阅读时长:6 分 40 秒 | 发布日期:2025 年 3 月 10 日
勒索软件 什么是勒索软件?
勒索软件是一种网络攻击类型,意在获得系统访问权限并对存储在其中的文件进行加密。若无私钥,文件便无法解密。攻击者在索得赎金之后,才会提供该私钥。
如何解决勒索软件攻击?
攻击者经常要求支付赎金来换取解密密钥。不幸的是,即便组织支付了赎金,却极少有攻击者会提供解密密钥,受害组织因此面临赎金与数据两空的窘境。
组织的平均勒索软件恢复成本(不包括支付的赎金)为 273 万美元。
勒索软件为何日益猖獗?
勒索软件是组织始终需要关注的问题。ESG 的研究表明,75% 的组织在过去 12 个月内遭受过勒索软件攻击,其中 10% 的组织每天都会遭受攻击。
勒索软件是一项大生意,许多威胁行为者都是有组织的犯罪集团。作为一个产业,勒索软件几年前的估值就已达到 140 亿美元。
勒索软件示例
一些勒索软件攻击会先引诱用户打开某个文件,通常是电子邮件附件,该附件会下载恶意代码,然后通过网络传播。另外的勒索软件攻击者则利用操作系统以及物理安全系统本身的漏洞或是软件黑客程序来访问网络并深入系统内部。
第一起大规模勒索软件威胁爆发于 2013 年 9 月,当时木马恶意软件 CryptoLocker 引诱用户下载文件,该文件之后感染了用户的系统,并扫描了整个网络,以寻找更多可以加密的系统和文件。在 2014 年 5 月,执法和安全机构齐心协力,一举清除了 CryptoLocker 木马。但效仿该木马的很多仿制品仍不断涌现。
自 CryptoLocker 被清除之后,又滋生了很多其他勒索软件系列。一些最常见的系列包括 Conti、Maze (Egregor)、Sodinokibi (REvil)、TorrentLocker、WannaCry、Petya (NotPetya)、Ryuk 和 MegaCortex。虽然称谓各异,但它们的目标一致,即通过声称为受害者解密数据和文件向受害者敲诈金钱。
全新的勒索软件即服务 (RaaS) 模式,即允许具有基本计算机技能和 Internet 权限的任何人参与勒索软件业务,此类攻击因此肆意蔓延。勒索软件开发者通过制作资源,比如加密工具、与受害者的通信内容以及赎金收取途径,并将其提供给其他网络罪犯,换取一定比例的赎金。
您可以采取什么措施来防范勒索软件攻击?
当今很多勒索软件攻击很难发现,因为它们越来越隐秘,避开了系统管理员与端点保护机制。攻击者因此可以长期操纵设备,肆意发起攻击。勒索软件平均驻留时间为 24天,攻击者访问和篡改组织数据的时间和机会绰绰有余。
攻击者只需利用密码管理不善的用户或是引诱用户点击网络钓鱼电子邮件中的链接,便可置整个企业网络于危险当中。对于很多企业而言,为员工举办安全意识培训是帮助降低勒索软件攻击其网络的风险重要的一步。由于攻击伎俩不断翻新升级,这种培训也应相应地定期更新。
若要防范利用软件漏洞的勒索软件,最佳方式是及时为操作系统和关键应用程序安装所有最新修补程序和更新。网络监控、密码保护、多重身份验证 (MFA) 和端点安全保护措施都是非常有用的技术和策略,有助于减少企业面临的威胁。
虽然发现数据加密和要求赎金可能是勒索软件最明显的迹象,但它们发生在攻击的最后。如果组织能够及早检测到勒索软件攻击的信号,就可能阻止攻击并防止进一步的损害。需要使用入侵侦测和防御系统 (IDS/IPS) 对传入和传出网络流量进行检测并阻止恶意和可疑活动。检测到潜在威胁活动后,IDS/IPS 工具可以在整个安全生态系统中发布威胁信息,以采取额外的保护措施。
彻底杜绝勒索软件攻击并不现实,但组织可以制定强有力的备份策略,在遭遇攻击时可以快速恢复,尽可能地缩短对业务运营造成的中断。这些备份应与网络相隔离,避免被勒索软件访问,因为大多数勒索软件也会尝试对备份进行加密。
勒索软件如何蔓延?
