这个月,一个ransomware故事一直闹得沸沸扬扬:袭击上巴尔的摩城市网络.这种攻击一直受到比正常的更多新闻,这可能是由于城市政府所采取的(或不采取)的行动以及关于赎金软件感染机制的谣言。

无论如何,巴尔的摩故事激发了美国调查美国的其他城市,识别今年的赎金软件最多。虽然我们确认了许多城市,其组织拥有严重的赎金软件问题,巴尔的摩,也不是亚特兰大或格林维尔等其他高调的城市攻击,并不是其中之一。这介绍了我们已成为的组织网络的赎金软件感染的趋势现在看一会儿

为了遏制这种情况,我们为读者提供了一份指南,告诉他们如何避免被勒索软件攻击,以及如何应对勒索软件带来的后果。基本上,这是一本如何避免成为下一个巴尔的摩的指南。虽然许多攻击都是有针对性的,但网络犯罪分子是机会主义者——如果他们发现一个组织有漏洞,他们就会猛扑进去,尽可能地造成破坏。勒索软件的破坏力是最大的。

巴尔的摩赎金软件攻击

截至每次汇总,巴尔的摩市服务器仍然下跌。这最初的袭击发生在2019年5月7日然后,一旦发生,该市将在他们的网络上关闭众多服务器,以防止他们的赎金软件的可能传播。

受感染巴尔的摩的赎金软件被称为罗宾情绪,或有时是抢劫者赎金。当发现赎金券时,它要求支付100,000美元或约13个比特币。与其他赎金软件一样,它带来了一个计时器,要求受害者在某个日期支付,或者恢复文件的成本每天上涨10,000美元。

罗宾汉勒索信,礼貌劳伦斯·艾布拉姆斯和哔哔电脑

罗宾汉勒索软件是一种较新的恶意软件家族,但它已经因感染其他城市网络而出名,就像它对格林维尔市.根据一份来自纽约时报一些恶意软件研究人员声称,NSA泄漏的exproit Eterernalblue涉及感染过程,但是分析Vitali Kremez在Sentinel一没有任何迹象表明永恒之蓝有活动。而是在系统间传播勒索软件的方法涉及操纵PSExec工具

这不是最近第一个Cyber​​Attack Baltimore。事实上,去年他们的911调度系统被攻击者破坏,使用笔和纸来留下调度员进行工作。有些商店归咎于该市历史上低效的网络设计,以前的首席信息官员(CIO),其中有许多。它的两个CIO在欺诈和道德违规的指控中,单独辞职。

趋势

抛开巴尔的摩,针对组织的赎金软件在过去六个月的历程中一直活跃,周期性刺激和大规模的尖峰,代表了网络犯罪分子的企业感染的新方法。

下面的热图显示了2019年初到现在全国各组织中的赎金软件检测的复合效果。

从2019年1月到现在,组织中勒索软件检测的热点图

严重检测的主要地区包括大城市周围的地区,比如洛杉矶和纽约,但我们也在人口较少的地区看到严重检测。下图进一步说明了这种趋势:颜色深度代表了州的总体检测量,而红色圆圈的大小代表了各个城市的检测数量。颜色越深,这个状态包含的检测就越多。圆圈越大,城市中被发现的次数就越多。

2019年,美国全面国家和城市检测的美国地图

当我们在2019年(到目前为止)甚至更深入的外观并识别较重的赎金软件检测时,我们认为他们没有一个包括我们最近在新闻中读过的城市。这一趋势支持理论,它不需要被赎金软件的受害者包围。

无论勒索软件在哪里出现,它都会利用薄弱的基础设施、配置问题和无知的用户入侵网络。与过去几年相比,勒索软件正成为一种更常见的针对企业的武器。下面的图表显示了我们在今年早些时候看到的大量勒索软件检测。

1月和2月是我们从今年早些时候从Troldesh这样看到的家庭看到的那种繁重的推动的闪亮的例子。然而,虽然似乎赎金软件在3月之后消亡,但我们认为更多的是犯罪分子。当我们挖掘每周趋势时,我们可以看到由于特定勒索家庭的重大检测而看到的特定尖峰。

与我们过去观察到的以消费者为中心的勒索软件不同,我们观察到一张广泛的网被撒下,我们观察到几乎持续不断的检测洪水,勒索软件集中在企业界的短脉冲攻击。这可能是因为特定的时间段是攻击组织的最佳时间段,或者可能是计划针对企业用户的攻击所需的时间,这需要在发动攻击之前收集企业的电子邮件和联系信息。

无论如何,2019年的赎金软件活动已经达到了唱片号码,而我们在过去几个月里只见过几个尖峰,你可以考虑两堵墙之间的这些道路颠簸。我们还没有击中第二墙。

观察

尽管勒索软件增加了针对组织网络,但受赎金软件影响的城市网络不会显示在我们的热门城市列表中。这导致我们相信赎金软件对城市基础设施的攻击,就像我们在巴尔的摩中看到的那样,因为广泛的爆发,但宁愿是有针对性的和机会主义的。

