看看勒索軟件生命周期的不同階段，以便更好地了解攻擊者如何發(fā)動攻擊以及防御者如何更好地抵抗。

1. 目標選擇與偵察

勒索軟件團伙就像銀行劫匪一樣，需要一個有能力支付贖金的目標。攻擊者會收集公開數(shù)據(jù)，包括查找目標網(wǎng)站的所有者和運營者，以確定該網(wǎng)站是自主管理的，還是已將管理外包給云服務(wù)提供商或其他實體。攻擊者還可能試圖收集網(wǎng)站關(guān)鍵人員的信息，有時甚至試圖在社交媒體上與他們建立信任。一旦建立信任，目標個人就更容易受到通過鏈接或電子郵件傳播的惡意軟件的攻擊。

對于受害組織而言，被選中并非他們所能掌控。企業(yè)避免這種命運的最佳方式是強化防御，降低受攻擊的幾率。這可以通過做好用戶和系統(tǒng)的準備來實現(xiàn)。一些常見的防御措施包括用戶安全意識培訓(xùn)、補丁安裝和常規(guī)的網(wǎng)絡(luò)衛(wèi)生實踐。

2.惡意軟件傳播和感染

網(wǎng)絡(luò)釣魚、惡意網(wǎng)站上的惡意鏈接以及社交媒體垃圾郵件是常見的惡意軟件傳播手段。這些手段之所以持續(xù)存在，是因為盡管用戶接受了安全意識培訓(xùn)，但它們?nèi)匀挥行?。目標用戶可能很著急、精神負?dān)過重、想提供幫助，或者僅僅是出于好奇。無論出于何種原因，他們都會落入陷阱。一旦點擊鏈接或附件，惡意軟件就會運行，滲透就此開始。

另一種勒索軟件攻擊方式是社交媒體垃圾郵件。這種方法在一定程度上依賴于點擊誘餌。視頻或鏈接看起來太有吸引力，目標用戶難以抗拒，出于好奇或因為看起來像是來自可信的發(fā)件人，他們就會點擊。

竊取用戶憑證也可能是勒索軟件傳播的因素之一。如果網(wǎng)絡(luò)犯罪分子通過釣魚計劃或惡意鏈接提前獲取登錄憑證，他們就可以通過受信任的用戶植入勒索軟件。

研究人員還發(fā)現(xiàn)，利用服務(wù)漏洞作為攻擊媒介的情況日益增多。攻擊者并非創(chuàng)建并使用傳播軟件，而是有時會利用面向公眾的應(yīng)用程序中已知的漏洞。鑒于用戶已經(jīng)接受了更深入的培訓(xùn)，能夠更好地避開可疑鏈接，攻擊者可能會認為這種途徑更有希望。

安全供應(yīng)商發(fā)現(xiàn)，攻擊者越來越多地將合法工具（例如操作系統(tǒng)功能或軟件）作為攻擊目標。利用遠程桌面服務(wù)就是這種策略的一個例子。通過混入合法流量，攻擊者可以更好地隱藏在眾目睽睽之下。此外，這些更隱蔽的攻擊有時可以逃避傳統(tǒng)的檢測軟件，因為傳統(tǒng)的檢測軟件依賴于發(fā)現(xiàn)可疑的新進程或新端口的開放。

3. 命令與控制

命令和控制階段仍然是勒索軟件殺傷鏈的核心要素。

一旦成功感染目標設(shè)備，惡意軟件通常會開始與命令與控制服務(wù)器（C&C 服務(wù)器）進行通信。在威脅行為者的控制下，該外部服務(wù)器負責(zé)向目標設(shè)備發(fā)送加密密鑰。還可能下載其他惡意軟件和網(wǎng)絡(luò)探測軟件。

4. 探索和橫向移動

在此階段，攻擊者會尋找途徑深入滲透組織的 IT 系統(tǒng)，通常是通過濫用員工憑證或管理員賬戶。如果成功，他們可以造成更大的破壞并竊取寶貴的數(shù)據(jù)。這種在不被察覺的情況下跨系統(tǒng)攻擊的能力被稱為橫向移動。

現(xiàn)在，這一運動通過人工智能得到了增強，它可以在主機上進行探測和響應(yīng)，而不需要與外部控制服務(wù)器通信。

橫向移動使勒索軟件攻擊者能夠在加密之前最大限度地滲透。如果利用零日漏洞，攻擊者可以在不被發(fā)現(xiàn)的情況下滲透多個站點，從而傳播攻擊并最大化潛在獲利能力。云環(huán)境仍然是頗具吸引力的目標，因為可能為攻擊者提供訪問許多站點以及虛擬機管理程序的權(quán)限，而虛擬機管理程序是某些安全工具無法觸及的層級。

