岗位

什么是勒索软件?

你是否曾经问过自己什么是勒索软件,或者它如何影响你?勒索软件的目的是使用恶意软件加密你的重要文件。然后犯罪分子要求你付款以换取解密密钥,挑战你证明你已经支付了赎金,然后他们才会向你提供恢复文件的指示。这相当于为释放你的亲人而向绑匪付款。

"2022年上半年,全球有2.361亿次勒索软件攻击。在2021年第二和第四季度之间,攻击次数减少了1.33亿次,与大约1.89亿次相比有了大幅下降。" ~Statista

赎金软件已经出现在新闻中,你可能已经看到了关于计算机锁定自己,直到人们付钱购买钥匙才能逃脱的报道。但是,它到底是什么,它是如何工作的,以及我们如何能够抵御它?

勒索软件如何工作?

赎金软件通常以垃圾邮件附件的形式安装,或利用受害者电脑上的软件漏洞。

感染可能隐藏在用户从互联网下载的文件中,或由攻击者手动安装,通常是通过商业产品包装的软件。

一旦安装,它将等待一个触发条件(如连接到互联网),然后锁定系统并要求释放赎金。赎金可以使用加密货币或信用卡支付。

勒索软件的类型

"截至2021年,勒索软件漏洞的平均成本为462万美元,不包括赎金。"~IBM

以下是一些常见的类型。

WannaCry

在2017年,被称为WannaCry的勒索软件攻击影响了150多个国家。感染Windows机器后,WannaCry对用户文件进行了加密,并要求用比特币赎金来解锁。

锁定

Locky是最古老的勒索软件形式之一,首次被发现是在 2016年2月.该 恶意软件 迅速加密文件,并通过钓鱼邮件传播,其附件看起来像发票或其他商业文件。

迷宫

Maze是一种较新的勒索软件,首次被发现于 2019年5月.它的工作原理与Locky类似,只是它以.maze而不是locky结束加密文件名。垃圾邮件也会传播Maze,但它是通过打开一个附件文件来感染你的电脑。

ぃパティダー

根据早期的报告,NotPetya是Petya的一个勒索软件变种,这个变种最初是在2016年发现的。 2016.现在,NotPetya是一种被称为wiper的恶意软件,它破坏数据而不是要求赎金。

吓唬人的东西

恐吓软件是一种虚假的软件,它要求付费来修复它声称在你的电脑上发现的问题,如病毒或其他问题。一些恐吓软件会锁定计算机,而另一些恐吓软件则使屏幕上的弹出通知饱和,但不会造成任何文件损坏。

哆啦A梦

由于哆啦A梦或泄密软件,人们变得惊慌失措并支付赎金以防止他们的机密信息在网上泄露。一个变种是以警察为主题的勒索软件。可以支付罚款以避免入狱,而该公司则冒充执法部门。

Petya

与其他几个变种不同,Petya勒索软件可以加密整个计算机。Petya重写了主引导记录,这使得操作系统无法启动。

吕克

Ryuk通过下载恶意软件或发送钓鱼邮件来感染计算机。它使用一个dropper来安装木马,并在受害者的电脑上建立一个永久的网络连接。APTs是用键盘记录器、特权升级和横向移动等工具创建的,所有这些都从Ryuk开始。攻击者将Ryuk安装在他能访问的每一个其他系统上。

勒索软件对企业的影响是什么?

勒索软件是当今增长最快的网络威胁之一。 

以下是勒索软件影响你业务的一些方式。

  • 赎金软件会损害你的数据,恢复或替换这些数据的成本很高。
  • 你的系统可能被破坏得无法修复,因为一些勒索软件攻击用随机字符覆盖文件,直到它们无法使用。
  • 你可能会经历停机和生产力的损失,这可能导致收入或客户忠诚度的损失。
  • 黑客可能窃取你公司的数据并在黑市上出售,或在未来的攻击中使用它来对付其他公司。

如何保护你的企业免受勒索软件的攻击?

