勒索攻击已经成为了全球黑客组织最受欢迎的攻击方式,通过勒索攻击能够给黑客组织带来巨大的利益,基本上全球每天都有企业被勒索攻击,有些勒索攻击导致企业的业务直接被中断,有些勒索攻击,企业已经做好了数据备份,业务暂时没有出现中断,然而却还是被勒索,这究竟是什么原因呢?
笔者在跟踪分析某个流行勒索病毒家族样本的时候,发现了国外某企业与黑客在暗网上进行“讨价还价”的过程,黑客组织找企业要“封口费”,不然就在暗网上公布和出售企业的数据。
受害企业通过黑客提供的勒索信息,找到黑客组织,黑客直接开口150万美元,并申称盗取了企业200G的数据,这些数据包含企业的会计、法律文件、财务、合同和私人信件等数据,如下所示:
黑客声称如果不支付,就会把企业的数据在黑客论坛上进行发布并公开出售,这个时候受害者肯定需要验证黑客是不是真的盗取了企业的数据,于是受害者要黑客提供盗取数据的相关证据,黑客给受害者提供了盗取数据的30%的信息树,如下所示:
黑客给受害者提供了相关的数据树信息,如下所示:
这个时候受害者为了验证数据的有效性,随机找了几个重要的文件,让黑客提供这几个文件来验证是否真的盗取了,如下所示:
黑客给受害者发送了这几个文件,得到了验证,确实企业的数据被盗取了,于是企业开始评估这些数据的价值,最后给黑客组织开出了只能支付15万美元的要求,如下所示:
经过一轮的“讨价还价”,最后企业将赎金提升到了20万美元,但黑客也给出了90万美元的价值,好像是在菜市场买菜讲价一样,企业也在评估这些数据的价值,同时黑客也会做出相应的让步,然后企业又提高了赎金,涨到了22.5万美元,黑客也相应的给出了让步,变成了87.5万美元,如下所示:
这场与黑客组织的“讨价还价”,就这样进行中,最后这家企业会支付多少赎金呢?目前他们愿意支付的赎金从最初的15万美元涨到了22.5万美元,黑客也从最初的150万美元降到了87.5万美元,这个过程其实就是企业和黑客双方都在评估数据价值的过程……
其实对于勒索攻击,就像笔者之前的文章中提到的,业界一直存在的两个误区:
(1)防勒索攻击,不仅仅是防勒索病毒,需要防御的是黑客组织一整套攻击流程,以及在整个攻击链的各个环节中出现的各种不同功能的恶意软件以及相关漏洞。
(2) 防勒索攻击,不仅仅是备份企业数据,就万事大吉了,勒索攻击的关键已经不仅仅是在中了勒索病毒之后,企业能不能拿到解密工具,解密数据,快速恢复业务这么简单了,而是在黑客入侵安装了恶意软件之后,这一段潜伏期内,企业的核心数据是否被黑客盗取,将来这些数据会不会在暗网上公开售卖。
关于这两个误区,更详细的内容可以参考笔者之前写的一篇文章《从HSE攻击事件漫谈针对勒索攻击防御的两大误区》,勒索攻击不等于勒索病毒,使用勒索病毒仅仅是勒索攻击中的一种手段,事实上勒索的核心点是企业的数据,之前很多企业的数据被盗,黑客组织也会在暗网上进行售卖,但这种方式似乎还不能给黑客组织带来快速的收益,随着勒索病毒的发展,勒索攻击成了一种主流,之前一些黑客组织也快速的更新了自己的经营模式,开始通过公布企业核心数据来勒索企业支付“封口费”,这种方式似乎在未来会成为另一种勒索的模式。
不管是直接通过勒索病毒加密企业数据,还是通过各种不同类型的恶意软件长期潜伏盗取企业核心数据,其实这两种勒索攻击的方式的核心是一样的,那就是企业的数据,所以保护好企业的数据就是防止勒索攻击的关键,数据安全一直是黑客攻击的重点,不是是以前,还是现在,或者是将来,黑客获利的关键就是企业的数据,获取企业的数据有很多种方式,有些是“内鬼”、“间谍”,有些是恶意软件盗取,有些可以通过某些漏洞获取,但是不管哪种方式,勒索攻击事实上已经发展成了 APT 攻击模式,防勒索攻击就是防御APT定向攻击,企业的数据被黑客组织窃取或破坏,才是勒索攻击的核心目标。
其实黑客组织一直在活动,曝光的永远只是冰山一角,笔者一直致力于研究全球各种恶意软件家族,最近又有几款新型的勒索病毒和窃密木马出现,而且功能非常强大,后面有空再给大家分享,恶意软件是与黑客组织最直接,也是最有效的沟通桥梁,通过研究各种恶意软件家族,你能更深入的了解黑客组织都在干什么?想做什么?目标是什么?通过什么方式来进行攻击?使用了什么攻击流程?黑客组织的运营模式又是什么?他们下一步打算做什么?通过分析恶意软件,你还可以从样本中获取到很多非常有价值的威胁情报信息。
我常常说做安全分析就像警察办案抓罪犯一样,只有通过技术手段分析,不断猜测罪犯的犯案过程,做到知已知彼才能抓到罪犯,前段时间看了国内出的一个新的电影《除暴》,其实里面的核心就是警察通过分析罪犯的做案手法,还原犯罪的过程,电影里面的那个警察凭借自己丰富的办案经验,不断分析罪犯的犯罪活动,知已知彼,还原甚至提前预测了罪犯的下一步活动,最后找到罪犯,并抓到了罪犯。