但最近有安全人员基于最新勒索软件样本的研究发现,REvil似乎已经“重新回归”,比如证据显示新的勒索软件多个属性均与该勒索团伙此前的样本相同。并且REvil已经关闭了的Tor基础设施近期也以重定向方式开始重新运行。而此前,在REvil没有遭到逮捕之前,REvil曾因Tor基础设施和数据泄露博客被黑沉寂过一段时间,有评论称此次“重新回归”也可能与原组织并无相关。
REvil勒索组织曾成功攻击过全球近千家企业,最为知名的当属曾向美国最大的肉类供应商发动了攻击,最终成功从该公司获得了1100万美元的赎金。(事后报道部分资金被追回)针对管理服务提供商(MSP)Kaseya公司发起攻击,导致全球上千家公司电脑被锁定,上百万个系统被入侵,并索要价值7000万美元的比特币赎金。
据公开报道显示,REvil还曾攻击过我国国内某地产百强企业,并对该地产公司的重要文件进行了窃取及加密,导致内部大量系统被攻陷,无法展开正常工作。在这次勒索事件当中,该勒索组织向企业索要400万美元作为赎金。
迹象显示REvil似乎已经“重新回归”,但实际上我们应该关注的是全球范围仍旧持续活跃着的上百款流行的勒索软件,有机构最新预测显示,到2031年,全球勒索软件勒索活动将达到2650亿美元,显示,企业必须提前做好防范措施。
为应对勒索攻击,我们汇总了以下建议:(注.以下来源于安全419持续呈现的《勒索攻击解决方案》系列访谈中我们与多家知名网络安全企业(绿盟科技、天融信、安恒信息、奇安信、深信服、CloudWonder 嘉云、威努特)交流总结所得。)
1.企业不断的成长和新技术的广泛应用,进一步加剧了安全风险和暴露面,鉴于安全重要性正在日益提升,设立专职岗位(如CSO)负责统筹全面的IT安全风险管理,是应对以勒索攻击为首的网络安全建设的重要前提;
2.真实勒索案例中,绝大多数勒索攻击源于员工的意识疏忽所造成。企业一方面需系统的开展安全意识培训工作,同时应针对具体的安全事件进行日常演练,以在攻击发生时最大化降低企业损失;
3.同时安全意识应延伸至企业外部,比如企业将IT运维承包给第三方机构,还有涉及庞大供应链当中的任何一环。可以以安全合约为抓手,建立安全责任制,强化外部的安全风险管理;
4.安全基线必不可少,利用专业安全厂商提供的防御、检测类产品为勒索病毒设置重重障碍,可降低80%以上被勒索攻击的可能性。其中终端安全更是重中之重,大量案例证明,特别是国内,终端缺乏安全防护是造成勒索加密的主要原因;安全基线产品或服务以威胁情报建立防御机制,也是应对勒索组织不断变化趋势的有力抓手;
5.勒索攻击最终指向的是系统、应用和数据,对于处于数字经济时代的我们,如何让数据在各业务线上安全流通已成当务之急。《数据安全法》催生了数据安全产业的迅猛发展,以数据保护为抓手,应对勒索攻击已是可行方案;
6.产品服务化趋势,企业限于没有专业的运维人员来管理网络安全,会存在即使部署了安全产品也没有得到有效利用,这是广泛存在的现状问题,大中型企业尚能自行解决问题,小型企业问题更为明显。现在安全企业也注意到了这一问题,安全托管服务可以帮助企业解决这一难题;
7.企业应该认识到针对性地勒索攻击致使数据加密,当前技术上是无法恢复的,应该立即着手数据备份工作,且强化数据备份的隔离加密,始终让备份数据保持高可用性。对于生产经营性质企业,为了追求业务的持续运营,灾备解决方案已成为他们的最佳选择,该方案在保证数据高可用前提下,可支持系统在异地迅速再生;
8.企业承担勒索攻击所致损失的程度并不相同,为了避免遭受灭顶之灾,可以考虑从网络安全保险一侧切入防范。