"安装安全软件并保持安全补丁的更新。许多勒索软件的攻击采用了较早的版本,而安全软件的应对措施是可用的。~Steven Weisman,本特利大学的一名教授。 

为了保护你的企业免受勒索软件的影响,你可以采取以下步骤。

网络细分

网络分段是将一个网络与另一个网络隔离的过程。通过隔离网络,你可以保护你的企业及其数据。 

你应该为公共Wi-Fi、员工设备和内部网络流量创建单独的网段。这样,如果一个网段发生攻击,就不会影响其他网段。

AirGap备份

AirGap备份是一种完全离线的备份,如果不把存储设备从它所连接的计算机上移开,就无法访问。其想法是,如果没有办法访问该设备上的文件,那么攻击者也没有办法访问它们。这方面的一个很好的例子是,使用一个已经与任何互联网连接或其他设备完全断开连接的外部硬盘驱动器。

基于域的信息验证、报告和一致性

更多时候,勒索软件是通过电子邮件传播的。欺诈性的电子邮件带有钓鱼链接,可以在你的电脑上启动勒索软件的安装。为了防止这种情况。 DMARC作为防止勒索软件的第一道防线。

DMARC首先防止钓鱼邮件到达你的客户。这有助于从源头上阻止通过电子邮件分发的勒索软件。要了解更多,请阅读我们的详细指南 DMARC和勒索软件.

最低权限(用户权限的零信任)。

最低权限是指只授予用户在你的组织中的角色所需的最低权限。当你雇用新员工或重新分配公司内的角色时,你将只给予他们特定角色所需的权限--不多于或少于他们高效和有效地完成工作所需的权限。

保护你的网络

防火墙是网络的第一道防线。它监测你的网络上的传入和传出流量,并阻止不需要的连接。防火墙还可以监控某些应用程序的流量,如电子邮件,以确保其安全。

员工培训和网络钓鱼测试

对你的员工进行有关网络钓鱼攻击的培训是至关重要的。这将有助于他们在成为公司的主要问题之前识别网络钓鱼邮件。网络钓鱼测试也可以帮助识别那些可能更容易受到网络钓鱼攻击的员工,因为他们不知道如何正确识别它们。

维护和更新

定期维护你的电脑将有助于从一开始就防止恶意软件感染它们。你还应该定期更新所有的软件,以确保尽快修复错误,并确保新发布的软件版本中内置新的安全功能。

相关阅读。 如何从勒索软件攻击中恢复?

总结

勒索软件并不是一个错误。它是一种蓄意的攻击方法,其恶意实施的范围从轻微的烦扰到彻头彻尾的破坏性。没有迹象表明勒索软件会放缓,它的影响是巨大的,而且在不断增长。所有企业和组织都需要为此做好准备。

你需要站在安全的顶端,使自己和你的企业安全。如果你想远离这些漏洞,请使用PowerDMARC提供的工具和指南。

/作者

勒索软件即服务(RaaS)的解释

近年来,勒索软件的攻击越来越多,感染了计算机,迫使用户支付罚款以取回他们的数据。随着双重勒索等新的勒索软件战术被证明是成功的,犯罪分子要求支付更大的赎金。赎金要求平均为 5.3百万美元在2021年上半年。 增长了518%。比2020年同期增长518%。自2020年以来,平均赎金价格已经攀升了 82%。达到2021年上半年达到57万美元。仅此而已。

RaaS,即勒索软件即服务,使这种攻击更加危险,因为任何人只需点击几下就可以在任何电脑或移动设备上发动勒索软件攻击。只要他们有互联网连接,他们就可以控制另一台电脑,甚至是你的老板或雇主使用的电脑!但RaaS到底是什么意思?但RaaS究竟是什么意思? 

什么是勒索软件即服务(RaaS)?

