当您开启电脑,准备投入到一天的办公,桌面却弹出显示 企业关键数据销毁的倒计时界面,并勒索您若想恢复这些文档,需支付天价赎金……
以上场景便是勒索软件所驱动的“数字疫情”,通过侵入漏洞、对企业机密信息加密,进而威胁企业主。更为严重的是,勒索软件攻击已发展成为产业。Conti 便是勒索软件即服务(RaaS)的典型代表,根据 Chainalysis 报告显示,Conti 在2021年收入至少达到1.8亿美元,其敛财能力可见一斑。
鉴于当下及未来勒索软件团伙的数量攀升、威胁加剧,企业安全工作人员急需探明 RaaS 非法商业模式下的攻击战术与策略,进而在攻防意识层面上拆解对方的“招式”。
近期,Akamai 安全研究人员对意外泄露的 Conti 内部文档和聊天记录全盘审查、分析后,发现该组织并非仅是大公司的安全杀手,同时也会通吃中小企业。有备而来的 Conti 专业化非常强,不仅铺开了立体、多层面的攻击场景,而且注重细节、攻击持久。
Conti 外泄文档介绍了网络攻击方法及其传播目标,攻击方法可以概括为“收集凭据、传播、重复”。假设黑客可以访问网络中的某台计算机,具体操作可分为以下步骤:
事实上,Conti 的套路并不新颖,使用有效的工具和持久化技术便可实现;但由于 Conti 侧重于“触摸键盘”网络传播,因此企业更需要用强有力的防御措施来阻止横向移动。
在与 Conti 等勒索软件团伙斗智斗勇的过程中,为阻止和减缓横向移动,Akamai 安全研究团队建议您采取控制用户访问权限和控制通信路径两种方式。前者需要有意将高级用户与日常活动分开,来扩大检测面;而后者将禁用 RPC、RDP、WinRM、SSH 等协议,以减少网络攻击面。
多云部署、混合办公趋势下,将勒索攻击的多层面威胁全面扼杀,可使用 Akamai 一整套创新、卓越的零信任安全解决方案,以 Web 应用程序防火墙(WAF)、零信任网络访问(ZTNA)、域名系统(DNS)防火墙和 Web 安全网关(SWG)服务,对企业办公设备进行端到端的严密防护。
一旦勒索攻击已经入侵企业内部的异构系统,安全运维人员需要尽快定位攻击点,判断问题症结。应用Akamai Guardicore Segmentation 技术,能够对企业中的关键 IT 资产进行微细分,在企业内网搭建多重防止病毒扩散的安全屏障。
凭借 Akamai 安全可视的流程化安全管理,企业安全团队更能第一时间锁定勒索攻击范围,集中优势资源,制止恶意行为。由此,我们便能够在勒索软件加密阶段之前,及时检测威胁、并在风险早期建立防御优势。
学会从攻击者视角看问题,有利于企业与黑客展开全流程的攻防博弈。Conti 泄露资料仅仅是黑客组织内幕的冰山一角,而当下勒索软件,也正与供应链攻击等手段产生协同效应。为此,Akamai 平台将持续升级自身安全技术体系,为您提供覆盖 IT 基础设施、应用程序和 API、诈骗预防等层面的多重安全防护。