2018年3月,亚特兰大是击中勒索软件攻击感染了属于亚特兰大市的近3,800台政府计算机,包括服务器。部署病毒后,勒索软件从本质上讲,将所有感染的计算机锁定,使它们无法访问。亚特兰大的法院制度下降了。警方无法检查车牌;居民无法在线支付账单。
亚特兰大袭击前三周,这座小城市利兹,阿拉巴马州,也经历了相同的网络攻击。在一月份的利兹之前,汉考克地区医院在印第安纳波利斯郊区。
这三项攻击的共同点是他们都受到了袭击SAMSAM勒索软件,也称为MSIL/SAMAS.A。每次攻击都需要相同的数量 -约50,000美元在加密货币。汉考克地区医院和阿拉巴马州利兹支付了赎金。但是,亚特兰大市没有。取而代之的是,它选择支付数百万美元以使其系统恢复在线。
当时,亚特兰大市是勒索软件攻击最突出的城市之一。霍尔奎斯特(Hulquist)是分析副总裁,强制性威胁情报火EEYE,由情报领导的安全公司。
广告
勒索软件并不是什么新鲜事物
赫尔奎斯特(Hulquist)表示,勒索软件攻击基本上将公司网络“人质”持有,直到支付要求的赎金为止,这并不是什么新鲜事物。他们已经进行了几年(正如这三个案例所示)。
在2021年上半年,全球受勒索软件影响的组织数量翻了一番根据检查点软件技术的研究,与2020年相比。Fireeye的MandiantM-Trends 2021报告还确定了可能被盗数据的800多次勒索尝试。这些数字基于对2019年10月1日至2020年9月30日进行的针对性攻击活动的强制调查。
现在的目标变得越来越引人注目。仅在4月以来,就在美国,像殖民管道,,,,JBS食品,,,,NBA和Cox Media Group全部受到打击。
黑客通常通过网络钓鱼攻击这是发送给员工的电子邮件,欺骗他们放弃密码或单击将恶意软件下载到公司网络的恶意链接。Ransomware还通过密码易于破解的密码寻找其他条目,例如123QWE。
广告
为什么这么多,为什么现在?
赫尔奎斯特这样的解释:最初勒索软件主要是自动化和针对性的小型系统。他称其为“喷涂和祈祷”。
他解释说:“勒索软件将熄灭并击中它可以获得的任何系统。”它寻找脆弱的密码,开放网络,简单的入口。“众所周知,攻击者非常友好;他们会解锁数据 - 甚至有时会提供折扣 - 并继续前进。”他说,比特币为转让这笔钱提供了一个很好的平台。这正是利兹发生的事情。攻击者要求$ 60,000;小镇支付了$ 8,000。
但是后来发生了变化,赫尔奎斯特说。勒索软件从自动化的“喷雾和祈祷”转变为对拥有更多资金的大公司的大型攻击。赎金飞涨。根据2020年,公司向袭击者支付了超过4.06亿美元的赎金加密货币。链分析,分析区块链和加密货币。
霍尔奎斯特说:“这些新目标必须支付,因为它们通常是关键的基础设施。”“他们必须回到网上。消费者实际上是一个因素,因为他们迫使这些公司做出仓促的决定。”
广告
支付还是不付款?