勒索软件即服务(RaaS)已经成为网络犯罪生态系统中一个流行的商业模式。勒索软件即服务允许网络犯罪分子轻松部署勒索软件攻击,而不需要任何编码或黑客知识。

RaaS平台提供了一系列的功能,使犯罪分子几乎不需要任何专业知识就能轻松发动攻击。RaaS供应商将提供恶意软件代码,客户(攻击者)可以根据自己的需要进行定制。定制后,攻击者可以通过平台的命令和控制(C&C)服务器立即部署。通常情况下,不需要C&C服务器;罪犯可以将攻击文件存储在Dropbox或Google Drive等云服务上。

RaaS供应商还提供支持服务,包括支付处理方面的技术援助和攻击后的解密支持。

勒索软件即服务 "的通俗解释

如果你听说过软件即服务(Sofware-as-a-Service),并且知道它是如何工作的,那么理解RaaS应该是不费吹灰之力的,因为它是在一个类似的水平上运作的。PowerDMARC也是一个SaaS平台,因为我们承担着为全球企业解决问题的角色,帮助他们验证他们的领域,而不需要投入人工努力或人力劳动。 

 

这正是RaaS是什么。在互联网上有技术天赋的恶意威胁者组成一个联合体,以非法业务的形式运作(通常在暗网上出售他们的服务),出售恶意代码和附件,可以帮助任何人在互联网上用勒索软件感染任何系统。他们把这些代码卖给那些不想自己做更困难和技术性的工作,而是寻找可以协助他们的第三方的攻击者。一旦攻击者进行了购买,他就可以继续感染任何系统。 

勒索软件即服务是如何工作的?

这种形式的收入模式最近在网络犯罪分子中大受欢迎。黑客在网络或系统上部署勒索软件,加密数据,锁定对文件的访问,并要求支付赎金以获得解密密钥。付款方式通常为比特币或其他形式的加密货币。许多勒索软件家族可以免费加密数据,使其开发和部署具有成本效益。攻击者只有在受害者付款时才会收费;否则,他们不会从中赚到任何钱。 

四种RaaS收入模式。

虽然使用僵尸网络和其他免费提供的工具从头开始构建勒索软件可能是可能的,但网络犯罪分子有一个更容易的选择。犯罪分子可以订阅四种基本的RaaS收入模式之一,而不是冒着被抓的风险从头开始建立他们的工具。 

  • 联盟计划
  • 每月订阅
  • 批量销售
  • 混合订购-大宗销售

最常见的是修改后的联盟计划,因为联盟成员的开销比专业网络犯罪分子少,他们经常在地下论坛上出售恶意软件服务。联盟成员可以通过在发送给数百万受害者的垃圾邮件中推广被破坏的网站的链接,在一段时间内注册赚钱。之后,他们只需要在收到受害者的赎金时进行支付。

为什么RaaS是危险的?

RaaS使网络犯罪分子能够利用其有限的技术能力,从攻击中获利。如果网络犯罪分子难以找到一个受害者,他可以将受害者卖给一家公司(或几家公司)。

如果网络犯罪分子发现攻击在线目标具有挑战性,现在有一些组织会向他出售易受攻击的目标,供其利用。从本质上讲,任何人和每个人都可以从任何设备上发起勒索软件攻击,而不需要使用复杂的方法,只要通过第三方服务提供商将他们的努力外包出去,使整个过程不费吹灰之力,而且可以获得。

如何防止勒索软件即服务的漏洞?

在勒索软件即服务的攻击中,黑客将他们的工具出租给其他犯罪分子,他们为获得帮助他们用勒索软件感染受害者电脑的代码而付费。使用这些工具的卖家在他们的客户从受感染的受害者身上获得收入时获得报酬。

遵循这些步骤可以帮助你防止勒索软件即服务的攻击。

1.了解攻击方法

勒索软件有几种不同的方式可以感染你的组织。了解攻击的方式是保护自己免受攻击的最好方法。知道你将如何被攻击,可以专注于你需要什么样的安全系统和保护措施,而不是仅仅安装杀毒软件和祈祷。 