事实上,大多数这些攻击都是由于漏洞,操作安全的差距以及网络犯罪分子发现和利用的整体弱基础设施。他们经常通过杀菌活动中的员工在网络钓鱼活动和感染终点中的员工或对本组织中的高调目标发起矛网络钓鱼运动的员工来掌握到组织中的立足点。

真正的矛网络钓鱼电子邮件(礼貌Lthigh大学Lts.lehigh.edu)

也总是有关于错误配置,缓慢的更新或补丁,甚至内幕威胁作为一些攻击的原因。安全研究人员和城市官员仍然没有具体的答案,即机器人首先感染巴尔的摩系统。

避免

这个问题有多种答案,”我如何击败赎金?“不幸的是,他们都没有申请100%的时间。Cybercriminals spent the better part of 2018 experimenting on novel methods of breaking through defenses with ransomware, and it looks like they’re putting those experimentations to the test in 2019. Even if organizations follow “all the rules,” there are always new opportunities for infection. However, there are ways to get ahead of the game and avoid worst-case scenarios. Here are four areas that need to be considered when trying to plan for ransomware attacks:

补丁

虽然我们确实说,Eeternalblue可能没有发挥抢劫者赎金的蔓延,它已经被其他赎金软件和恶意软件系列用于过去使用。为此,修补系统每天都变得越来越重要,因为开发人员不仅仅是修复可用性错误或添加新功能,而且填充可以被错误的家伙利用的漏洞。

虽然快速打补丁在企业网络上并不总是可能的,但确定需要哪些补丁以避免潜在的灾难,并将这些补丁部署在有限的范围内(例如,部署到最脆弱或包含高度优先级数据的系统)是必要的。在大多数情况下,无论补丁是否可以在整个组织中推广,都应该完成对补丁的分类和审核。

升级

在过去的七年段左右,许多软件开发人员(包括操作系统)都创建了工具,以帮助在自己的产品中打击网络犯罪。这些工具通常不会作为现有软件的更新提供,但包含在升级版本中。例如,Windows 10具有内置于操作系统中的反恶意软件功能,使其比Windows XP或Windows更困难的网络犯罪分子目标。查看哪些软件和系统在其开发周期中临近生活结束.如果他们被组织的支持逐步逐步逐步逐步逐步逐步寻找完全升级软件的好主意。

除了操作系统之外,至少要考虑和测试网络上其他资源的升级。这包括各种企业级工具,如协作和通信平台、云服务和在某些情况下硬件

电子邮件

今天,电子邮件攻击是扩展恶意软件的最常见方法,使用杜普任何人可以愚弄任何人,或特定目标所愚弄的矛盾攻击。

因此,当涉及到避免勒索软件感染或任何恶意软件时,组织可以关注三个领域。这包括电子邮件保护工具,用户教育和安全意识培训,邮件执行阻塞。

有许多工具为电子邮件服务器提供了额外的安全性和潜在的威胁识别。这些工具减少了潜在攻击电子邮件的金额,但是,由于检查进出网络的所有邮件,他们可能会减少电子邮件发送和接收。

然而,用户教育包括教导用户什么是网络钓鱼攻击看起来像.员工应该能够基于外观而不是功能来识别威胁,并且至少知道如果他们遇到这样的电子邮件是怎么做的。指示用户将阴暗的电子邮件转发到内部安全或IT团队以进一步调查威胁。

最后,使用端点安全软件将通过电子邮件阻止许多尝试通过电子邮件,即使用户最终打开恶意附件也是如此。最有效的端点解决方案应包括阻止漏洞利用和恶意脚本的技术,以及对恶意网站的实时保护。虽然一些赎金软件系列具有帮助组织检索文件的解密,但成功的赎金软件攻击的修复很少返回丢失的数据。

按照上面的提示,将提供一个更好的防御层,抵御当今的主要感染方法,并可以使您的组织击退网络攻击,而不仅仅是勒索软件。

准备

对于组织来说,能够首先避免感染显然是更可取的,然而,正如前面提到的,许多威胁参与者开发新的攻击载体来渗透企业防御。这意味着您不仅需要建立保护来防止入侵,还需要为即将通过的感染做好准备。

为赎金软件攻击准备组织不应该被视为“如果”,但如果您希望它有用。

为此,以下四个步骤可以帮助您的组织在“遇到”勒索软件攻击时做好准备。

第1步:识别有价值的数据

许多组织根据需要对数据访问进行细分。这称为划分,意味着组织中的任何一个实体都不能访问所有数据。为此,您需要以同样的精神对数据及其存储方式进行划分。这样做的目的是将您最有价值的数据(如果丢失将会是最大的问题)从系统、数据库或不需要定期访问这些数据的用户中分离出来,从而使犯罪分子更难以窃取或修改这些数据。

顾客'个人身份信息知识产权和财务信息是三种类型的数据,它们应该被识别出来,并从你的网络中分离出来。实习生拉里为什么要访问客户数据?为什么你在同一台服务器上销售的产品的秘密配方和员工生日是一样的?