微軟和其他公司已經(jīng)注意到勒索軟件團體利用橫向移動來提升訪問權(quán)限并操縱目標安全產(chǎn)品內(nèi)的設(shè)置，從而使他們擁有更大的移動自由而不會觸發(fā)警報。

5. 數(shù)據(jù)泄露和加密

一旦被發(fā)現(xiàn)，數(shù)據(jù)就會被復(fù)制，然后被竊取。泄露通常是安全軟件首次檢測到錯誤的時刻。

這也是勒索軟件攻擊的階段，攻擊者可能會加密竊取的數(shù)據(jù)。加密是典型的加密勒索軟件策略。惡意攻擊者會提供解密密鑰，以換取贖金。

最近，一些攻擊者決定跳過這一步。賽門鐵克在其2024年威脅報告中表示，其觀察到無加密攻擊有所增加。在不加密的情況下進行數(shù)據(jù)泄露可以顯著減少攻擊者在勒索軟件操作上花費的時間。相反，勒索軟件團伙會使用一小段數(shù)據(jù)來讓目標組織誤以為他們擁有完整的數(shù)據(jù)集。

6. 敲詐勒索

此時，勒索軟件目標通常會看到包含以下部分或全部信息的消息：

• 感染通知。
• 犯罪分子為獲取解密密鑰所要求的金額。
• 提交付款的說明。
• 倒計時器用于指示攻擊者在永久竊取數(shù)據(jù)或增加贖金金額之前等待贖金支付的時間。

如果網(wǎng)絡(luò)犯罪分子將文件上傳到 C&C 服務(wù)器，還可能威脅公開發(fā)布數(shù)據(jù)，這種策略被稱為雙重勒索軟件。三重勒索軟件涉及第三個元素，例如DDoS攻擊或?qū)δ繕私M織的客戶或合作伙伴的并行勒索。

圖片

受害者和攻擊者之間的動態(tài)發(fā)生了一些變化。

以往，目標遭受勒索軟件攻擊后，會在等待解密密鑰期間關(guān)閉系統(tǒng)，而現(xiàn)在的對抗更具互動性。攻擊者可能會加密復(fù)制的有效載荷，但受害組織可能擁有可用的備份，意味著它不需要返還整個數(shù)據(jù)集。這種動態(tài)使得與勒索軟件團伙談判以獲得較小數(shù)據(jù)子集的密鑰或同意較低的贖金成為可能。談判是勒索軟件相關(guān)支付金額減少的一個因素。

7. 解決方案和升級

先進的安全工具和技術(shù)可以降低入侵風(fēng)險，并提高發(fā)現(xiàn)和阻止勒索軟件攻擊（如果正在進行）的幾率。

考慮以下幾點：

• 自動補丁管理。惡意軟件經(jīng)常利用設(shè)備操作系統(tǒng)或應(yīng)用程序中未修補的漏洞。自動修復(fù)已知軟件安全漏洞的補丁管理工具可以顯著降低勒索軟件攻擊的可能性。
• 反惡意軟件和防病毒軟件。反惡意軟件和防病毒軟件有助于識別和防御已知的勒索軟件變種。安裝在設(shè)備和電子郵件應(yīng)用程序中后，這些工具可以阻止與已知惡意域的通信，并阻止可識別惡意軟件的安裝。
• 異常檢測軟件?；谌斯ぶ悄艿漠惓z測功能（例如用戶行為分析軟件中的功能）會持續(xù)掃描網(wǎng)絡(luò)流量以識別可疑活動。確認勒索軟件入侵后，安全團隊可以隔離受感染的設(shè)備，以防止進一步的橫向移動和感染。
• 網(wǎng)絡(luò)微分段。 微分段可幫助 IT 團隊限制橫向移動。將網(wǎng)絡(luò)邏輯劃分為精細的子網(wǎng)，每個子網(wǎng)都具有定制的訪問控制規(guī)則，從而防止惡意軟件感染的傳播。

改進的縱深防御策略依賴于多種檢測、保護和強化技術(shù)，以降低潛在攻擊鏈中每個環(huán)節(jié)的風(fēng)險。為了防范新的勒索軟件行為，請考慮兩種策略。首先，進一步加強安全控制，以檢測其他進程活動和有效載荷移動。其次，訓(xùn)練安全編排和自動響應(yīng)軟件，以檢測并修復(fù)表明存在異常活動的環(huán)境變化。

勒索軟件的演變和攻擊者行為的變化是不可避免的，而且很可能還會繼續(xù)演變，變得更加隱蔽。這些變化可以說反映了勒索服務(wù)的商品化。勒索軟件即服務(wù)的興起導(dǎo)致攻擊者的數(shù)量激增。為了保護數(shù)據(jù)安全，網(wǎng)絡(luò)安全專業(yè)人員需要跟上這些不斷變化的勒索軟件威脅的步伐。