人为操作的勒索软件(Human-operated ransomware)攻击


=Start=

缘由:

前段时间不太忙的时候喜欢翻阅 Microsoft 的安全文档,近期抽时间把 Human operated ransomware 这一篇给翻译整理了出来(微软其实也提供了机器翻译的版本,但看起来稍微有些别扭就没有直接用),方便自己和有需要的同学查阅。

另外补充说一点,虽然在微软对外开放出来的文章中夹杂了一些私货(比如推广自家的Azure云、Microsoft Defender等产品,其它家比如Google也这样),但整体质量和内容还是有保证的,对于想了解国外大厂是如何做的同学可以多翻一下它们的官方文档/博客,可以学到不少东西。

正文:

参考解答:

勒索软件攻击是一种网络安全攻击,它破坏或加密文件和文件夹,阻止受影响设备的所有者访问他们的数据。然后,网络犯罪分子借机向企业主勒索钱财,以换取解锁加密数据的密钥。但是,即使支付了费用,网络犯罪分子也可能不会提供解密密钥。

自动化勒索软件攻击

商品勒索软件攻击(Commodity ransomware attacks)通常是自动化的。这些网络攻击可以像病毒一样传播,通过电子邮件钓鱼和恶意软件传递等方法感染设备,并且需要恶意软件修复。这意味着其中一种勒索软件预防技术是使用Microsoft Defender for Office 365或Microsoft 365 Defender等系统保护您的邮件,以便及早检测出恶意软件攻击和网络钓鱼尝试。

人为操作的勒索软件攻击

人为操作的勒索软件(Human-operated ransomware)是网络犯罪分子【主动攻击】的结果,这些犯罪分子渗透到组织的本地或云上的IT基础设施,设法提升他们的权限并将勒索软件部署到存储了关键数据的服务器上。

这些“hands-on-keyboard”攻击针对的是组织而不是单个设备。人为操作意味着存在人类攻击者利用他们对常见系统和安全错误配置的深刻认知来渗透组织,在内网漫游,并随时适应环境及利用其弱点。(个人认为可以简单理解为“弱化版本的”APT攻击了)

这些人为操作的勒索软件攻击的特征通常包括【凭证窃取】和【横向移动】以及被盗帐户的【权限提升】。攻击活动可能发生在维护窗口期间,网络犯罪分子利用发现的安全配置漏洞。目标是将勒索软件有效负载部署到攻击者选择的任意有高业务影响的服务器上。

这些攻击对业务运营可能是灾难性的,并且难以清理,需要完全驱逐对手以防止未来的攻击。与通常只需要恶意软件修复的商品勒索软件不同,人为操作的勒索软件攻击将在初次遭遇后持续威胁你的业务运营。

下图显示了这种基于勒索的攻击的影响力和可能性的增长趋势:

  • 高业务影响——敲诈勒索肯定会破坏商业运营来逼迫你支付赎金
  • 攻击者盈利——勒索经济回报不断增长
  • 成长空间大——攻击者可以从安全运营和配置的差距中获利,为了保护你所在的企业,你需要:持续为所有的设备应用安全更新、使用业界最佳实践对资源进行安全配置、消解特权账户被盗引发的影响

为您的组织提供保护来避免勒索软件攻击

如需全面了解勒索软件和勒索以及如何保护您的组织,请具体查看人为操作的勒索软件缓解项目计划演示文稿中的内容。下面是一个指导摘要:

  • 企业遭遇勒索软件和基于勒索的攻击的风险很高(可以认为是看不到尽头的)。
  • 但是,这些勒索攻击也有它的弱点,利用这些弱点可以降低企业被攻击的可能性。
  • 配置基础设施以利用攻击弱点来规避风险有三个阶段。

如果想全面了解利用攻击弱点的三个阶段,请参阅[链接]中的解决方案,下面是快速配置企业的IT基础架构以获得最佳保护的概要说明:

  1. 让企业做好从攻击中恢复的准备(业务连续性计划,BCP/BCM),从而无需支付赎金。
  2. 通过保护特权账号来限制勒索软件攻击的破坏范围
  3. 通过逐步消除风险,使攻击者更难进入您的环境

各阶段的防护方法:

  • 阶段1. (进不来)Prevent attackers from getting in
  • 阶段2. (低权限)Prevent an attacker from escalating their privileges
  • 阶段3. (删不掉/有备份)Protect your critical data from access and destruction

阶段1的状态以及缓解目标和衡量标准:

  • 状态:攻击者还被挡在企业外部没有进来;
  • 缓解目标:服务/设备/账号都基于已知的攻击向量做了加固;
  • 成功标准:攻击者很难攻陷任何设备或者获取任何有用的账户凭证。(实际情况中很难达到)

阶段2的状态以及缓解目标和衡量标准:

  • 状态:攻击者突破了外网防护进入了内网;
  • 缓解目标:通过保护管理员等高权限账号并快速对攻击做出响应以限制攻击者的攻击半径;
  • 成功标准:攻击者很难在防守者没有任何感知的情况下获取任何管理员等高权限账号凭证。(这依赖于防守方日志埋点的全面性和较高的工程实现能力,实际情况中能达到这一点要求的企业也不多)

阶段3的状态以及缓解目标和衡量标准:

  • 状态:攻击者获取了高权限账号凭证;
  • 缓解目标:通过严格的权限控制、加密和不可变的离线备份,最大限度地减少攻击者对企业的财务影响。
  • 成功标准:企业从攻击中恢复的成本比支付赎金的成本要低。(这一点相对前两点来说更容易达到一些,企业从这点出发的性价比也比较高)

容易被勒索攻击挑中的资产:

  • 本地的AD域控/高权限账号;
  • 本地的服务器/文件资源;
  • 设备;
  • 备份文件;
  • 云上的AD域控/高权限账号;
  • 云上的文件/邮件/应用/用户数据……;
  • ……

参考链接:

What is ransomware
https://docs.microsoft.com/en-us/security/compass/human-operated-ransomware

Quickly deploy ransomware preventions
https://docs.microsoft.com/en-us/security/compass/protect-against-ransomware

=END=


《“人为操作的勒索软件(Human-operated ransomware)攻击”》 有 1 条评论

  1. AMD targeted by RansomHouse, attackers claim to have ‘450Gb’ in stolen data
    https://www.theregister.com/2022/06/28/amd-ransomhouse-data-extortion/

    RansomHouse宣布盗取芯片制造巨头AMD 450GB数据
    https://mp.weixin.qq.com/s/zYMZSRYQOHKKDtsE53fKPg
    `
    RansomHouse 团伙声称在2021年入侵了芯片制造商巨头 AMD 并从该公司窃取了 450 GB 的数据,并威胁说如果该公司不支付赎金,就会泄露或出售这些数据。

    根据 BleepingComputer的说法,RansomHouse 合作伙伴一年前已经入侵了 AMD 的网络,但泄密网站报告称,2022年1月5日是入侵日期。

    RansomHouse于2021年12月开始运作,与其他勒索组织不同,该团伙不加密数据,而是专注于数据盗窃以加快其活动。这意味着威胁行为者没有感染 AMD 系统,但一旦获得对其网络的访问权,就会窃取内部数据。

    据称,被盗数据包括公司研究和财务文件,但目前仅发布了一些文件,其中包含可能在侦察阶段收集的内部网络信息。

    其中一个文件 all_computers.csv 包含托管在 AMD 内部网络上的超过 77,000 台机器的列表。另一个泄露的文件 sample_passwords.txt 包括一个弱 AMD 用户凭据列表,例如“密码”、“[email protected]”和“amd!23”。
    `

发表评论

您的电子邮箱地址不会被公开。