什么是勒索软件？

勒索软件攻击会侵入网络系统，迫使相关组织支付巨额赎金。在某些情况下，这种常见的网络攻击甚至会严重损害企业的声誉，并导致企业遭受巨大损失。因此，有效的勒索软件防护措施至关重要。本文探讨了勒索软件的工作原理，以及企业可以采取哪些措施来保护自己的资产。

勒索软件攻击的定义

勒索软件是一种恶意软件。锁定目标设备，只有在支付赎金后才能访问这些设备。攻击者利用加密技术来阻止人们访问关键数据或文件。此时，受害者可以选择支付赎金以获取解密密钥，或者自行解密文件，而不理会勒索要求。

第二类勒索攻击则结合了加密技术和数据窃取行为。攻击者可以恢复对受害系统的访问权限，然后将数据窃取出来，以便在暗网或其他地方进行贩卖。这些威胁行为者通常会利用数据窃取作为威胁手段，从而让受害者更容易上当受骗，愿意支付赎金。

勒索软件是一种日益严重的威胁，尤其是在医疗保健领域。在美国，医疗保健领域的企业遭受了18.6%的勒索软件攻击。全球范围内，2023年有72%的企业遭遇了某种形式的勒索软件攻击，而这一比例在2018年为55%。到2024年，全球因勒索软件造成的损失超过了10亿美元。因此，采取有效的防护措施至关重要。

勒索软件是如何运作的？

勒索软件攻击可以由个人攻击者手动执行，也可以被自动化处理。

这些攻击通常遵循类似的模式：

破坏并感染目标网络

勒索软件攻击的第一阶段破坏目标网络.

攻击者首先会采取以下行动：侦察他们会研究目标对象，以发现其弱点。他们会收集各种证书和个人信息的列表，这些信息可用于实施网络钓鱼攻击。网络犯罪分子还可能扫描技术漏洞，以寻找潜在的后门或利用机会来攻击系统。通过这种侦察手段，攻击者能够更好地了解目标网络的情况，从而更有效地扩大其影响范围，并传播恶意软件。

下一阶段是渗透攻击者有多种方式来实现这一目标。他们可以通过电子邮件附件、恶意下载链接、虚假网站、被入侵应用程序中的后门，或者远程访问协议的漏洞来植入恶意软件。

在所有情况下，攻击者的终极目标都是一样的：在受害者的网络上执行恶意软件。当恶意软件被部署后，犯罪分子就可以进入勒索软件的下一个阶段了。

数据加密

在获得访问权限之后，勒索软件会在网络中横向扩散。攻击者会找到包含重要数据的数据容器或其他高价值资产。由威胁行为者控制的加密密钥会锁定这些数据，从而阻止合法所有者访问它们。

加密并非毫无选择地进行的。攻击者必须小心处理，确保网络和设备能够保持稳定运行。熟练的攻击者知道如何对重要信息和文件进行加密，同时又能保持系统的正常运行。

在这种情况下，那些技术高超的攻击者可能会采取进一步的行动。定位并删除备份文件没有解密密钥的话，系统的恢复就会变得更加困难。这进一步增强了攻击者的能力，同时迫使受害者不得不考虑支付赎金。

宣布发生勒索软件攻击事件

勒索软件攻击的下一个阶段是让受害者意识到自己正在遭受攻击。通常情况下，勒索软件的攻击者会通过受害者的屏幕来宣布他们的要求。例如，攻击者可能会将Windows系统的背景画面替换为包含有关他们提出的财务条款信息的画面。

有些攻击方式更为隐蔽，它们会在加密的目录中留下文本文件。攻击者可能会通过电子邮件或直接打电话来联系受害者。无论哪种情况，受害者都面临着一个选择：是支付赎金，还是拒绝支付。大多数现代版本的这种攻击方式都是如此。加密式勒索软件这些攻击要求用难以追踪的加密货币来支付。

解密与系统恢复

如果一切顺利的话，受害者会发送正确的加密货币数量，而攻击者则提供解密密钥。解密应用程序受害者只需将密钥输入解密工具中，就能恢复对数据和文件的访问权限。

不过，这仍然是最理想的情况。在92%的攻击案例中，受害者确实能够获得解密密钥，但他们仍然无法恢复所有被加密的数据。即使受害者遵循了所有的要求，也无法确保数据能够完全恢复。