当今很多勒索软件攻击很难发现,因为它们越来越隐秘,避开了系统管理员与端点保护机制。攻击者因此可以长期操纵设备,肆意发起攻击。勒索软件平均驻留时间为 24天,攻击者访问和篡改组织数据的时间和机会绰绰有余。
攻击者只需利用密码管理不善的用户或是引诱用户点击网络钓鱼电子邮件中的链接,便可置整个企业网络于危险当中。对于很多企业而言,为员工举办安全意识培训是帮助降低勒索软件攻击其网络的风险重要的一步。由于攻击伎俩不断翻新升级,这种培训也应相应地定期更新。
若要防范利用软件漏洞的勒索软件,最佳方式是及时为操作系统和关键应用程序安装所有最新修补程序和更新。网络监控、密码保护、多重身份验证 (MFA) 和端点安全保护措施都是非常有用的技术和策略,有助于减少企业面临的威胁。
彻底杜绝勒索软件攻击并不现实,但组织可以制定强有力的备份策略,在遭遇攻击时可以快速恢复,尽可能地缩短对业务运营造成的中断。这些备份应与网络相隔离,避免被勒索软件访问,因为大多数勒索软件也会尝试对备份进行加密。
- 电子邮件网络钓鱼:这是最常见的勒索软件攻击手段。攻击者将向目标发送看似来自可信来源的电子邮件。这些消息通常设法让收件人在假冒网页上输入个人凭据或下载包含恶意软件的文件。
- 远程桌面协议 (RDP):这是一种 Microsoft 协议,允许用户远程连接并在某个系统上执行命令。不幸的是,RDP 安全过于仰赖用户,即要求用户设置安全性高的唯一密码,而实际情况通常并非如此。攻击者会轻易地破解 RDP 凭据或从暗网上购买破解的用户名和密码,进而访问系统。
- 软件漏洞:另一种常见的勒索软件攻击手段是利用软件漏洞。未经更新的软件在安全架构方面会存在漏洞,这为恶意软件侵入提供了可乘之机。对于攻击者来说,这些漏洞是相对容易得手的目标,因为无需进行破解,也不用获取凭据。
HPE 如何能够保护您免受勒索软件的影响?
遗憾的是,即使优秀的安全系统和实践都无法完全阻止勒索软件攻击。对于检测和防御攻击的早期阶段、恢复业务运行以及在攻击成功后最大限度减少潜在数据丢失,分层式安全策略以及全面的数据备份和恢复计划至关重要。
HPE SimpliVity 超融合解决方案加强了 IT 基础设施,简化了数据保护策略和恢复流程,特别适用于需要支持多个远程办公室的企业。这些解决方案提供内置数据保护等集成功能,有助于减轻远程办公室 (ROBO) 的负担,为整个公司提供更周全的保护。提高数据效率有助于提高备份频率、实现近乎连续的数据保护、延长保留期限以及加快恢复速度。在感染勒索软件的情况下,虚拟机及其所有数据可快速、方便地恢复,尽量减少系统停机时间、业务中断和收入损失。
HPE StoreOnce 是一种专用备份设备(或虚拟机),其中包括 HPE StoreOnce Catalyst 存储,可以有效地将重要数据与勒索软件攻击者隔离开来。这样一来,攻击者无法利用直接的物理交互来影响数据,这种交互最终会导致硬件本身局部或完全受损。即便某个位置的硬件遭到破坏,无论是因恶意软件还是自然灾害所致,HPE StoreOnce Catalyst 存储更为高级的实施方式(分布式实施)都会将这些数据与勒索软件攻击者利用的传统通信线路和命令集隔离开来,以此保护关键业务数据。
HPE Zerto Software 可针对从边缘到云的虚拟化和容器化应用及数据,提供基于日志的持续数据保护,达到前所未有的恢复水平。HPE Zerto Software 的平台可以灵活地在各类云之间提供保护 — 无论是私有、公有还是云原生部署。它的横向扩展架构可以保护数 PB 数据和数千个虚拟机。这种纯软件解决方案会复制每次数据更改,且不受底层硬件影响,因此不会拖慢生产系统的速度。
HPE Aruba Networking 是一种采用 AI 技术的安全优先网络,提供了通用的零信任基础,安全和网络团队可以使用它在不影响网络安全的情况下,为物联网和 AI 驱动型业务计划提供支持。
HPE Aruba Networking Central 监控网络中的恶意活动,使用 IDS/IPS 威胁情报签名来检查网络流量并检测与勒索软件杀伤链匹配的模式,生成威胁事件,并丢弃恶意数据包(如果安全管理员已启用此功能)。这些功能提供了额外的保护层,可以主动分析网络、提供信号并对流量采取基于规则的行动,以实时防止勒索软件等威胁。HPE Aruba Networking Central 中的 Webhook 还可以配置为向 HPE Zerto Software 发送通知以采取预防措施。
为了在恶意软件攻击传播之前打击它,HPE Aruba Networking SSE 中的沙盒功能使组织能够在安全的虚拟环境中测试可疑文件,并在恶意文件造成损害之前将其销毁。