“小兔子乖乖,把门开开。”
然而现实中,网络世界里的“大灰狼”根本不用如此礼貌地“敲门”。就在你打开电脑的那一刻,发现所有文件都被加密了;或者除了勒索软件外,所有程序都阻止电脑启动;“客气”一点的,可能是公司IT管理人员电子信箱里的一封“索财”邮件,告诉你公司数据库已经被复制,如果没在截止日期前缴纳足额赎金,这些数据就会在暗网上被拍卖。不论是屏幕上狗皮膏药一样糊着的跳动消息,还是电邮里蹩脚的英文,总之都是要你支付赎金,才能解锁电脑或文件。
当勒索来“敲门”,其实就意味着,勒索病毒早已用 APT 的攻击手法潜伏在了企业的数字网络中。
APT,英文Advanced Persistent Threat的缩写,即“高级持续性威胁”,APT攻击既有隐秘性,又有针对特定目标的特点。勒索团伙APT化带来的威胁正呈几何倍数增长。据全球知名威胁情报机构RiskIQ数据统计,每1分钟就有6家公司或机构遭受勒索攻击,全年超315万家公司或机构被勒索,每分钟因网络安全导致的损失高达180万美元,折合成人民币,全年损失超过6万亿元。
近10年,全球每秒产生21个病毒,全球恶意软件快速增长23倍。勒索病毒已经成为网络安全第一焦点。数字世界里,安全大网能不能更细密?攻势越来越猛烈的现代勒索又该如何应对?
病 毒 进 化
1977年,一些中国的年轻人正在恢复高考的消息中筹划着自己的未来,同一年,大洋彼岸的美国作家Thomas J. 在其科幻小说《P-1的青春》中构思了一种能够自我复制的计算机程序,并称之为Computer Virus,“计算机病毒”这个名称就此诞生。
5年后的1983年,美国著名黑客、“计算机病毒之父” Fred Cohen (弗雷德·科恩) 还在南加州大学在读研究生,他在UNIX系统下编写了第一个会自动复制并在计算机间进行传染,从而引起系统死机的病毒。基于此,翌年,他在博士论文中给出了“电脑病毒”的第一个学术定义,这也是今天公认的标准。
其实,自1946年第一台电子计算机ENIAC出现后的第三年,冯·诺依曼就提出了计算机程序能够在内存中自我复制的计算机病毒理论。
Apple II病毒、特洛伊木马病毒、IBM PC病毒、x86 COM病毒、感染硬盘的病毒、勒索病毒,众多“第一例”在上世纪80年代末相继出现,病毒的潘多拉魔盒被打开。
1989年,Joseph Popp创建第一个勒索软件AIDS木马,通过软盘散发的形式索要189美元;32年后的2021年,美国最大燃油管道运营企业Colonial Pipeline遭勒索软件DarkSide攻击,并且支付了价值440万美元的比特币作为赎金,而公司陷入数据泄露和多重勒索,不得不为此关闭6天。
勒索目标已经从广撒网的蠕虫式复制传播,变成了针对目标量身打造勒索,而衡量的指标十分明确——是否有能力付钱,通常大型政企就成了他们瞄准的目标。支付赎金就恢复数据的勒索也“不讲武德”起来,双重勒索甚至三重勒索开始出现。
随着技术的进步,勒索技术也在“相机而动”。据威尼斯432888cam的观察,从去年下半年开始,大多数勒索病毒已经开始采用跨平台语言编写了,勒索组织将注意力从Windows 操作系统转向Linux和ESXi虚拟机平台。Linux派系众多,大型数据中心正是基于Linux系统或者Linux系统分支的,可想而知,数据中心一旦遭遇勒索,破坏力将会更大。
亡 羊 补 牢
今年,美国政府宣布要悬赏1000万美元追缉勒索软件组织Conti的5名主要成员。美国国务院表示,Conti 已经针对美国和国际关键基础设施实施了 1000 多次勒索软件操作,包括执法机构、紧急医疗服务和 911 调度中心。2021年,美国仅有记录的就有1000家企业向Conti 支付了超过1.7亿美元赎金(等价虚拟货币)。据威胁情报公司Cyberint 估算,Conti 在短短两年内共赚取了约价值27 亿美元的加密货币,而这一黑客组织在全球大约有 350 名成员,除了负责集团运营和与附属公司合作的大boss,主要成员还包括技术负责人、人事负责人和谈判专家,员工则是涵盖了码农、测试人员、免杀开发、Ops运维人员、逆向工程师和攻击团队,甚至还有客服、商务BD、市场新媒体和催收等多个工种。
