| 相信我,你也可以成为成功的网络罪犯!简单!低成本!一夜暴富!不需要花多年时间浸淫代码编写或软件开发技艺。只需要下载我们简单的勒索软件工具包,就能让您坐等钱财源源而来——享受在家办公的舒适与弹指坐听比特币落袋声的双重快乐。 |
上面是虚拟出来的《勒索软件宣言》,但事实情况也的确这样。
开启勒索软件“事业”的小成本和简单性,意味着近乎任何人,包括几乎没有IT经验的那些,都可以成为成功的网络罪犯。勒索软件即服务(RaaS)的兴起——恶意软件作者招募“分发者”扩散感染再抽成的一种商业模式,让上面的文字描述堪比电视购物销售专家。
趋势科技在最近的一篇博客帖子中更为正式地描述称,“潜在分发者不需要太多资金或技术专业知识就能启动;甚至毫无编程经验的人也能发起勒索软件攻击活动。”事实上,某些勒索软件包的价格还不足 $100。
换句话说,任何人都能干这事儿。
研究公司Osterman的一份白皮书揭示,勒索软件处于“流行病”级别,去年近50%的美国公司都经历过勒索软件攻击。而趋势科技8月发布的一份报告发现了约80种新勒索软件“家族”,比2016年上半年发现的增长了172%。在2015年,仅CryptoWall系列的1个老版本就攫取到约3.25亿美元。
趋势科技的报告发布之后,情况甚至更为糟糕了。9月底,增长率达到了400%。2015年,29个恶意软件家族被发现,而今年9月,趋势科技发现并封锁了145个。鉴于此类威胁的动态本质,及时获取和共享可行性情报是最大的挑战。
DDoS攻击能得到更多的媒体曝光——因为某产品或服务的所有用户都会受到影响,关于其影响的新闻便会以典型网络新闻的速度扩散。相反,勒索软件往往除了公司内部的人之外无人得知,除非被勒索的公司、攻击者或者受影响客户公开消息。很多公司都不报告勒索软件攻击,而DDoS攻击则是从设计上就尽可能地为人所知。
支付赎金绝对是迫不得已情况下的最后选择。但不得不承认,勒索软件是个正在发展中的产业,远未达到巅峰,还仅仅在起步阶段。大量公司的账户要么支付赎金,要么拉倒重来。赛门铁克安全情报投放主管则认为,不仅仅攻击数量有上升,赎金索要额度也在上涨。
| 平均赎金涨幅超2倍,现在达到了 $679 ,2015年还只是 $294。 |
2016年见证了赎金新记录,名为7ev3n-HONE$T (Trojan.Cryptolocker.AD)的威胁索要每台电脑13比特币的赎金,换算成事发当时2016年1月的汇率,价值 $5,083。这种爆发式增长的原因之一可能是,即便有持续不断的警告,大多数个人和公司依然不幸地漏洞满身。即使有防护措施可用,他们也总是无视掉了。
最近对旧金山交通局的攻击就是个例子。安全博主布莱恩·克雷布斯在其最近的一篇博文中指出,攻击者实际上建议其受害者“阅读此邮件并在重新接入互联网前安装安全补丁”,随附据称是Oracle发布的 WebLogic Server 漏洞补丁链接。但Oracle发布该补丁的时间是2015年11月10日——1年多前。
勒索软件成功的另一原因,是安全研究人员需要时间来解密文件。以便提供封锁它们的解决方案。该项工作正在进行。一旦研究人员破解了勒索软件,他们就能创建特征码或攻击指标。
安全厂商飞塔、英特尔安全、Palo Alto Networks和赛门铁克,成立了网络威胁联盟(CTA),采用共享威胁情报的方式来追踪和分析恶意软件。他们的一次联合行动中就锁定分析了CryptoWall家族。
据该联盟称,此项工作增强了每个成员的产品对该类威胁的防护能力,并通过其报告建立起了公众意识。其他专家也欢迎共享威胁数据,但指出其仍是反应式的——更新、补丁和其他封锁工具只有在威胁已经引发了损害之后才会出来。反病毒和反恶意软件产品对易得手的东西防护给力,但威胁发展太快,任何工具都无法提供100%防护。
虽然CTA的目标值得鼓掌,这却只是个会员制的俱乐部。为加入该俱乐部,你必须至少每天提供1000个与VirusTotal不重合的恶意软件可执行文件。这一高门槛,意味着即便目标是好的,其包容性的不足却帮不了那些受影响的人。更好的解决方案应是敞开大门,让经过审查的公司和研究人员贡献和研究那些样本。
威胁信息的共享对与所有网络威胁的作战非常重要。但现实是,鉴于此类威胁的动态本质,及时获取和共享可行性情报是最大的挑战。没有什么万灵药可以封锁住所有威胁。但一个保护终端、网络和云基础设施的层次化联网威胁防御,至少能让公司管理应对勒索软件威胁。
然而,最好的解决方案,是那些预防性的,包括:
- 及时安装软件更新和补丁
- 变得够精明,不被网络钓鱼邮件欺骗。留心非预期的电子邮件,尤其是里面包含有链接或附件的情况。用户应特别小心任何要求启用宏以查看内容的微软Office附件。除非你完全确定这是来自可信源的真实邮件,否则不要启用宏。
- 经常备份,确保备份有额外的防护措施或离线存储。
公司企业可以从限制对最重要数据的访问开始,然后严格监视网络异常。只要发现异常,可以自动在安全的位置创建文件备份。测试备份恢复也是很重要的。发生安全事件时,你最不想看到的,就是备份没法恢复……
最后,专家对是否支付赎金问题看法各异。
有人认为“绝对不能支付赎金”。很多时候,即便支付了赎金,文件还是不能解锁。看起来似乎只要赎金被支付了,犯罪分子就知道了这生意很好做,然后继续进行这种类型的攻击。
文件是否被解锁是没有保证的,而且之后再被攻击的可能性还会上升。而且,即便攻击者提供了解密密钥,他也有可能已经渗漏了数据,然后在深网上售卖。
其他人也同意支付赎金是个不怎么样的主意,但同时也认为,有时候乖乖交钱是唯一可行的办法了。支付赎金绝对是迫不得已情况下的最后选择。
从安全角度考虑,受害者绝对不应该支付,因为这只会鼓励下一次索要更大额赎金的攻击。但是,从公司角度考虑,如果不支付赎金业务就不能继续运营,那么公司只能面对现实。
