什麼是迷宮勒索軟體?
雖然勒索軟體已經存在了幾十年,但直到 2017 年 WannaCry 勒索軟體攻擊才變得出名。 其他網路犯罪分子注意到 WannaCry 的成功,開發了自己的勒索軟體變體並發起了自己的攻擊活動。 Maze 是這些新的勒索軟體變種之一。 它已經存在好幾年了,但它在 2019 年開創了「雙重勒索」贖金的先河,創造了歷史。
過去,勒索軟體以簡單的商業模式運作:加密人們的文件,然後如果他們想重新獲得存取權限則要求贖金。 然而,這種方法只有在目標支付贖金的情況下才有效。 一些勒索軟體受害者能夠從備份中恢復,而另一些勒索軟體受害者則接受了損失,並對勒索軟體操作者採取了「不要餵食動物」的方法。
由於收入下降,Maze 勒索軟體組織決定修改其策略,將傳統勒索軟體攻擊和資料外洩合併到一次活動中。 他們將獲得對組織網路的存取權限,竊取大量敏感信息,然後對所有內容進行加密。 如果目標拒絕支付贖金,迷宮組織將威脅公開他們被盜的資料或將其出售給最高出價者。
這種方法增加了 Maze 的成功機率,因為公佈被盜資料可能會導致組織失去競爭優勢(如果智慧財產權和商業機密洩露給競爭對手),並可能違反資料保護法規(由於受保護的客戶資料遺失) GDPR、CCPA 等)。
迷宮勒索軟體如何運作?
從較高層面來看,Maze 與任何其他勒索軟體變體並沒有什麼不同。 所有這些都利用了這樣一個事實:當今使用的加密演算法是現代技術無法破解的。 如果資料被加密,則只有擁有相應解密金鑰的人(在本例中為迷宮組)才能存取原始資料。 因此,勒索軟體所需要做的就是加密檔案、刪除原始檔案和所有備份,並確保將加密金鑰的唯一副本發送給勒索軟體營運商。
儘管如此,並非所有勒索軟體變體和活動都是相同的。 勒索軟體變體的不同之處之一在於它們對初始感染媒介的選擇以及它們如何透過網路傳播。 Maze 通常透過網路釣魚電子郵件獲得存取權限,然後使用各種不同的技術在網路中橫向移動,使其能夠感染更多電腦。
最後,Maze 與其他勒索軟體的不同之處在於它首創了前述的「雙重勒索」策略。 雖然其他勒索軟體組織也紛紛效仿,但 Maze 組織是第一個從目標電腦竊取數據,然後對資料進行加密的勒索軟體組織。
如何防範 Maze 勒索軟體
過去,勒索軟體的重點是拒絕用戶存取其檔案。 這是透過加密檔案然後索取解密金鑰的贖金來完成的。 對於這些原始的勒索軟體變體,有許多防禦方案。 只需擁有安全的資料備份(攻擊完成後可以從中還原加密的檔案)就足以減輕惡意軟體的影響。
對於 Maze,僅從備份恢復是不夠的。 作為攻擊的一部分,Maze 會竊取數據,網路犯罪分子威脅稱,如果不支付贖金,就會釋放這些數據。 為了消除資料外洩的風險以及相關的監管和法律處罰,組織需要在 Maze 勒索軟體攻擊造成損害之前偵測並阻止它。
這就是 Check Point 的SandBlast 網路和SandBlast 代理商發揮作用的地方。 SandBlast 協助組織解決 Maze 勒索軟體攻擊的每個階段:
- 預防: SandBlast 網路和 SandBlast 代理程式保護組織的網路和端點。 這有助於在 Maze 勒索軟體存取目標裝置之前檢測並阻止它。
- 偵測: SandBlast 威脅搜尋可協助組織偵測網路上隱藏的 Maze 勒索軟體感染。 這可能允許惡意軟體在造成任何損害之前被刪除。
- 調查: Check Point Infinity 資安監控中心有助於偵測網路上受感染的裝置。 這使得他們能夠被隔離以阻止 Maze 的傳播並支援修復和恢復。
- 復原: SandBlast Forensics Report 支援加密檔案的完整復原。 SandBlast Agent 不依賴電腦的影集副本來進行檔案復原,而勒索軟體通常會刪除該影卷副本。
使用 Check Point 防禦 Maze 勒索軟體
Maze 是一種複雜的勒索軟體變種;然而,這並不意味著它不可能被發現和擊敗。 Check Point發布了一段視頻,示範如何使用 MITRE ATT&CK 框架透過威脅搜尋來偵測 Maze。
Check Point 的 SandBlast 產品線非常適合保護組織免受 Maze 勒索軟體攻擊。 透過免費試用 SandBlast Agent親自嘗試 Check Point 的端點保護。 在網路層面,透過SandBlast Network 簡報來了解 Maze 勒索軟體防護。
反映意見