勒索软件是一种恶意软件,它要么阻止访问现有文件,要么完全阻止访问计算机,直到支付赎金. It is so widespread that individuals are hit with ransomware every 10 seconds, 和 businesses are infected every 40 seconds. Technology professionals dread getting hit once with a ransomware attack, but repeat attacks are becoming more common.
与2017年的“想哭”(WannaCry)网络攻击相比,美国联邦调查局(FBI)表示,多达100名美国人被黑客攻击.S. 在过去的14个月里,网络犯罪分子用一种名为Ryuk的特定勒索软件变种有计划地将其作为攻击目标,国际企业也受到了感染. 英国国家网络安全中心总结了这一威胁,建议“Ryuk勒索软件通常在最初感染后一段时间才会被观察到, 从几天到几个月不等, 这让攻击者有时间在受感染的网络内部进行侦察, 识别和瞄准关键网络系统,从而最大化攻击的影响.”
与其他勒索软件变种一样,Ryuk通常通过网络钓鱼电子邮件开始初始交付. 然而, this attack is typically not the ransomware itself, 但通常会传递一个滴管或木马,可以用来获得对环境的初始访问权限.g., Trickbot或Emotet). 攻击者使用这种访问来确定如何最好地最终执行攻击,甚至关闭旨在防御攻击的保护. The goal is to ensure the success of the ransomware infection, thereby creating an opportunity for a high ransom payment.
Ryuk感染的不同之处在于,恶意软件通常通过威胁行为者使用对目标网络和资源的交互式远程访问在整个环境中传播. 在本质上, the attackers use the Trojans to access your environment 和 gain a foothold, rummage around 和 shut off your protections, 然后在他们认为最成功的时候放弃并执行勒索软件.
Even when detected, Ryuk can be difficult to remove. 受害者不仅要从所有系统中删除恶意软件,还要删除最初提供访问权限的木马. 如果勒索软件被移除,而木马没有被移除,攻击者就可以继续加密机器, which sets up victims for a relentless cycle of reinfection.
施耐德唐斯网络安全团队有处理Ryuk的经验 Digital 法医s 和 Incident Response (DFIR)bet9平台游戏, 并确定勒索软件背后的威胁行为者在攻击中专门针对企业环境. 我们的取证分析表明,恶意行为者通常专注于特定类型的组织,并在最终执行勒索软件之前对目标进行一段时间的侦察. 从我们所经历的, 然后,威胁行为者使用这种侦察来确定组织支付勒索软件的能力, often in the hundreds of thous和s 和, 在某些情况下, 数百万美元.
那么,防范Ryuk和其他类型勒索软件的好方法是什么呢? Employee training is a key first step, 因为你自己的人通常可以成为一个强大的防线,在发现一个网络钓鱼电子邮件,意味着提供最初的打击. Advanced email protection tools like Mimecast® should also be reviewed to prevent initial delivery of the Trojan.
To detect if an infection has occurred, advanced anti-malware tools 炭黑 应该被考虑. 大多数防病毒产品都是基于与过去识别的恶意软件相关联的某些签名来阻止恶意软件的. But Ryuk is different; it continuously adapts 和 disguises itself, 所以基于签名的方法不能处理像Ryuk这样的病毒,因为它通常是独特的,从未见过的签名. That’s why advanced antivirus tools look at the 行为 文件和程序, 以确定他们是否试图执行加密等潜在的恶意活动. 下一代防病毒工具在发现用于传递和传播恶意软件的技术以及执行以关闭保护的命令方面也很有效. 在本质上, 这些工具应该在勒索软件有机会执行之前很久就能发挥作用并消除威胁.
另外, 确保您的组织有一个可靠和安全的策略来备份关键系统和数据是至关重要的. Just to name a few strong controls, we recommend securing backups through strong encryption, multi-factor authentication to backup servers/mounted drives/etc., along with full segmentation of backup devices 和 servers.
施耐德倒下有何帮助?
施耐德唐斯网络安全实践由多个技术领域的专家组成. We’re an authorized reseller of both Mimecast® 和 炭黑 并提供全面的 Digital 法医s 和 Incident Response bet9平台游戏. 欲了解更多信息,请访问 gda.tfb1.com/cybersecurity 或透过电邮联络我们 cybersecurity@tfb1.com.