第2步:数据分段

如果需要,您应该推出额外的服务器或数据库,将它们置于额外的安全层之后,可以是另一个防火墙、多因素身份验证,或者只是限制用户的访问权限。这是前面步骤中确定的数据所在的位置。

根据您的操作需求,其中一些数据可能需要比其他数据更频繁地访问,在这种情况下,您必须建立安全机制来考虑这些数据,否则您可能会损害操作效率,使风险大于回报。

分段数据的一些一般提示:

  • 将系统与远离开放互联网的此数据保持远离
  • 需要额外的登录要求,如VPN或多因素身份验证以访问数据
  • 应该有一个系统列表,以及哪些用户可以访问哪些系统上的数据。如果一个系统被破坏了,你就得从这里开始。
  • 如果您有时间和资源,就推出一个几乎没有保护的服务器,添加看起来合法但实际上是伪造的数据,并确保它是脆弱的,很容易被攻击者识别。在某些情况下,犯罪分子会拿着唾手可得的果实离开,从而确保你真正有价值的数据没有受到影响。

第3步:数据备份

现在,您的数据已经根据其重要性进行了细分,并且它处于比以前更大的安全层后面。下一步是再次确定重要数据并对其进行优先级排序,以确定可以备份多少数据(如果不是所有公司数据,最好是所有重要数据)。在决定使用哪些工具来建立安全备份时,有一些事情需要考虑:

  • 此数据是否需要经常更新?
  • 这种数据是否需要留在我的身体安全?
  • 我需要快速备份我的数据吗?
  • 访问我的备份应该多么容易?

当您能够回答这些问题时,您就能够确定需要哪种类型的长期存储解决方案。有三种选择:在线、本地和离线。

在线的

使用在线备份解决方案可能是您员工和/或IT员工最快,最容易的。您可以从随时随地访问,使用多因素身份验证,并轻松了解它由保护数据的人的人员安全。使用此方法可以快速而无痛,但数据位于组织的物理控制之外,如果备份服务发生了破坏,可能会损害您的数据。

总的来说,在线备份解决方案可能是大多数组织的最佳选择,因为它们非常容易设置和使用。

当地的

也许您的组织需要本地存储备份。这个过程可以从令人难以置信的令人讨厌,难以超级和不安全。

本地存储允许您存储脱机,但现场,维护物理安全性。但是,您有限于您的员工,资源和空间如何在本地建立备份操作。此外,需要每天使用的操作数据可能不是这种类型备份方法的候选者。

离线

我们最后的选择是存储数据在可移动硬盘驱动器或磁带,然后将它们存储在一个异地位置。如果数据特别敏感,需要与创建或使用它的位置保持距离,那么这可能是更好的选择。如果大楼发生爆炸或遭到突袭,异地存储将确保你的数据是安全的,但这个过程可能会缓慢而乏味。对于需要定期访问和备份的操作数据,也不太可能使用这种方法。

只有在存储极其敏感的信息(如政府机密)的情况下,或者数据需要维护和保存作为记录,但不需要定期访问时,才需要进行异地备份。

第4步:创建隔离计划

我们为您的组织准备应对勒索软件攻击的最后一步是确切地知道您将如何隔离一个受感染的系统。这样做的速度和方法可以避免整个组织的数据被活跃传播的勒索软件感染。

良好的隔离计划考虑到尽可能多的因素:

  • 哪个系统可以快速隔离,需要更多时间(例如,端点与服务器)?
  • 你能在本地或远程隔离系统吗?
  • 你有身体访问吗?
  • 您如何迅速将连接到受感染的系统?

问你自己这些关于你网络中的每个系统的问题。如果对隔离系统多快的回答是“不够快”,那么是时候考虑重新配置网络以加快这一过程了。

幸运的是,有一些工具为网络管理员提供了这样的能力远程隔离系统一旦检测到感染。投资时间和资源确保您有一个有效的计划,保护您网络上的其他系统对我们今天看到的威胁类型至关重要。

Ransomware弹性

正如我们所覆盖的那样,2019年集中于组织的赎金软件,我们希望在未来几个月内看到更多尖峰,但不一定在您可能期望的城市中。现实是,瑞典软件的大标题城市只占全国各地每一天的数百名赎金软件攻击。

网络罪犯不会遵守如何进行攻击的规则。事实上,他们一直在寻找新的机会,特别是在安全团队没有积极覆盖的地方。因此,把你所有的资源都花在规避措施上只会让你的组织陷入困境。

花点时间建立一个计划,当你遭到攻击时,并在围绕这种恢复力概念构建您的网络,政策和文化将阻止您的组织成为另一个标题。