勒索病毒仍舊肆虐橫行

2017年，“WannaCry”勒索病毒在全球爆發(fā)，給多個國家地區(qū)的計算機用戶造成了災(zāi)難性損失。兩年過去了，不同種類的勒索病毒及變種仍舊在全球肆虐橫行，所到之處哀鴻遍野。

以美國為例，美國地方政府的信息系統(tǒng)一直是勒索病毒感染的重災(zāi)區(qū)，自2013年以來，至少有170個縣、市或州政府系統(tǒng)遭遇了勒索軟件攻擊，僅2019年就已發(fā)生了22起攻擊，攻擊數(shù)量仍持續(xù)激增。

據(jù)德克薩斯州信息資源部（DIR）消息，8月16日，德克薩斯州23個小城鎮(zhèn)的計算機系統(tǒng)遭到勒索病毒攻擊，具體受攻擊城鎮(zhèn)的名單未公開，攻擊者要求250萬美元的比特幣贖金。

然而，DIR在聲明中表示，并未向攻擊者支付任何贖金。國家運營中心在襲擊當日已啟動應(yīng)急響應(yīng)工作，到8月23日，所有受影響的關(guān)鍵業(yè)務(wù)已恢復(fù)正常。

無獨有偶，馬薩諸塞州東南部港口城市新貝德福德市市長9月4日透露，該市在今年7月5日曾遭到Ryuk勒索軟件攻擊。當時黑客開出530萬美元的解密贖金，該市曾嘗試與黑客砍價，表示愿意支付保險賠付金40萬美元，但遭到黑客拒絕，隨后該市決定自行恢復(fù)被加密的系統(tǒng)。

下面匯總了美國近年一些典型的勒索軟件攻擊事件的損失情況 ：

?  2018年3月，佐治亞州，亞特蘭大市，拒絕支付贖金，花費超過950萬美元恢復(fù)系統(tǒng)。

?  2018年10月，康涅狄格州，West Haven，支付2000美元贖金。

?  2019年3月，佐治亞州，杰克遜縣，支付40萬美元贖金。

?  2019年5月，馬里蘭州，巴爾的摩市，拒絕支付贖金，花費超過1800萬美元恢復(fù)系統(tǒng)。

?  2019年6月，佛羅里達州，里維埃拉海灘，支付60萬美元贖金。

?  2019年6月，佛羅里達州，萊克城，支付46萬美元贖金。

?  2019年7月，印第安納州，拉波特縣，支付超過13萬美元贖金。

?  2019年7月，馬薩諸塞州，新貝德福德市，討價還價后遭拒，恢復(fù)成本未知。

?  2019年8月，德克薩斯州，23個城鎮(zhèn)，拒絕支付贖金，恢復(fù)成本未知。

理想很豐滿，現(xiàn)實很骨感

頻發(fā)的勒索攻擊令美國各州市長們焦頭爛額，苦不堪言，他們決定團結(jié)起來，面對外部威脅統(tǒng)一陣線。2019年7月10日，1400多位市長在第87屆美國市長會議上一致通過了一項決議，承諾不再為勒索攻擊支付贖金。

議案表示，盡管勒索攻擊可能導(dǎo)致數(shù)百萬美元的經(jīng)濟損失和數(shù)月的數(shù)據(jù)修復(fù)工作。但向攻擊者支付贖金，讓其獲取經(jīng)濟利益，實際上是助長了他們的攻擊行為。因此，市長會議決議不向發(fā)起勒索攻擊的黑客支付任何贖金。

這也與FBI網(wǎng)絡(luò)安全專家的立場一致，他們通常建議除非沒有其他方法可以恢復(fù)數(shù)據(jù)，否則不要支付贖金，并敦促市政當局建立基本的數(shù)據(jù)備份程序。

有趣的是，就在該項決議通過后幾天，印第安納州拉波特縣遭遇勒索軟件攻擊，卻向黑客支付了超過13萬美元贖金用以解密數(shù)據(jù)。看來，理想很豐滿，現(xiàn)實很骨感，任何不基于現(xiàn)實情況的口號都是空談。

當遭遇勒索攻擊，業(yè)務(wù)系統(tǒng)崩潰癱瘓，上億級數(shù)據(jù)危在旦夕，絕對不是一條非黑即白的邏輯可以指導(dǎo)決策的。需要經(jīng)過細節(jié)的周密考量、成本的精密計算，得出最優(yōu)解決方案。只有事前通過模擬真實情境進行推演，協(xié)商各個環(huán)節(jié)各種情形下的應(yīng)對策略，制定一個完備的應(yīng)急響應(yīng)計劃，才能打一場有準備的戰(zhàn)。

勒索攻擊應(yīng)急響應(yīng)計劃應(yīng)避免哪些陷阱？

以下是制定勒索攻擊應(yīng)急響應(yīng)計劃時的一些常見陷阱：

1.使用傳統(tǒng)的安全事件應(yīng)急響應(yīng)計劃，而不是為勒索攻擊量身定制的應(yīng)急響應(yīng)計劃

傳統(tǒng)的安全事件應(yīng)急響應(yīng)計劃與勒索攻擊專用應(yīng)急響應(yīng)計劃是無法匹敵。勒索攻擊事件與其他類型的網(wǎng)絡(luò)安全事件不同，遭遇攻擊后要恢復(fù)業(yè)務(wù)連續(xù)性不僅僅是重新映射受感染的計算機、阻止惡意軟件的橫向傳播、以及修補被利用的漏洞那么簡單。即使你已經(jīng)根除了惡意軟件和持久性機制的所有痕跡，系統(tǒng)仍然會殘留損壞。這種損害不僅僅是服務(wù)器崩潰，還有可能導(dǎo)致關(guān)鍵文件和系統(tǒng)永遠無法訪問。

