- 勒索软件采用供应链攻击等隐蔽方法,利用用户与软件提供商之间的信任,使其难以检测和预防。
- 由于勒索软件使用的复杂加密算法,恢复加密数据通常成本高昂且不确定,甚至在解密后也可能导致数据丢失或损坏。
- 受害者面临二次勒索软件攻击的风险,因为攻击者利用系统漏洞或留下后门,导致反复的财务和运营中断。
勒索软件是一种特殊类型的恶意软件,它通过技术手段限制受害者对系统或其内部数据(如文档、电子邮件、数据库、源代码等)的访问,并以此勒索受害者。受害者需要支付一定数额的赎金才能重新获得对数据的控制。任何组织或个人都可能成为勒索软件攻击的目标。
勒索软件攻击趋势
更隐蔽的攻击渠道
供应链攻击利用用户与应用程序提供商之间的信任,在正常软件分发或升级过程中,通过利用软件提供商的各种疏忽或漏洞,劫持或篡改合法软件,从而绕过传统安全产品的检查。最近,这种攻击技术出现在多个客户站点,应用程序升级包在上游被感染,并在进入客户网络环境后进一步渗透整个网络。

传统方法难以应对的攻击
尽管企业网络安全意识有所提高,并部署了网络安全设备,但勒索软件攻击仍然是一个重大威胁。这些攻击具有隐蔽、高速、多渠道传播的特点,给传统防护方法带来了挑战。例如,基于特征比较的技术难以跟上勒索软件攻击渗透的步伐,高级威胁检测产品缺乏多维度的全方位防护能力,终端威胁防护特征库无法跟上勒索软件病毒变种的快速演变。
另请阅读:多因素认证的三个因素是什么?
加密数据恢复的可能性低但成本高
当遭受勒索软件攻击时,您通常可以根据勒索组织的行为、加密或锁定方式,判断其使用了网络上已公开的少数加密算法来支持解密工作。然而,由于勒索软件病毒使用的加密算法极其复杂,数据恢复的可能性往往极低,即使成功解密,也可能导致数据损坏或丢失。
二次勒索的风险
一些受害者会一次又一次地遭受勒索攻击。这与勒索软件的高度伪装性和隐蔽性有关。一方面,这是因为受害者在第一次攻击后未能彻底清除恶意程序或修复系统漏洞,导致攻击者可以利用已知弱点再次发起攻击;另一方面,一些攻击者可能故意留下后门,以便在未来再次激活并发起攻击。
另请阅读:多因素认证有效吗?
勒索软件的特征攻击
迭代迅速、变种众多的勒索软件病毒
随着网络安全环境的不断变化和技术的快速发展,勒索软件病毒也在不断进化,呈现出更先进、更复杂的攻击特征。勒索软件的变种数量越来越多,单纯依靠样本比对进行防御,很难跟上病毒变化的速度。截至 2024 年 3 月,Venut 反勒索专家团队已收集了超过 10 万种病毒样本,仅 2023 年就增加了 1600 种。
已形成的勒索软件产业
勒索软件攻击已形成一个产业,从入侵系统、加密文件到勒索赎金,形成了系统化的攻击模式。产业的形成源于技术进步。随着数字化转型的加速,越来越多的企业和个人将数据和业务转移到线上,使得潜在的攻击面不断扩大。此外,一些攻击者通过提供勒索软件即服务(RaaS)降低了勒索攻击的门槛,勒索软件攻击正迅速形成规模效应。
使用反防护手段
针对有利可图的受害者,攻击者不惜冒险使用反防护策略。在一次为客户提供反勒索服务的过程中,发现攻击者通过社会工程攻击成功渗透,利用远程桌面协议(RDP)和虚拟专用网络(VPN),卸载终端设备上安装的防病毒客户端或停止其进程,控制了客户的终端,进而深入到其他网络环境。
多种传播方式
勒索软件可以通过电子邮件、程序木马和网页挂马等形式广泛传播。绝大多数网络用户安全意识薄弱,在其互联网终端上仅使用基本的安全防护软件,随意使用开源软件,点击邮件中的不明链接,访问不安全的网页,不知不觉中成为勒索软件的传播者。
如何防御勒索软件?
网络侧防御
防御勒索软件攻击的关键在于预防——在攻击进入组织并造成实质性损害之前进行拦截。最好的方法是建立基于防火墙的多层安全防御体系,防止攻击者突破一层防御后长驱直入。严格的安全策略是最简单有效的防护手段;仅对外开放必要的服务,封堵高风险端口,可减少暴露面(攻击面)。阻断已知威胁往往能使攻击者放弃攻击,否则攻击者需要创建新的勒索软件或利用新的漏洞,其成本必然增加。另外,启用文件过滤可以限制高风险类型文件进入网络;通过 URL 过滤阻断恶意网站,可以防止用户无意中下载恶意软件。
主机侧防御
首先,建议通过组织级 IT 基础设施解决方案统一设置主机。AD 服务器的组策略和企业级防病毒软件的控制中心可以确保安全措施落实到位,无需依赖员工的个人执行。
其次,对员工进行信息安全教育也很重要。许多勒索软件程序利用电子邮件和社会工程策略诱使员工下载恶意软件或访问恶意 URL。只要员工不进行此类操作,就能避免激活携带它们的攻击向量。通过信息安全意识培训,培养员工良好的办公习惯,识别并防范典型的攻击策略,是避免勒索软件攻击的有效手段。