钓鱼邮件是许多网络攻击的一个常见途径。因此,员工必须注意不要点击嵌入式链接或打开未知发件人的附件。定期审查围绕电子邮件附件的公司政策,可以帮助防止被网络钓鱼骗局和其他恶意软件交付方式(如宏病毒和木马)感染。

2.使用一个可靠的系统安全套件

确保你的电脑始终安装有最新的安全软件。如果你没有杀毒软件,考虑马上安装一个。杀毒软件可以在恶意文件到达目标机器之前发现它们,防止任何损害的发生。

3.定期备份一切

如果你的系统感染了恶意软件或勒索软件,拥有所有信息的备份将有助于防止重要信息的丢失。然而,如果你受到病毒或恶意软件的攻击,你的所有文件有可能无论如何都不会得到定期备份--所以确保你在不同的地方有多个备份,以防一个备份失败

4.选择使用电子邮件认证的网络钓鱼保护

在勒索软件的利用中,网络钓鱼邮件是极为常见和有力的攻击载体。更常见的是,黑客利用电子邮件试图让受害者点击恶意链接或附件,然后让他们的电脑感染勒索软件。 

理想情况下,你应该始终遵循市场上最新的安全做法,只从值得信赖的来源下载软件,以避免这些网络钓鱼骗局。但是,让我们面对现实吧,当你是一个有多名员工的组织的一部分时,对每个员工都抱有这样的期望是愚蠢的。而且,要随时掌握他们的活动情况也很有挑战性,也很费时间。这就是为什么实施一个 DMARC政策是保护你的电子邮件免受网络钓鱼攻击的一个好方法。

让我们看看DMARC在RaaS的感染生命周期中的位置。 

  • 攻击者从RaaS运营商处购买含有勒索软件的恶意附件 
  • 攻击者冒充XYZ公司向毫无戒心的受害者发送带有购买附件的网络钓鱼邮件。 
  • 被冒充的域名(XYZ公司)启用了DMARC,它通过验证发件人的身份启动了一个认证过程。 
  • 一旦验证失败,受害者的服务器就会认为该邮件是恶意的,并根据域名所有者配置的DMARC策略拒绝该邮件。

阅读更多关于 DMARC是防范勒索软件的第一道防线这里。

  • DNS过滤

勒索软件使用命令和控制(C2)服务器与RaaS运营商的平台通信。一个DNS查询经常从受感染的系统传达给C2服务器。企业可以使用DNS过滤安全解决方案来检测勒索软件何时试图与RaaS C2通信并阻止传输。这可以作为一种预防感染的机制。 

总结

虽然勒索软件即服务(RaaS)是一个创意,也是最近掠夺数字用户的威胁之一,但采取某些预防措施来打击这种威胁是至关重要的。为了保护自己免受这种攻击,你可以使用强大的反恶意软件工具和电子邮件安全协议,如结合使用 DMARC、SPF和DKIM的组合来充分保障每一个出口。

/作者

DMARC:防范勒索软件的第一道防线

去年,电子邮件安全的最大焦点之一是围绕着DMARC,赎金软件已经成为今年最具经济破坏性的网络犯罪之一。现在,什么是DMARC?基于域的消息认证、报告和一致性是一种电子邮件认证协议,被大小组织的域名所有者使用,以保护他们的域名免受商业电子邮件破坏(BEC)、直接域名欺骗、网络钓鱼攻击和其他形式的电子邮件欺诈。

随着时间的推移,DMARC可以帮助你享受多种好处,如大大提升你的邮件送达率和域名声誉。然而,一个鲜为人知的事实是,DMARC也是防范勒索病毒的第一道防线。让我们来阐述一下DMARC如何防止勒索软件,以及勒索软件如何影响你。

什么是勒索软件?