在殖民管道攻击中就是这种情况。该黑客击落了美国4月29日美国最大的燃油管道,并促使大规模燃料在整个东海岸ho积。殖民管道首席执行官约瑟夫·布朗特告诉《华尔街日报》该公司支付了赎金 - 440万美元比特币- 将管道恢复在线。但是,对手提供的解密密钥并没有立即恢复所有管道的系统。
这只是支付赎金的问题之一。另一个主要问题是支付赎金是否只是鼓励更多问题。霍尔奎斯特说:“我认为支付赎金显然会导致更具针对性的攻击,但是如果您是一家处于不可能的情况下,您必须为组织做正确的事情。”
殖民地的好消息是美国司法部6月7日宣布它收回了63.7个比特币,价值约230万美元的殖民地支付给黑客。霍尔奎斯特说:“司法部的举动是从破坏美国关键基础设施的运营商那里收回赎金的付款是一个受欢迎的发展。”“很明显,我们需要使用几种工具来阻止这个严重问题的潮流。”
当然,不支付赎金可能同样有问题。霍尔奎斯特说:“其中一些公司不想付款,因此他们通过公开泄露数据来迫使他们付款。”“这是许多组织不想要一部分的主张。”他说,泄漏的电子邮件和其他专有信息对某些公司的损害比仅仅付款更大。它可以使他们陷入法律麻烦或最终伤害他们的品牌。
其他黑客只是要求付款即使安装勒索软件。这就是四月对休斯顿火箭弹的袭击中发生的事情。NBA团队的网络没有安装勒索软件,但是黑客组巴布克威胁要出版合同和不披露协议,如果没有付款,它声称它从团队的系统中偷走了。
广告
政府在做什么?
赫尔奎斯特说,政府可以做更多的事情。他说:“我们已经知道这个问题已经增长了一段时间,他们终于才刚刚认真对待它并加强了他们的努力。”
当然,他指的是拜登政府针对勒索软件攻击激增的几项新计划。5月12日,拜登总统签署行政命令旨在改善联邦政府网络中的网络安全。在其执行行动中,它将建立一个以国家运输安全委员会(NTSB)为模型的网络安全安全审查委员会。该小组可能会包括公共和私人专家,他们将检查与NTSB调查事故相似的网络事件。
拜登(Biden)副助理兼网络和新兴技术副国家安全顾问安妮·诺伊伯格(Anne Neuberger)也发布一封公开信6月2日介绍了“公司高管和商业领袖”。
她在里面私营部门说有责任防止网络威胁,并且组织“必须认识到,无论规模或位置如何,任何公司都没有受到勒索软件的攻击……我们敦促您认真对待勒索软件犯罪并确保您的公司网络防御与威胁相匹配。”
广告
如何保护您的公司
您该怎么做才能确保您的网络安全?网络安全和信息安全局(CISA)和联邦调查局5月11日发布了防止勒索软件攻击造成业务中断的最佳实践。他们在其中列出六个缓解公司现在可以做到降低勒索软件损害的风险:
- 需要多因素身份验证,以远程访问操作技术(OT)和IT网络。
- 启用强大的垃圾邮件过滤器,以防止网络钓鱼电子邮件接触最终用户。过滤电子邮件包含可执行文件,从最终用户到达。
- 实施用户培训计划和模拟攻击,以防止用户阻止用户访问恶意网站或打开恶意附件,并将适当的用户响应推荐给矛盾的电子邮件。
- 过滤网络流量,以禁止使用已知恶意IP地址的入口和出口通信。通过实现URL集块列表和/或允许列表来防止用户访问恶意网站。
- 更新软件,包括及时的IT网络资产上的操作系统,应用程序和固件。考虑使用集中的补丁管理系统;使用基于风险的评估策略来确定哪些OT网络资产和区域应参与补丁管理计划。
- 限制通过网络对资源的访问,尤其是限制远程桌面协议(RDP),这是用于远程管理的安全网络通信协议。评估风险后,如果认为RDP在操作上有必要,则限制原始资源并需要多因素身份验证。
赫尔奎斯特说,现在游戏的全部目的是达到一个可能付款的巨大目标,这是一个已支付。并且离线关键基础设施并不是不可能的。他说,美国没有准备好。
他说:“我们的精致是我们在这个空间中的阿喀琉斯脚跟。”“这使我们更容易受到事件的攻击。我们应该从所有这一切中汲取的教训之一是我们没有为Cyberwar做好准备。我们确实知道他们已经针对医疗保健和其他关键能力。每个人都从中学习。xf187手机版“
广告
