人为操作的勒索软件(Human-operated ransomware)攻击


=Start=

缘由:

前段时间不太忙的时候喜欢翻阅 Microsoft 的安全文档,近期抽时间把 Human operated ransomware 这一篇给翻译整理了出来(微软其实也提供了机器翻译的版本,但看起来稍微有些别扭就没有直接用),方便自己和有需要的同学查阅。

另外补充说一点,虽然在微软对外开放出来的文章中夹杂了一些私货(比如推广自家的Azure云、Microsoft Defender等产品,其它家比如Google也这样),但整体质量和内容还是有保证的,对于想了解国外大厂是如何做的同学可以多翻一下它们的官方文档/博客,可以学到不少东西。

正文:

参考解答:

勒索软件攻击是一种网络安全攻击,它破坏或加密文件和文件夹,阻止受影响设备的所有者访问他们的数据。然后,网络犯罪分子借机向企业主勒索钱财,以换取解锁加密数据的密钥。但是,即使支付了费用,网络犯罪分子也可能不会提供解密密钥。

自动化勒索软件攻击

商品勒索软件攻击(Commodity ransomware attacks)通常是自动化的。这些网络攻击可以像病毒一样传播,通过电子邮件钓鱼和恶意软件传递等方法感染设备,并且需要恶意软件修复。这意味着其中一种勒索软件预防技术是使用Microsoft Defender for Office 365或Microsoft 365 Defender等系统保护您的邮件,以便及早检测出恶意软件攻击和网络钓鱼尝试。

人为操作的勒索软件攻击

人为操作的勒索软件(Human-operated ransomware)是网络犯罪分子【主动攻击】的结果,这些犯罪分子渗透到组织的本地或云上的IT基础设施,设法提升他们的权限并将勒索软件部署到存储了关键数据的服务器上。

这些“hands-on-keyboard”攻击针对的是组织而不是单个设备。人为操作意味着存在人类攻击者利用他们对常见系统和安全错误配置的深刻认知来渗透组织,在内网漫游,并随时适应环境及利用其弱点。(个人认为可以简单理解为“弱化版本的”APT攻击了)

这些人为操作的勒索软件攻击的特征通常包括【凭证窃取】和【横向移动】以及被盗帐户的【权限提升】。攻击活动可能发生在维护窗口期间,网络犯罪分子利用发现的安全配置漏洞。目标是将勒索软件有效负载部署到攻击者选择的任意有高业务影响的服务器上。

这些攻击对业务运营可能是灾难性的,并且难以清理,需要完全驱逐对手以防止未来的攻击。与通常只需要恶意软件修复的商品勒索软件不同,人为操作的勒索软件攻击将在初次遭遇后持续威胁你的业务运营。

下图显示了这种基于勒索的攻击的影响力和可能性的增长趋势:

  • 高业务影响——敲诈勒索肯定会破坏商业运营来逼迫你支付赎金
  • 攻击者盈利——勒索经济回报不断增长
  • 成长空间大——攻击者可以从安全运营和配置的差距中获利,为了保护你所在的企业,你需要:持续为所有的设备应用安全更新、使用业界最佳实践对资源进行安全配置、消解特权账户被盗引发的影响

为您的组织提供保护来避免勒索软件攻击

如需全面了解勒索软件和勒索以及如何保护您的组织,请具体查看人为操作的勒索软件缓解项目计划演示文稿中的内容。下面是一个指导摘要:

  • 企业遭遇勒索软件和基于勒索的攻击的风险很高(可以认为是看不到尽头的)。
  • 但是,这些勒索攻击也有它的弱点,利用这些弱点可以降低企业被攻击的可能性。
  • 配置基础设施以利用攻击弱点来规避风险有三个阶段。

如果想全面了解利用攻击弱点的三个阶段,请参阅[链接]中的解决方案,下面是快速配置企业的IT基础架构以获得最佳保护的概要说明:

  1. 让企业做好从攻击中恢复的准备(业务连续性计划,BCP/BCM),从而无需支付赎金。
  2. 通过保护特权账号来限制勒索软件攻击的破坏范围
  3. 通过逐步消除风险,使攻击者更难进入您的环境

各阶段的防护方法:

  • 阶段1. (进不来)Prevent attackers from getting in
  • 阶段2. (低权限)Prevent an attacker from escalating their privileges
  • 阶段3. (删不掉/有备份)Protect your critical data from access and destruction

阶段1的状态以及缓解目标和衡量标准:

  • 状态:攻击者还被挡在企业外部没有进来;
  • 缓解目标:服务/设备/账号都基于已知的攻击向量做了加固;
  • 成功标准:攻击者很难攻陷任何设备或者获取任何有用的账户凭证。(实际情况中很难达到)

阶段2的状态以及缓解目标和衡量标准:

  • 状态:攻击者突破了外网防护进入了内网;
  • 缓解目标:通过保护管理员等高权限账号并快速对攻击做出响应以限制攻击者的攻击半径;
  • 成功标准:攻击者很难在防守者没有任何感知的情况下获取任何管理员等高权限账号凭证。(这依赖于防守方日志埋点的全面性和较高的工程实现能力,实际情况中能达到这一点要求的企业也不多)

阶段3的状态以及缓解目标和衡量标准:

  • 状态:攻击者获取了高权限账号凭证;
  • 缓解目标:通过严格的权限控制、加密和不可变的离线备份,最大限度地减少攻击者对企业的财务影响。
  • 成功标准:企业从攻击中恢复的成本比支付赎金的成本要低。(这一点相对前两点来说更容易达到一些,企业从这点出发的性价比也比较高)

容易被勒索攻击挑中的资产:

  • 本地的AD域控/高权限账号;
  • 本地的服务器/文件资源;
  • 设备;
  • 备份文件;
  • 云上的AD域控/高权限账号;
  • 云上的文件/邮件/应用/用户数据……;
  • ……

参考链接:

What is ransomware
https://docs.microsoft.com/en-us/security/compass/human-operated-ransomware

Quickly deploy ransomware preventions
https://docs.microsoft.com/en-us/security/compass/protect-against-ransomware

=END=


《“人为操作的勒索软件(Human-operated ransomware)攻击”》 有 2 条评论

  1. AMD targeted by RansomHouse, attackers claim to have ‘450Gb’ in stolen data
    https://www.theregister.com/2022/06/28/amd-ransomhouse-data-extortion/

    RansomHouse宣布盗取芯片制造巨头AMD 450GB数据
    https://mp.weixin.qq.com/s/zYMZSRYQOHKKDtsE53fKPg
    `
    RansomHouse 团伙声称在2021年入侵了芯片制造商巨头 AMD 并从该公司窃取了 450 GB 的数据,并威胁说如果该公司不支付赎金,就会泄露或出售这些数据。

    根据 BleepingComputer的说法,RansomHouse 合作伙伴一年前已经入侵了 AMD 的网络,但泄密网站报告称,2022年1月5日是入侵日期。

    RansomHouse于2021年12月开始运作,与其他勒索组织不同,该团伙不加密数据,而是专注于数据盗窃以加快其活动。这意味着威胁行为者没有感染 AMD 系统,但一旦获得对其网络的访问权,就会窃取内部数据。

    据称,被盗数据包括公司研究和财务文件,但目前仅发布了一些文件,其中包含可能在侦察阶段收集的内部网络信息。

    其中一个文件 all_computers.csv 包含托管在 AMD 内部网络上的超过 77,000 台机器的列表。另一个泄露的文件 sample_passwords.txt 包括一个弱 AMD 用户凭据列表,例如“密码”、“[email protected]”和“amd!23”。
    `

  2. Ransomware是如何工作的,以及为什么它至今还是个威胁?
    How Does Ransomware Work (And Is It Still A Threat)?
    https://www.sentinelone.com/blog/how-does-ransomware-work/
    `
    Threats come and go, but one thing remains the same: the ability of cybercriminals to adapt to circumstances. A brief decline of interest in ransomware as criminals focused their attention on cryptojacking during the previous year appears to have come to an end, and ransomware attacks are once again escalating.
    威胁来来去去,但有一件事一直不变——网络犯罪适应环境的能力。去年由于犯罪分子将注意力集中在加密劫持上,人们对勒索软件的兴趣有过短暂下降,但这一趋势似乎已经结束,勒索软件攻击再次升级。

    In this post, we’ll explain what ransomware is, how it spreads, how prevalent it is and what you can do to protect yourself against it.
    在这篇文章中,我们将解释什么是勒索软件,它是如何传播的,它有多流行,以及你可以做什么来保护自己免受它的侵害。

    # What is Ransomware?
    # How Does Ransomware Spread?
    # Is Ransomware On the Rise?
    # How To Defend Against Ransomware
    As we’ve seen, reports of ransomware’s untimely demise were overly exaggerated! That means users and enterprise need to be on guard to avoid being infected to start with and to have a response plan if they are.
    提前做好BCP计划。

    Backups are a good first line of defense, so long as you backup regularly and rotate backups so that at least one recent backup is offline at all times. Be sure not to rely on Windows built-in Shadow copies, as deleting these is one of the first things most ransomware does.
    备份是一个好方法。

    Secondly, use a security solution that is ransomware-proof. For enterprise, the best defense against ransomware is to use an automated endpoint solution like SentinelOne that can not only block threats on execution, but can also rollback any attacks that do get through without needing to rely on backups.
    部署安全软件防勒索

    For users caught out by ransomware with no way to restore or rollback, you are left with some unenviable options. If you are in luck, you may find a public decryptor that will help you to restore your files. If you are not, your choices are accept the data loss, or risk paying off the criminals. Of course, no one wants to reward crime, and there’s no guarantee that the criminals will uphold their end of the deal. In some cases of ransomware, the attackers did not even keep a copy of a decryption key and any victims who had paid up would have been both out of pocket and unable to recover their data.
    尝试提交赎金获取文件解密

    # Conclusion

    Ransomware offers an easy pay-day for criminals with low chance of getting caught. It also represents one of the most devastating attacks for victims, who can potentially lose everything from personal data to the very infrastructure that their business relies on. NotPetya and WannaCry remain the two most devastating attacks we’ve seen so far, but there’s every likelihood those will be eclipsed by something worse if businesses don’t learn the lessons of automated protection sooner rather than later.
    如果企业不尽早吸取教训,它们很可能会遭受比 NotPetya 和 WannaCry 更大的攻击和损失。
    `

发表评论

您的电子邮箱地址不会被公开。