勒索软件是一种恶意软件(恶意软件),通常通过使用恶意软件安装在计算机上。恶意代码的目标是加密计算机上的文件,之后,它通常要求付款以解密这些文件。

一旦恶意软件安装到位,犯罪分子要求受害者支付赎金以恢复对数据的访问。它允许网络犯罪分子对计算机系统中的敏感数据进行加密,有效地保护其不受访问。然后,网络犯罪分子要求受害者支付一笔赎金,以消除加密并恢复访问。受害者通常会面临一个信息,告诉他们他们的文件、照片和音乐文件已被加密,并要求支付赎金以据称 "恢复 "数据。通常情况下,他们要求用户用比特币支付,并告知他们必须支付多长时间才能避免失去一切。

勒索软件是如何工作的?

勒索软件表明,糟糕的安全措施使公司面临巨大风险。勒索软件最有效的传递机制之一是电子邮件网络钓鱼。勒索软件经常通过网络钓鱼进行传播。这种情况发生的一个常见方式是,当一个人收到一封恶意的电子邮件,劝说他们打开一个包含他们应该信任的文件的附件,如发票,而该附件包含恶意软件并开始感染过程。

这封邮件会声称是来自一家知名公司的官方东西,并包含一个假装是合法软件的附件,这就是为什么不知情的客户、合作伙伴或了解你的服务的员工很有可能上当受骗。

安全研究人员认为,对于一个组织来说,成为带有恶意链接的恶意软件下载的网络钓鱼攻击的目标,其选择是 " 机会主义 " 。很多勒索软件没有任何外部指导,不知道以谁为目标,往往唯一指导它的是纯粹的机会。这意味着,任何组织,无论是小型企业还是大型企业,如果他们的电子邮件安全有漏洞,都可能成为下一个目标。

2021年的安全趋势报告有以下令人不安的发现。

  • 自2018年以来,勒索软件攻击上升了350%,使其成为最近一段时间最受欢迎的攻击载体之一。
  • 网络安全专家认为,2021年将会有比以往更多的勒索软件攻击。
  • 2020年,超过60%的勒索软件攻击涉及社会行动,如网络钓鱼。
  • 过去两年中,新的勒索软件变种增加了46%。
  • 检测到68,000个新的移动端勒索软件木马病毒
  • 安全研究人员估计,每14秒就有一家企业成为勒索软件攻击的受害者

DMARC是否能防范勒索软件?DMARC和勒索软件

DMARC是防范勒索软件攻击的第一道防线。由于勒索软件通常是以来自欺骗或伪造的公司域名的恶意钓鱼邮件的形式传递给受害者,DMARC有助于保护你的品牌不被冒充,这意味着当你正确配置了该协议时,这种假邮件将被标记为垃圾邮件或不被传递。 DMARC和勒索软件:DMARC有什么帮助?

  • DMARC根据SPF和DKIM认证标准对您的电子邮件进行认证,这有助于过滤恶意的IP地址、伪造和域名冒充。
  • 当攻击者策划的带有安装由你的域名产生的勒索软件的恶意链接的钓鱼邮件到达客户/员工服务器时,如果你有
  • DMARC实施的电子邮件是根据SPF和DKIM进行认证的。
  • 接收服务器试图验证发送源和DKIM签名
  • 恶意邮件将无法通过验证检查,并最终因域名错位而无法通过DMARC认证
  • 现在,如果你已经在强制政策模式下实施了DMARC(p=拒绝/隔离),那么在DMARC失败后,电子邮件要么被标记为垃圾邮件,要么被拒绝,使你的收件人成为勒索软件攻击的猎物的机会消失。
  • 最后,规避额外的SPF错误,如过多的DNS查询、语法错误和执行错误,以防止你的电子邮件认证协议被废止。
  • 这最终保障了你的品牌声誉、敏感信息和货币资产。

获得对勒索软件攻击的保护的第一步是今天就注册DMARC分析器!我们帮助您实施DMARC,并在尽可能短的时间内轻松转向DMARC的执行。今天就用DMARC开始你的电子邮件认证之旅吧。

/作者