勒索病毒仍旧肆虐横行

2017年“WannaCry”勒索病毒在全球爆发给多个国家地区的计算机用户造成了灾难性损失。两年过去了不同种类的勒索病毒及变种仍旧在全球肆虐横行所到之处哀鸿遍野。

以美国为例美国地方政府的信息系统一直是勒索病毒感染的重灾区自2013年以来至少有170个县、市或州政府系统遭遇了勒索软件攻击仅2019年就已发生了22起攻击攻击数量仍持续激增。

据德克萨斯州信息资源部DIR消息8月16日德克萨斯州23个小城镇的计算机系统遭到勒索病毒攻击具体受攻击城镇的名单未公开攻击者要求250万美元的比特币赎金。

然而DIR在声明中表示并未向攻击者支付任何赎金。国家运营中心在袭击当日已启动应急响应工作到8月23日所有受影响的关键业务已恢复正常。

无独有偶马萨诸塞州东南部港口城市新贝德福德市市长9月4日透露该市在今年7月5日曾遭到Ryuk勒索软件攻击。当时黑客开出530万美元的解密赎金该市曾尝试与黑客砍价表示愿意支付保险赔付金40万美元但遭到黑客拒绝随后该市决定自行恢复被加密的系统。

下面汇总了美国近年一些典型的勒索软件攻击事件的损失情况

  2018年3月佐治亚州亚特兰大市拒绝支付赎金花费超过950万美元恢复系统。

  2018年10月康涅狄格州West Haven支付2000美元赎金。

  2019年3月佐治亚州杰克逊县支付40万美元赎金。

  2019年5月马里兰州巴尔的摩市拒绝支付赎金花费超过1800万美元恢复系统。

  2019年6月佛罗里达州里维埃拉海滩支付60万美元赎金。

  2019年6月佛罗里达州莱克城支付46万美元赎金。

  2019年7月印第安纳州拉波特县支付超过13万美元赎金。

  2019年7月马萨诸塞州新贝德福德市讨价还价后遭拒恢复成本未知。

  2019年8月德克萨斯州23个城镇拒绝支付赎金恢复成本未知。

理想很丰满现实很骨感

频发的勒索攻击令美国各州市长们焦头烂额苦不堪言他们决定团结起来面对外部威胁统一阵线。2019年7月10日1400多位市长在第87届美国市长会议上一致通过了一项决议承诺不再为勒索攻击支付赎金。

议案表示尽管勒索攻击可能导致数百万美元的经济损失和数月的数据修复工作。但向攻击者支付赎金让其获取经济利益实际上是助长了他们的攻击行为。因此市长会议决议不向发起勒索攻击的黑客支付任何赎金。

这也与FBI网络安全专家的立场一致他们通常建议除非没有其他方法可以恢复数据否则不要支付赎金并敦促市政当局建立基本的数据备份程序。

有趣的是就在该项决议通过后几天印第安纳州拉波特县遭遇勒索软件攻击却向黑客支付了超过13万美元赎金用以解密数据。看来理想很丰满现实很骨感任何不基于现实情况的口号都是空谈。

当遭遇勒索攻击业务系统崩溃瘫痪上亿级数据危在旦夕绝对不是一条非黑即白的逻辑可以指导决策的。需要经过细节的周密考量、成本的精密计算得出最优解决方案。只有事前通过模拟真实情境进行推演协商各个环节各种情形下的应对策略制定一个完备的应急响应计划才能打一场有准备的战。

勒索攻击应急响应计划应避免哪些陷阱

以下是制定勒索攻击应急响应计划时的一些常见陷阱

1.使用传统的安全事件应急响应计划而不是为勒索攻击量身定制的应急响应计划

传统的安全事件应急响应计划与勒索攻击专用应急响应计划是无法匹敌。勒索攻击事件与其他类型的网络安全事件不同遭遇攻击后要恢复业务连续性不仅仅是重新映射受感染的计算机、阻止恶意软件的横向传播、以及修补被利用的漏洞那么简单。

