毫无疑问勒索软件已成为造成企业和个人实际伤害的巨大问题,技术服务提供商正在加紧预备以对抗这些网络攻击 - 而这种对抗却还没有立竿见影的效果。
今年三月,从报道上面看见卫理公会医院被攻击的情况,当一个勒索软件攻击了他们服务器上的加密文件后,他们内部运营即濒临紧急状态。黑客要求除非获得大约1600元的比特币,这家位于肯塔基州医院的医生和管理人员就无法访问这些服务器上的数据。
一个月前,洛杉矶一家医院支付了约17,000美元的“赎金”,才能在类似的黑客攻击下恢复其数据使用。根据好莱坞长老会医疗中心首席执行官Allen Stefanek的说法,“恢复我们的系统和管理功能较快、较有效的办法就是支付赎金,并获得解密密钥。”
虽然似乎没有人因勒索软件而丧生,但攻击事件滚滚而来 - 消费者和企业往往别无选择,只能支付赎金,并且通常是用难以追踪的比特币来支付。
据悉,大部份攻击的罪魁祸首是一个叫Locky 的复杂木马。Locky在2013年首次出现,它被Avast描述为使用了一流的特性,“例如,域名生成算法、自定义加密通信、TOR或比特币支付、强RSA-2048+AES-128文件加密,以及可以加密超过160种不同的文件类型,包括虚拟磁盘、源代码,和数据库。” 今天在互联网上有许多版本的Locky,这使得与它战斗特别令人沮丧。另一个剧毒的勒索木马称为CryptoLocker,它以类似的方式工作。
勒索软件的网络攻击行为模式如下:黑客获得接入系统的访问权限,例如接入消费者的台式机或企业服务器。它可能通过下载一个附加到电子邮件的恶意软件、访问一个运行安装了恶意脚本的损坏的网站,或打开一个包含下载恶意软件的恶意宏(macro)的文档来提供攻击载体。大多数的勒索软件攻击的情况是:恶意软件加密了用户的数据,然后,要求一个难以追踪的赎金,以便解密数据或提供密钥给用户来解密。因为数据被加密,就算从计算机删除恶意软件也将无法恢复系统的功能;通常情况下,受害者必须从备份来恢复整个系统,或是支付赎金并期望得到较好的结果。
随着网络攻击的流行,勒索软件已被证明是攻击者较令用户沮丧,并且可获取赎金的有效工具。
当然,除了赎金损失外,还造成了受害者其他的顾虑。一旦恶意软件访问了用户或服务器数据,意味着未来还要面对的还可能包括了被扫描密码、银行账户等信息,或其他类型的敏感知识产权,甚或文件被删除无法再被取回。而且,即使支付了赎金,也不保证能取回文件,看来对付勒索软件的解决之道就是做好“预防”。
勒索软件的范围和影响
2015 年美国联邦调查局(FBI)收到了2,453 宗有关勒索软件网络攻击的投诉。FBI 说,这让受害者付出了超过2,400 万美元的赎金。谁知道还有多少人是默默地付出赎金,或因羞愧,或不知要跟谁说,而没有告知任何人?
一家顶尖的网络安全厂商稳捷网络(Wedge Networks)已经看到在其监视服务的运营商网络上索软件网络攻击正在巨大的增加。首席执行官James Hamilton说:“在这些网络上,我们看到2015年观察到的勒索软件攻击数量比2014年增加了100%,而2016年较早季度移动勒索软件比2015年第四季度增加了50% 。”
稳捷网络是一家总部位于加拿大阿尔伯塔省的公司,其广泛的客户部署于整个加拿大、美国,和亚太地区。Hamilton先生解释说:“去年,我们在加拿大的客户报告了比我们在美国观察到的勒索软件攻击(百分比)更多。在亚太地区,日本和台湾的索软件网络攻击增长速度比东南亚各国缓慢,得归功于这些市场的安全实践较为成熟和先进。”
Hamilton指出:“较近正在与服务提供商讨论勒索软件的防范办法,他们计划在主要的东南亚市场推出安全即服务(Security-as-a-Service),因为他们发现过去12个月勒索软件在他们的国家变得更加猖獗,这在以前是非常罕见的,但现在正迅速蔓延中。”
总部位于美国加州Menlo公园市的Menlo安全公司欧洲中东和非洲解决方案架构师Jason Steer解释说,虽然对消费者而言他们有时会遗失重要文件,尤其是不可替代的财务文件和个人照片,但勒索软件对企业而言却执行毁灭性的任务。“对于企业来说,勒索软件是他们主要的痛,还会妨碍他们在关键IT相关业务功能的发展。”Steer补充说明Menlo安全公司即专注于恶意软件的预防。“我们已经见过很多客户,他们的每个本地文件和中央服务器存储的文件已经被勒索软件加密。这会影响每个用户访问网络上的所有中央文件,而且对于任一受影响的用户,勒索软件也加密了他们个人电脑上的所有本地文件。”
影响是什么呢? “你得依赖较近一次备份的时间点是多久之前,因而你有可能无法恢复每一个文件。丢失数据的损失是小还是大要取决于该文件的重要性。”