注意：这里所描述的只是勒索软件攻击的一般情况。实际上，各种攻击方式都有所不同。有些变种会迅速传播到连接的设备上；而另一些则会对设备进行扫描，以提取数据。

各组织需要采用防勒索软件工具来评估每起事件的情况，并确定攻击者是如何针对其系统的。否则，勒索软件会导致许多不良后果。例如，一次勒索软件攻击就可能导致以下后果：

• 声誉损害那些将自己的数据置于危险之中的企业，会失去客户的信任。如果攻击行为扩散到用户的账户和设备上，所造成的损害将会更加严重。
• 直接损失。在2024年，平均勒索软件的收费为273万美元，而每起事件的平均成本则达到了185万美元。不过，有些案例的支付金额甚至可以达到4000万美元。
• 数据泄露数据盗窃行为往往伴随着赎金支付，这会增加攻击的总成本，同时还会进一步损害企业的声誉。
• 系统停机时间平均而言，勒索软件攻击会导致系统停机11.6天，不过这种停机时间有时可能会持续数月。根据涉及的经济领域不同，这可能会导致总成本增加数百万美元。
• 监管处罚如果监管机构认定该勒索攻击是由于安全漏洞导致的，他们可能会施加经济或法律上的处罚。例如，在发生勒索攻击之后，HHS向医疗服务提供者Providence Medical Institute处以了24万美元的罚款。

勒索软件的几种类型

不幸的是，犯罪分子有多种多样的方法来锁定目标设备，并要求支付赎金。企业需要采取相应的安全策略来应对各种潜在的威胁。

常见的勒索软件攻击类型包括：

• 加密勒索软件这种勒索软件攻击方式是通过使用私有的加密密钥来加密数据，同时要求用加密货币来支付赎金。由于比特币具有匿名性和易用性，因此成为最常用的加密货币。不过，攻击者也可以使用以太坊或Monero作为支付手段。当局很难追踪比特币的支付情况，因此也很难确定攻击组织的身份。
• Locker勒索软件。Locker勒索软件采用的方法稍微不那么有针对性。在这种勒索软件中，攻击者会锁定整个设备，而不仅仅是数据或文件。受害者无法访问被感染的设备。他们只能看到显示着勒索要求以及付款方式信息的屏幕。
• 恐怖软件/恶意程序恐怖软件攻击利用恐惧心理来促使受害者支付赎金。这种攻击手段通常不会对文件进行加密处理，而是发送所谓的“病毒警告”或虚假的勒索软件警报。受害者为了消除这些不存在的威胁而支付金钱，但这样做可能会破坏他们的网络安全。恐怖软件攻击往往发生在常规的勒索软件事件之后，因为此时企业更容易受到进一步的胁迫。
• 刮刀/擦拭器从技术上讲，这种攻击并不属于典型的勒索软件攻击，但它们具有类似的特性。在这些攻击中，攻击者会利用恶意软件来删除或加密重要的文件。其目的通常是给目标组织造成破坏和损害。
• RaaS（赎金服务）RaaS使得技术不足的犯罪分子也能发起大规模的勒索攻击。合作伙伴可以从暗网上的供应商处购买勒索软件套件。通过这些套件发动的攻击，与专业攻击者发动的攻击一样难以被检测出来。RaaS正是导致勒索软件作为一种网络安全威胁迅速发展的关键因素。
• 泄露的软件/数据（DoxWare）这些勒索软件攻击者专门负责提取数据，并威胁那些拒绝支付赎金的目标，使其面临数据泄露的风险。这些攻击方式并不一定依赖于加密技术。相反，他们会迅速采取行动，扫描相关数据并将其转移到安全的地方。对于那些处理个人身份信息（PII）的组织来说，Doxware是一种极其危险的威胁，比如医疗机构、政府机构或金融服务提供商等。
• 无文件形式的勒索软件。无文件勒索攻击并不依赖于独立的恶意软件程序。这些攻击直接针对那些处理并存储敏感数据的应用程序。由于使用了看似合法的应用程序，因此这类攻击很难被检测到。此外，攻击者还可能将数据加密到系统内存中，这使得这些攻击的影响更加严重。
• 物联网勒索软件随着智能设备与分布式网络的兴起，网络犯罪分子越来越倾向于攻击物联网基础设施。物联网勒索软件会锁定物联网设备，阻止用户访问这些设备，直到用户支付赎金为止。如果物联网设备是制造或能源生产系统的一部分，那么这种情况就更加严重了。
• 重复或多次的勒索行为这些勒索软件变种将加密功能与数据窃取行为结合在一起。在双重勒索攻击中，犯罪分子会窃取受害者的数据，而这些数据可以被他们用作“保险”，以防受害者不支付赎金。三重勒索攻击则进一步扩大了勒索软件事件的规模，因为攻击者还会针对受害者的客户或合作伙伴进行攻击。此外，攻击者还可能威胁实施毁灭性的DDoS攻击，以迫使受害者支付更高的赎金。
  