即使你已经根除了恶意软件和持久性机制的所有痕迹系统仍然会残留损坏。这种损害不仅仅是服务器崩溃还有可能导致关键文件和系统永远无法访问。

2.认为拥有备份就可以不用支付赎金

在大多数情况下要从这种严重的损坏中恢复过来最简单最迅速的方法就是在不连接网络的状态下还原最近的安全备份。但也必须认识到拥有这样的备份并不能百分百保证你能够重新获得对加密数据的访问权限除非支付赎金。

尽管这种概率非常低但即使是最安全的备份也可能失败并且也不总是对勒索软件免疫。许多备份并没有像理想状态要求的那样频繁更新。无论你备份数据的方式或频率如何在勒索攻击应急响应计划中考虑到这点是至关重要的。

3.对是否支付赎金以及如何支付等问题未达成共识

如果你所在单位遭受勒索攻击并且无法恢复备份你可能需要考虑支付赎金是否可行。由于这不是一个轻率的决定通常需要高层管理人员或董事会参与决策因此未雨绸缪的主动规划至关重要。

关键利益相关者应提前召开会议以确定单位对支付赎金的立场。如果付款并非不可行那么利益相关方应该就付款需要考虑的标准和情境达成共识例如与攻击有关的可用证据、不付款的潜在影响、赎金金额和攻击者索款的有效性评估等。

确定付款方式也至关重要。谁负责采购加密货币通过什么方式采购谁负责和恐吓者谈判在实际的攻击中这些问题可能非常难以解答这就是为什么必须在勒索攻击应急响应计划中事先考虑并协商这些问题。

4.忽略内部利益相关方和外部相关方

尽管传统安全及IT相关职能之外的关键利益相关者是任何成功的应急响应计划不可或缺的因素但由于许多单位孤立的组织架构他们往往被忽视。例如公关部门的决策者是非常重要的角色他们需要处理与披露企业、机构事务、维护品牌声誉、以及在攻击期间和攻击之后跟进媒体和客户的质询。

此外法律与合规部门的决策者以及执法联络官也是必不可少的。他们不仅可以帮助确保组织机构不会无意中触犯法律——例如如果选择支付赎金需要特别规避反洗钱法——而且还可以协助处理网络安全相关保险的索赔。在许多情况下执法部门还可以协助调查和确定攻击的原因并防止未来再发生类似的攻击事件。

除执法部门之外其他需要考虑的外部相关方是专门从事勒索攻击响应的供应商或顾问。某些供应商可以处理由攻击产生的一系列事务包括与勒索者进行接触和谈判、验证攻击的合法性、获取加密货币以及代表你进行支付解密。主动与此类供应商建立联系然后在勒索攻击应急响应计划中罗列相关供应商的联系信息和业务范围有助于在发生攻击时提升响应速度优化补救措施。

5.不在模拟场景中验证应急响应计划

许多组织直到真正遭遇勒索攻击时才意识到他们有多么措手不及。毫无疑问一次攻击所带来的混乱和压力会使人头脑空白更不用说沟通和执行计划了。

勒索攻击应急演练与消防演练或其他公共安全演练非常相似与主要利益相关者一起进行现场模拟桌面演练是评估勒索攻击应急响应计划有效性的最佳方法。桌面演练的另一个重要好处是它们可以检验各利益相关方是否掌握自己在应急响应计划中所扮演的角色。显然在模拟场景中主动发现缺点加以改进比在真实的攻击中暴露缺点更好。

最后必须意识到即使拥有最强大的安全能力仍然可能成为勒索攻击的受害者。没有谁是完全免疫的这就是为什么要做最坏的打算。当真正面对攻击时拥有一个全面且验证良好的应急响应计划将为你带来巨大的优势。

本文来源安数网络转载请注明出处。

及时掌握网络安全态势  尽在傻蛋联网设备搜索系统

【网络安全监管部门】免费试用→→点击申请

更多安全资讯请关注

微信公众号 安数网络新浪微博 @傻蛋搜索