Cylance较近看到勒索软件一些相当具破坏性的损伤。Cylance是总部设在美国加州欧文市的网络安全公司,该公司花费大量的时间帮助客户防止勒索软件攻击,并帮助新的受害者从木马中恢复过来。Cylance亚太地区区域总监Andy Solterbeck为我们说明了“垂钓者”(Angler)是什么,它是网络攻击利用的工具包,黑客可以利用它来定制自己的攻击 - 有点类似自己动手做的入门工具包。“垂钓者造成的伤害导致每天90,000例的感染,并带来每年至少6千万美元的损失。”
有这么多的攻击载体,消费者或IT专业人员几乎不可能跟踪了解他们所有的情况。位于美国德州奥斯汀的顶级科技安全分析公司NSS实验室首席架构师 Jayendra Pathak表示:“Adobe Flash正在成为交付勒索软件极其麻烦的载体。微软Word攻击也呈上升趋势,它利用人性的弱点打开电子邮件的附件。” Pathak补充道“随着网络攻击锁定企业为目标,付几百元作为赎金的日子可能已经过去。较重要的是,勒索软件的作者正转向从事更多瞄准企业的针对性活动。要求数十万美元的赎金很快就会到来。NSS实验室已经追踪了成千上万主要来自驾车开枪活动的感染。尽管勒索软件是全球各地的问题,但在在线支付系统非常常见的地区更为普遍。美国和欧洲成为主要目标,日本、韩国、中国和新加坡的勒索软件感染率与欧洲和美国相比相对较少。然而,亚太地区国家必须注意美国和欧洲勒索软件攻击的流行,现在正是着手预防性网络安全措施的时候。”
行业上的回应
对于消费者而言,防止勒索软件攻击较好的办法就是要主动积极的经常备份,并保持更多备份,以便能将数据恢复至感染之前;不要轻易点击电子邮件附件;使用较新的防病毒和反恶意软件的工具和服务;不要使用缺乏较新保护的旧版本网页浏览器;在微软Word和微软Excel中禁用宏;并考虑卸载Adobe Flash。但即便如此,也不保证系统一定能防止勒索软件的攻击。
Steer解释“在企业及运营商网络中,有较大规模的工具可以更有效地防止勒索软件的攻击。”例如,Menlo安全公司提供了一个隔离的平台,它确保恶意软件不能接触较终用户的笔记本电脑、台式机,或移动电脑,或感染企业服务器。它可以透过企业的IT和安全专业人员来实施。
隔离是市场上的一个新概念,它帮助组织应对攻击时变得更有弹性。让端点更加安全和健壮,可以确保他们更少被黑,并降低数据外泄和知识产权的损失。Gartner公司认为隔离是预防恶意软件功能的关键,是管理员可以防止他们的用户非因自己的过错而遭遇的不幸。
Steer表示“Menlo技术消除了恶意软件通过遭破坏的或恶意的网站或文件达达用户设备的可能性。用户的web会话和所有活动内容(如视频、JavaScript,或Flash),不管是好的还是坏的,都在隔离平台内完全被执行和遏制。只有安全、无恶意软件绘制的信息被传递到用户的端点。没有任何活动内容,包括任何潜在的恶意软件可以离开平台。因此恶意软件没有到达端点的路径,而合法的内容也不必因安全利益而遭封锁,完全不会改变终端用户的浏览体验。”
稳捷网络的客户是运营商和云服务提供商,他们想要在恶意软件 - 包括勒索软件 - 接近终端客户的网络或设备之前就发现并阻止它们。其技术是基于云,而这也正是Hamilton说的像这样的安全所属的范围。
他解释“其中较大的突破就是实现了安全需要从端点和周边范式演变为基于云的连接范式,以弥补与今天IT模式的差距。网络、用户,和他们的设备不再是静态的。它们是动态的,并不断移动和改变。其结果是,保护网络的方法是保护所有连接到该网络的连接。这只能通过将安全移至网络的云层来实现,在该处有连接到网络的一切能见度。”
稳捷网络公司的技术如何防范勒索软件? Hamilton描述“我们的稳捷云网络防御是专用在云中运行来支持几乎无限的规模,并支持那些希望提供安全即服务给他们客户的服务提供商的多租户运营要求。云网络防御动态地向上或向下调整云计算资源的规模,以效率和持续的性能来支持其客户广泛变化的安全工作负荷。”换句话说 - 它可以阻止勒索木马和相关的威胁而不影响网络性能或应用程序的响应时间。
Cylance的Solterbeck解释们如何解决勒索软件问题“人工智能——我们应用机器学习和人工智能的力量在恶意软件检测的问题上”。这样即使以前从未见过的攻击,Cylance的技术也可以成功地阻止它。“CylancePROTECT预测网络攻击,并在他们执行前实时地在端点阻止他们 - 包括像勒索软件、内存攻击、未授权的脚本,和特权升级等恶意软件,这些恶意软件能够让黑客完全访问你的系统。”
这个问题将变得更糟
坏消息是:恶意软件,包括勒索软件,处于增长态势。
好消息是:网络安全行业以工具和服务来回应这个态势——这些工具和服务可以帮助保护企业和消费者。然而,市场上总是有恶意软件,勒索软件也不会自动消失。NSS实验室的Pathak说“没有魔法棒能在近期解决这个问题。打击这种威胁的有效解决方案还是要让应用程序保持更新、不盲目信任通过电子邮件收到的任何东西、完全禁用微软的“宏”功能,并保持定期备份。”
你较近备份了吗? 如果没有...现在正是时候! 
