與黑客討價還價,勒索攻擊企業數據是關鍵
勒索攻擊已經成為了全球黑客組織最受歡迎的攻擊方式,通過勒索攻擊能夠給黑客組織帶來巨大的利益,基本上全球每天都有企業被勒索攻擊,有些勒索攻擊導致企業的業務直接被中斷,有些勒索攻擊,企業已經做好了數據備份,業務暫時沒有出現中斷,然而卻還是被勒索,這究竟是什么原因呢?
討價還價
筆者在跟蹤分析某個流行勒索病毒家族樣本的時候,發現了國外某企業與黑客在暗網上進行“討價還價”的過程,黑客組織找企業要“封口費”,不然就在暗網上公布和出售企業的數據。
受害企業通過黑客提供的勒索信息,找到黑客組織,黑客直接開口150萬美元,并申稱盜取了企業200G的數據,這些數據包含企業的會計、法律文件、財務、合同和私人信件等數據,如下所示:
黑客聲稱如果不支付,就會把企業的數據在黑客論壇上進行發布并公開出售,這個時候受害者肯定需要驗證黑客是不是真的盜取了企業的數據,于是受害者要黑客提供盜取數據的相關證據,黑客給受害者提供了盜取數據的30%的信息樹,如下所示:
黑客給受害者提供了相關的數據樹信息,如下所示:
這個時候受害者為了驗證數據的有效性,隨機找了幾個重要的文件,讓黑客提供這幾個文件來驗證是否真的盜取了,如下所示:
黑客給受害者發送了這幾個文件,得到了驗證,確實企業的數據被盜取了,于是企業開始評估這些數據的價值,最后給黑客組織開出了只能支付15萬美元的要求,如下所示:
經過一輪的“討價還價”,最后企業將贖金提升到了20萬美元,但黑客也給出了90萬美元的價值,好像是在菜市場買菜講價一樣,企業也在評估這些數據的價值,同時黑客也會做出相應的讓步,然后企業又提高了贖金,漲到了22.5萬美元,黑客也相應的給出了讓步,變成了87.5萬美元,如下所示:
這場與黑客組織的“討價還價”,就這樣進行中,最后這家企業會支付多少贖金呢?目前他們愿意支付的贖金從最初的15萬美元漲到了22.5萬美元,黑客也從最初的150萬美元降到了87.5萬美元,這個過程其實就是企業和黑客雙方都在評估數據價值的過程......
勒索攻擊
其實對于勒索攻擊,就像筆者之前的文章中提到的,業界一直存在的兩個誤區:
(1) 防勒索攻擊,不僅僅是防勒索病毒,需要防御的是黑客組織一整套攻擊流程,以及在整個攻擊鏈的各個環節中出現的各種不同功能的惡意軟件以及相關漏洞。
(2) 防勒索攻擊,不僅僅是備份企業數據,就萬事大吉了,勒索攻擊的關鍵已經不僅僅是在中了勒索病毒之后,企業能不能拿到解密工具,解密數據,快速恢復業務這么簡單了,而是在黑客入侵安裝了惡意軟件之后,這一段潛伏期內,企業的核心數據是否被黑客盜取,將來這些數據會不會在暗網上公開售賣。
關于這兩個誤區,更詳細的內容可以參考筆者之前寫的一篇文章《從HSE攻擊事件漫談針對勒索攻擊防御的兩大誤區》,勒索攻擊不等于勒索病毒,使用勒索病毒僅僅是勒索攻擊中的一種手段,事實上勒索的核心點是企業的數據,之前很多企業的數據被盜,黑客組織也會在暗網上進行售賣,但這種方式似乎還不能給黑客組織帶來快速的收益,隨著勒索病毒的發展,勒索攻擊成了一種主流,之前一些黑客組織也快速的更新了自己的經營模式,開始通過公布企業核心數據來勒索企業支付“封口費”,這種方式似乎在未來會成為另一種勒索的模式。
總結
不管是直接通過勒索病毒加密企業數據,還是通過各種不同類型的惡意軟件長期潛伏盜取企業核心數據,其實這兩種勒索攻擊的方式的核心是一樣的,那就是企業的數據,所以保護好企業的數據就是防止勒索攻擊的關鍵,數據安全一直是黑客攻擊的重點,不是是以前,還是現在,或者是將來,黑客獲利的關鍵就是企業的數據,獲取企業的數據有很多種方式,有些是“內鬼”、“間諜”,有些是惡意軟件盜取,有些可以通過某些漏洞獲取,但是不管哪種方式,勒索攻擊事實上已經發展成了 APT 攻擊模式,防勒索攻擊就是防御APT定向攻擊,企業的數據被黑客組織竊取或破壞,才是勒索攻擊的核心目標。
其實黑客組織一直在活動,曝光的永遠只是冰山一角,筆者一直致力于研究全球各種惡意軟件家族,最近又有幾款新型的勒索病毒和竊密木馬出現,而且功能非常強大,后面有空再給大家分享,惡意軟件是與黑客組織最直接,也是最有效的溝通橋梁,通過研究各種惡意軟件家族,你能更深入的了解黑客組織都在干什么?想做什么?目標是什么?通過什么方式來進行攻擊?使用了什么攻擊流程?黑客組織的運營模式又是什么?他們下一步打算做什么?通過分析惡意軟件,你還可以從樣本中獲取到很多非常有價值的威脅情報信息。
我常常說做安全分析就像警察辦案抓罪犯一樣,只有通過技術手段分析,不斷猜測罪犯的犯案過程,做到知已知彼才能抓到罪犯,前段時間看了國內出的一個新的電影《除暴》,其實里面的核心就是警察通過分析罪犯的做案手法,還原犯罪的過程,電影里面的那個警察憑借自己豐富的辦案經驗,不斷分析罪犯的犯罪活動,知已知彼,還原甚至提前預測了罪犯的下一步活動,最后找到罪犯,并抓到了罪犯。