2.認為擁有備份就可以不用支付贖金

在大多數(shù)情況下，要從這種嚴重的損壞中恢復(fù)過來，最簡單最迅速的方法就是在不連接網(wǎng)絡(luò)的狀態(tài)下還原最近的安全備份。但也必須認識到，擁有這樣的備份并不能百分百保證你能夠重新獲得對加密數(shù)據(jù)的訪問權(quán)限，除非支付贖金。盡管這種概率非常低，但即使是最安全的備份也可能失敗，并且也不總是對勒索軟件免疫。許多備份并沒有像理想狀態(tài)要求的那樣頻繁更新。無論你備份數(shù)據(jù)的方式或頻率如何，在勒索攻擊應(yīng)急響應(yīng)計劃中考慮到這點是至關(guān)重要的。

3.對是否支付贖金以及如何支付等問題未達成共識

如果你所在單位遭受勒索攻擊，并且無法恢復(fù)備份，你可能需要考慮支付贖金是否可行。由于這不是一個輕率的決定，通常需要高層管理人員或董事會參與決策，因此未雨綢繆的主動規(guī)劃至關(guān)重要。

關(guān)鍵利益相關(guān)者應(yīng)提前召開會議，以確定單位對支付贖金的立場。如果付款并非不可行，那么利益相關(guān)方應(yīng)該就付款需要考慮的標準和情境達成共識，例如：與攻擊有關(guān)的可用證據(jù)、不付款的潛在影響、贖金金額和攻擊者索款的有效性評估等。

確定付款方式也至關(guān)重要。誰負責(zé)采購加密貨幣？通過什么方式采購？誰負責(zé)和恐嚇者談判？在實際的攻擊中，這些問題可能非常難以解答，這就是為什么必須在勒索攻擊應(yīng)急響應(yīng)計劃中事先考慮并協(xié)商這些問題。

4.忽略內(nèi)部利益相關(guān)方和外部相關(guān)方

盡管傳統(tǒng)安全及IT相關(guān)職能之外的關(guān)鍵利益相關(guān)者是任何成功的應(yīng)急響應(yīng)計劃不可或缺的因素，但由于許多單位孤立的組織架構(gòu)，他們往往被忽視。例如，公關(guān)部門的決策者是非常重要的角色，他們需要處理與披露企業(yè)、機構(gòu)事務(wù)、維護品牌聲譽、以及在攻擊期間和攻擊之后跟進媒體和客戶的質(zhì)詢。

此外，法律與合規(guī)部門的決策者，以及執(zhí)法聯(lián)絡(luò)官也是必不可少的。他們不僅可以幫助確保組織機構(gòu)不會無意中觸犯法律——例如，如果選擇支付贖金，需要特別規(guī)避反洗錢法——而且還可以協(xié)助處理網(wǎng)絡(luò)安全相關(guān)保險的索賠。在許多情況下，執(zhí)法部門還可以協(xié)助調(diào)查和確定攻擊的原因，并防止未來再發(fā)生類似的攻擊事件。

除執(zhí)法部門之外，其他需要考慮的外部相關(guān)方是專門從事勒索攻擊響應(yīng)的供應(yīng)商或顧問。某些供應(yīng)商可以處理由攻擊產(chǎn)生的一系列事務(wù)，包括與勒索者進行接觸和談判、驗證攻擊的合法性、獲取加密貨幣以及代表你進行支付解密。主動與此類供應(yīng)商建立聯(lián)系，然后在勒索攻擊應(yīng)急響應(yīng)計劃中羅列相關(guān)供應(yīng)商的聯(lián)系信息和業(yè)務(wù)范圍，有助于在發(fā)生攻擊時提升響應(yīng)速度，優(yōu)化補救措施。

5.不在模擬場景中驗證應(yīng)急響應(yīng)計劃

許多組織直到真正遭遇勒索攻擊時才意識到他們有多么措手不及。毫無疑問，一次攻擊所帶來的混亂和壓力會使人頭腦空白，更不用說溝通和執(zhí)行計劃了。

勒索攻擊應(yīng)急演練與消防演練或其他公共安全演練非常相似，與主要利益相關(guān)者一起進行現(xiàn)場模擬桌面演練是評估勒索攻擊應(yīng)急響應(yīng)計劃有效性的最佳方法。桌面演練的另一個重要好處是，它們可以檢驗各利益相關(guān)方是否掌握自己在應(yīng)急響應(yīng)計劃中所扮演的角色。顯然，在模擬場景中主動發(fā)現(xiàn)缺點加以改進，比在真實的攻擊中暴露缺點更好。

最后，必須意識到，即使擁有最強大的安全能力，仍然可能成為勒索攻擊的受害者。沒有誰是完全免疫的，這就是為什么要做最壞的打算。當真正面對攻擊時，擁有一個全面且驗證良好的應(yīng)急響應(yīng)計劃將為你帶來巨大的優(yōu)勢。

本文由安數(shù)網(wǎng)絡(luò)原創(chuàng)，轉(zhuǎn)載請注明出處。

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負責(zé)人：張明