  

在现实世界中，组织并不遇到固定的分类方式。相反，安全团队必须面对各种复杂的情况来处理这些问题。特定的勒索软件程序/工具基于最新的威胁情报数据。一些著名的勒索软件变体的例子包括：

迷宫

自2019年以来，这种恶意软件一直存在。Maze是一种结合了数据窃取和加密技术的恶意软件，如果受害者拒绝支付赎金，它就会在暗网拍卖市场上出售受害者的数据。最初，这种恶意软件通过恶意电子邮件附件进行传播。不过，随着时间的推移，这种恶意软件开始利用RDP漏洞，甚至试图破坏VPN服务。

特权提升是Maze的一个关键特性。该勒索软件程序会在目标网络中移动，窃取用户凭据并逐步提升自己的访问权限。此外，系统中还存在许多后门程序，这进一步增加了清除该软件的难度。

Maze背后的团队在2020年正式宣布解散。不过，与之相关的Sekhmet和Egregor勒索软件开发者们仍然使用类似的技术手段。很可能，Maze已经转型为一种RaaS模式的产品，从而扩大其影响力。

REvil

REvil以针对大型企业为目标而著称，是另一个备受关注的勒索软件威胁。这些来自俄罗斯的勒索软件变种采用双重敲诈手段来获取数据。这样一来，攻击者就可以要求极高的赎金金额。据攻击者称，该组织的收入经常超过250万美元，整个组织的总收入则超过了20亿美元。

亲爱的Cry

该漏洞在2021年被发现，与中国的Hafnium集团有关。DearCry主要针对Microsoft Exchange服务器中的漏洞进行攻击。当攻击者在服务器内部时，它会使用几乎无法破解的AES-256加密算法来加密数据，同时还会使用RSA-2048密钥来进行加密。受害者根本无法采取任何措施来阻止这种攻击，因为攻击者会将加密后的数据以“.CRYPT”扩展名的形式保存起来，从而让受害者无法恢复数据。

法/ CrySis

Dharma通过RDP服务端口来攻击远程桌面协议用户。利用暴力破解技术，勒索软件攻击者可以利用公共云中开放的RDP端口进行攻击。之后，他们可以访问Windows系统，植入具有AES-256加密功能的恶意软件，并使用凭据提取器在网络中横向移动。

像Dharma和DarkSide这样的恶意软件与其他类型的加密勒索软件有所不同，因为它们会对云端的操作造成直接威胁。对于那些依赖远程访问来使用云服务的组织来说，检测和消除这些恶意软件是至关重要的安全问题。

如何检测勒索软件呢？

网络攻击者会设计出能够绕过检测系统的勒索软件。不过，还是有一些方法可以在加密过程开始之前就检测到这些勒索软件攻击。

全面的端点保护非常重要。端点检测与响应机制EDR工具能够监控进出网络资源的流量。这些工具包含反恶意软件及防病毒软件，且能够获取定期更新的威胁情报信息。

EDR采用了多种技术来检测勒索软件攻击。首先，安全工具会寻找那些可能表明存在勒索软件攻击的迹象。恶意软件签名这些正是已知的勒索软件所具备的特征。不过，单纯的签名信息并不足以防御这些攻击，因为攻击者可以修改相关程序，使得每次攻击都变得独特起来。

因此，EDR也如此。进行检查/核对 异常的用户行为这指的是勒索软件攻击。例如，反复出现读取、编辑和移动文件的请求。