戰(zhàn)略：網(wǎng)絡(luò)犯罪分子將試圖利用每一個(gè)可能的入口點(diǎn)。通過(guò)將強(qiáng)大的安全技術(shù)從USB端口和系統(tǒng)登錄應(yīng)用到應(yīng)用程序和移動(dòng)設(shè)備，保護(hù)您的網(wǎng)絡(luò)。

?

使系統(tǒng)保持最新：運(yùn)行過(guò)時(shí)的軟件類似于敞開設(shè)施的大門。確保您的核心系統(tǒng)和應(yīng)用程序穩(wěn)定地接收更新以解決已知漏洞，并將安全工具配置為檢測(cè)最新威脅。

制定應(yīng)急計(jì)劃：當(dāng)整理數(shù)十個(gè)勒索軟件恐怖故事時(shí)，一個(gè)共同的主題脫穎而出--受害者做好了最壞的準(zhǔn)備，能夠更好地從攻擊中恢復(fù)過(guò)來(lái)。備份您的系統(tǒng)數(shù)據(jù)，在多個(gè)位置保存多份副本，并定期測(cè)試這些備份，以確保它們可以在危機(jī)情況下恢復(fù)。

保持警惕：無(wú)論是好是壞，勒索軟件都嵌入了數(shù)字社會(huì)的結(jié)構(gòu)中?；c(diǎn)時(shí)間確保您的員工接受了有關(guān)如何識(shí)別、避免和緩解潛在致命攻擊的培訓(xùn)。有大量可用的資源可以幫助您提高對(duì)既有和新出現(xiàn)的威脅的認(rèn)識(shí)。

虹科DataLocker的加密USB驅(qū)動(dòng)器可以增強(qiáng)您抵御任何勒索軟件攻擊的能力。

擴(kuò)展閱讀

Datalocker 數(shù)據(jù)加密解決方案

DataLocker 是高級(jí)加密解決方案的領(lǐng)先供應(yīng)商。憑借一整套硬件加密產(chǎn)品、加密虛擬驅(qū)動(dòng)器和中央管理平臺(tái)，DataLocker 為政府、軍隊(duì)和 70% 的財(cái)富 100 強(qiáng)公司保護(hù)敏感數(shù)據(jù)和知識(shí)產(chǎn)權(quán)。

DataLocker 產(chǎn)品將卓越的便利性和可用性與最先進(jìn)的安全性相結(jié)合。從加密的外部驅(qū)動(dòng)器和光學(xué)媒體到托管 DLP 解決方案，DataLocker 產(chǎn)品使控制、傳輸和共享敏感數(shù)據(jù)變得容易。

加密硬盤驅(qū)動(dòng)器

?

H300是一款經(jīng)濟(jì)實(shí)惠的加密硬盤，也可以遠(yuǎn)程管理。

DataLocker(IronKey)H300硬盤可保護(hù)數(shù)據(jù)、文件和目錄，因此您可以放心地保護(hù)敏感數(shù)據(jù)。提供用于獨(dú)立實(shí)施的基本版或允許遠(yuǎn)程管理的企業(yè)版。

特點(diǎn)：簡(jiǎn)單安全，強(qiáng)大的密碼保護(hù)，多語(yǔ)言支持，USB 3.0 性能，多種容量選項(xiàng)，堅(jiān)固耐用……

加密USB驅(qū)動(dòng)器

?

K350是一款受密碼保護(hù)、經(jīng)過(guò)FIPS 140-2 3級(jí)認(rèn)證的加密USB驅(qū)動(dòng)器，其屏幕可簡(jiǎn)化設(shè)置和操作。滿足最嚴(yán)格的要求，在任何有USB大容量存儲(chǔ)的地方輕松工作。

K350是DataLocker完整的安全管理解決方案組合中輕薄而強(qiáng)大的補(bǔ)充，此外，它還擁有3年有限保修支持。

特點(diǎn)：FIPS 140-2 3 級(jí)認(rèn)證，管理策略和數(shù)據(jù)恢復(fù)，無(wú)需安裝，完全可管理的設(shè)備，暴力破解密碼保護(hù)，防塵，防水，防震，抗震。

?