攻击者如何实现“闪电式”加密?
勒索软件团伙的加速攻击并非偶然,而是依赖于一系列先进工具和技术的组合。
首先,攻击者利用Mimikatz和PowerShell脚本等工具从内存中导出凭据,从而快速获取域管理员权限,并在网络中横向移动。这种技术使得攻击者能够在短时间内控制大量关键系统。
其次,远程工具中的漏洞成为攻击者的主要突破口。2024年,超过60%的勒索软件事件与远程工具漏洞相关。例如,ScreenConnect(CVE-2024-1709)的路径遍历缺陷和CrushFTP(CVE-2024-4040)的身份验证绕过漏洞,均为攻击者提供了未经授权即可执行远程代码的机会。
此外,勒索软件家族本身也在不断进化。以CryptNet为代表的新型勒索软件通过优化加密算法,在保持加密效果的同时,将加密时间缩短了70%。这种技术上的进步进一步压缩了企业的响应窗口。
勒索软件经济模式的转变
勒索软件攻击的加速不仅源于技术升级,还与攻击者经济模式的转变密切相关。
近年来,联盟模式的兴起推动了攻击的规模化发展。在这种模式下,攻击者通过高额报酬激励更多的参与者,导致攻击数量激增。
另外值得注意的是,38%的勒索软件事件已不再依赖传统的加密手段,而是转向纯数据勒索。例如,BianLian团伙通过威胁公开敏感数据,迫使受害者支付赎金,而无需对数据进行加密。
医疗保健和教育行业成重灾区
在勒索软件攻击的浪潮中,医疗保健和教育行业首当其冲。Huntress的报告显示,45%的医疗保健行业攻击使用了基于Java的远程访问木马(RAT),如STRRAT,而24%的教育行业事件则涉及Chromeloader信息窃取程序。这些行业的系统通常包含大量敏感数据,且安全防护相对薄弱,因此成为攻击者的主要目标。
企业如何应对?
面对日益猖獗的勒索软件威胁,企业必须采取更加主动的防御策略。首先,限制对远程监控和管理(RMM)工具的访问至关重要。数据显示,74.5%的勒索软件攻击利用了ConnectWise ScreenConnect的漏洞。其次,通过注册表修改阻止LOLBin(Living-off-the-Land Binaries)执行,可以有效防止攻击者滥用系统原生工具。此外,启用AES-NI硬件加密功能可以缓解部分文件加密攻击,降低数据丢失的风险。
Huntress的研究人员强调:“这17小时的窗口期不是宽限期,而是倒计时。”随着全球勒索软件市场规模已超过300亿美元,企业必须加快响应速度,确保每小时进行备份验证,并主动缓解潜在威胁。
结语
勒索软件攻击的加速和演变正在重塑网络安全格局。从技术升级到经济模式转变,攻击者的策略愈发复杂和高效。对于企业而言,传统的被动防御已不足以应对当前的威胁,唯有通过快速响应、主动防御和多层次防护,才能在这场与时间的赛跑中占据先机。
参考链接:https://cybersecuritynews.com/ransomware-gangs-encrypt-systems-after-17hrs/
京公网安备 11010802033237号