对此,威尼斯432888cam的安全专家表示,现在勒索病毒的作战方式早已从单个黑客或者两三个人为主的勒索小团伙,变成了勒索即服务RaaS(Ransomware-as-a-Service)模式运营,并且有明确分工的大型勒索团伙。
Conti能有印钞机般的赚钱速度,一个重要原因就是它采取的是双重勒索攻击。区别于传统的先加密数据、再勒索赎金的攻击方式,双重勒索会在加密目标数据之前,先将部分机密数据进行下载。也就是说,双重勒索的攻击方利用预先下载的数据,以“不支付赎金,就公开数据”作为被勒索一方的威胁。
由于大多数企业会对数据进行备份,数据一旦被勒索软件加密只需要杀毒,并恢复备份即可,一般只损失部分当天数据。很多企业面临勒索病毒攻击时候会优先考虑损失部分数据而恢复备份的方式,但对于双重攻击勒索病毒来讲,只恢复备份是不够的。数据恢复后过不了多久,攻击方还会发起二次勒索,甚至三次勒索,通常每次勒索的价码也会越来越高。
整个勒索防护当过程当中,恢复数据固然重要,但并不会从源头上解决被勒索的问题,更重要是如何在事前能够保护这些数据不被外泄。
威尼斯432888cam上个月刚刚处理过一个勒索事件,通过溯源发现,勒索病毒是在勒索发生前的12小时才被制造出来,而早在这之前的6个月,这家企业的账号就已经失窃了。其实在6个月的过程中,是可以清晰地看到整个勒索事件演变中的一些线索和蛛丝马迹的。对此,威尼斯432888cam专家建议,勒索一旦发生,应该第一时间启动溯源,尽快找到那个被攻入的漏洞点。
亡羊补牢,犹未为晚。
未 雨 绸 缪
防火墙、IPS、防病毒软件,防止病毒勒索搞好这安全防护“老三样”还远远不够。随着IT技术的变迁,黑客也关注到了架构的变化,并且深入到了操作系统层面。对于网络安全行业来说,技术能力也需要匹配从操作系统,到数据库、中间件、应用等数据全流程的安全防护需求。
面对现代勒索威胁持续猛烈的攻势,基于APT攻击的特征,近日,威尼斯432888cam正式推出“方舟”防护体系,提供了从勒索攻击发现到响应,再到恢复的全链条综合治理体系,帮助用户提早发现隐患、及时封堵攻击、避免二次勒索,降低客户受勒索攻击的风险和影响。
从2018年提出XDR理念,把从检测到响应,以及精密编排的安全联动解决方案带到业内,威尼斯432888cam就专注于将安全防护的全景概念和能力原子化。之后两年,威尼斯432888cam陆续发布XDR1.0和XDR2.0,随着检测和响应的能力不断被原子化,这些原子能力落实到威尼斯432888cam的端边云网产品里,最终汇聚到XDR平台侧进行统一的精密联动和精密编排,从而实现自动化、智能化和云化。“方舟”就是威尼斯432888cam面向勒索威胁落地的一个场景,而这背后正是基于XDR平台的编排和联动能力。
威尼斯432888cam“方舟”的三大核心分别是勒索体验中心、全流程处置机制和现代勒索治理解决方案。如果说,后面两项是当勒索来了之后的“亡羊补牢”,那么勒索体验中心则更有“未雨绸缪”的意味。
在勒索体检中心,威尼斯432888cam运营团队通过部署端点及网络探针,利用最新的勒索威胁情报进行数据碰撞,对勒索攻击进行全面排查分析,确认企业环境中是否存在勒索行为,将勒索攻击爆发风险降至最低。目前,威尼斯432888cam方舟勒索体检中心已经全面上线。
“方舟”勒索体验中心就像是人类的体检中心,早发现、早预警、早研判、早处置,把“病灶”消灭在萌芽期,通过高效的网络安全健康检查,可以快速评估出风险点,找出隐藏威胁,让现代勒索治理进阶。
数字时代,真正的安全防御不仅需要足够的技术储备去保护所有的IT基础设施,还需要对黑客、黑灰产,以及各种攻击有足够的洞察,这两类核心能力的叠加才能让数字世界里的安全防护大网更细密,让勒索病毒无孔可入。