首页 > 关于我们 > 银河集团动态 > 2023 > 正文

勒索赎金逐年飚升，银河集团信息支招企业拒做“待宰的羔羊”

阅读量：次 文章来源：银河集团信息

“打开你的钱包，准备好购买独家数据”。

勒索软件团伙Rhysida公开大放厥词。

近期，大英图书馆、丰田金融、雅马哈、波音、香港消费者委员会等大型组织、企业接连遭遇勒索攻击，赎金均在百万美元以上。今年10月，臭名昭著的勒索家族Lockbit更是向全球知名IT解决方案提供商CDW索要8千万美元的巨额赎金，是目前公开勒索金额的第三大赎金。

高昂的赎金诱惑，吸引了不少网络犯罪集团和黑客组织加入其中，漏洞武器化利用的速度加快，单次勒索攻击的成本缩减，攻击频次几何式上升。

银河集团信息猎影实验室跟踪全球勒索软件组织发现，勒索软件攻击威胁已经进入“高频”的新常态当中，连续8个月月均披露300余起。10月，全球公开披露的勒索事件就多达340余起，与去年同期相比，增幅达50%以上。

此外，据区块链分析公司Chainaanalysis在《2023 年年中安全报告》中指出，截至 6 月份，勒索软件攻击者已勒索至少 4.491 亿美元，若保持现有速度趋势，2023年全年勒索金额将高达 8.986 亿美元，勒索赎金或创下新的纪录。

肥美的羔羊“引颈待戮”

大型企业犹如一只只肥美的羔羊，味美肉嫩的羊肉引来无数“食客”垂涎欲滴，高额的利润价值更让”屠夫们“举刀立斩：

羊圈大：更广泛的攻击网

大型企业犹如一个个“羊圈”，有着极为复杂且庞大的架构圈层，涉及诸多地理位置和业务部门，结构分散，使得安全管理更加复杂，攻击命中率大大提升。业务上云为勒索者提供了更多的攻击面，不重视安全的企业数字化转型变成勒索组织切入点，不断渗透，多点攻击，从而使得整个企业陷入更为危险的境地。

羊汤香：更高价值的内部数据

饱满的油脂使得羊汤色白味美，十里飘香。大型企业有着庞大的数据库、敏感的商业机密以及关键的运营系统网，具有高度价值性的内部数据如同诱人的羊汤般，对于勒索者来说，不仅可以直接用于勒索，还可以在暗网上进行交易，进一步增加攻击者的收益。

羊肉贵：更强的支付意愿

夺回被盗窃待宰的羔羊需要支付高额赎金，而割舍珍贵的羊肉又往往承担着更大的风险。大型企业的关键业务和运营系统俨然是一块块昂贵的“羊肉”，如果遭到攻击，将出现严重的生产中断，极大破坏企业经营的稳定性，因而增加了支付赎金的动机。

关注多：更有影响力的胁迫压力

每只羊如同掌中之宝，严格的公众监督与法律法规正是一双双眼睛的注视，给大型企业带来无形压力。这种监督压力迫使大型企业更有可能在遭受勒索攻击后支付赎金，以避免敏感信息泄露或服务中断对公众形象的负面影响。勒索者往往利用这种公共关切，加大了对大型企业的攻击力度。

有利润就会有人做，做的人多了，就成了产业。

从武器开发到攻击执行，从勒索敲诈到资金转移，一个针对大型企业的勒索产业链逐渐成型。以初始访问代理（IAB）为核心的产业链条，搭配逐渐成熟的RaaS勒索运营模式，勒索攻击的门槛持续降低，入侵成本进一步减少，无数把锋利的“屠刀”瞄准了“肥美多汁”的大型企业。

对于大型企业，往往勒索攻击所引起的业务重创和系统瘫痪导致营收损失远高于支付的赎金，因此企业亟需行之有效的解决方案来应对勒索组织的入侵。

破局勒索病毒，需要防护新招

传统的防勒索防护软件主要是通过识别已知的勒索软件进行防护，因此对于新出现的未知勒索软件可能防御能力较弱。随着勒索攻击技术的不断发展，只依赖传统的防勒索软件可能不足以提供全面的保护。

银河集团EDR认为为应对勒索风险，需要覆盖事前加固和防御、事中持续动态分析和检测、事后快速处置响应和溯源等多个阶段进行安全防范，全方位应对勒索病毒攻击风险。

1.事前六大核心能力，有效防护攻击者的探测与入侵

■ 防端口扫描能力：实时检查入站连接并阻断对本机端口的恶意探测, 防止攻击者进行扫描和嗅探，导致敏感信息泄露。

■ 资产梳理能力：通过利用基线安全检查与勒索风险专项评估能力，对系统的弱口令、威胁文件、风险账号、错误配置等进行专业评估、针对系统的薄弱点进行快速修复，防止被攻击者利用。

■ 主动防御能力：针对恶意的程序及文件进行检测和发现，并进行自动化响应。

■ 暴力破解防护能力：能够对系统登录行为进行合理限制，防止账号被爆破，导致攻击者提权，从而绕过主机防护。

■ 威胁情报能力：产品具备强大的威胁情报能力，能够在设备访问目标IP或域名前进行安全检测，发现风险后，可以对终端进行告警并阻断，防止带有恶意代码的网站并触发恶意代码，进而向用户设备植入勒索病毒。

■ 文件保险柜：银河集团EDR添加访问控制策略，对重要文件或目录进行访问权限控制，仅允许配置的例外进程操作，根本上杜绝勒索病毒，根本上保护业务数据安全。

2.事中切断攻击者攻击途径，阻止攻击者进行渗透

■ 防单机扩展：针对本机的扩展行为进行监测，防止提权行为。

■ 防远控持久化：对失陷后主机远控持久化行为进行检测，并可阻断远控。

■ 防内网探测功能：对内网的恶意攻击行为进行识别，阻断攻击者对内网的横向渗透。并基于业务隔离的策略划分特定的网络域，防止威胁在内网扩散。

■ 一键关闭高危端口：一键封锁威胁IP等应急策略，防止“威胁串网”维持整个网络环境稳定。

3.事中精准阻断勒索病毒加密行为，保护核心业务文件

智能勒索行为防护能力，实时分析程序行为及意图，根据行为检测智能识别勒索软件。具备诱饵勒索引擎，可在系统中投递诱饵文件，并可以实现在对诱饵文件进行操作时，立即告警并结束操作进程。

■ 勒索行为防护引擎：通过分析海量的勒索软件样本及病毒家族特性，总结了样本具有的共性特征形成了引擎行为知识库，通过系统API级别分析，高效抵御未知勒索病毒。

■ 勒索防护诱饵引擎：针对勒索病毒遍历文件实施加密的特点，在终端关键目录下放置诱饵文件，当有勒索病毒尝试加密诱饵文件时及时精准中止恶意进程，阻止勒索病毒的进一步加密和扩散。

4、事后确保核心数据高效恢复，勒索保险降低实际损失

■ 文件备份恢复：勒索软件试图加密某些文件时，勒索加密文件恢复驱动可以监控到该软件对文件的可疑修改操作，在勒索软件写入之前，抢先备份该文件。备份完成后，用户可使用安全工具中的勒索加密文件恢复功能，输入文件名称，文件路径，扩展名，或者被病毒查杀功能检出的勒索软件进程名，搜索出备份的文件，进而恢复原文件。