Sophos发现许多勒索软件集团蓄意发动线上加密攻击
Sophos发布一份《CryptoGuard:一种非对称的勒索软件防御方式》报告。报告指出,一些最活跃且影响幅度大的勒索软件集团,包括 Akira、ALPHV/BlackCat、LockBit、Royal 和 Black Basta 等,均会蓄意在攻击时进行线上加密。在线上加密攻击(也称为线上勒索软件)中,攻击者会利用已经遭入侵且通常保护不足的端点,对连线到同一网络的其他装置进行数据加密。
Sophos CryptoGuard是Sophos在2015年收购的反勒索软件技术,已整合到所有Sophos端点授权中。CryptoGuard会监控恶意加密档案的行为,提供实时保护和回复原功能,即使勒索软件本身未出现在受保护的主机上也能加以防御。这种独特的反勒索软件技术是Sophos多层式端点保护的「最后一道」防线,只会在攻击者在攻击链中触发时才会启用。自2022年以来,CryptoGuard侦测到的蓄意线上加密攻击年增率达 62%。
Sophos威胁研究副总裁兼CryptoGuard共同开发者Mark Loman表示,企业可能有成千上万台连线到公司网络的电脑,而在线上勒索软件中,只要一台设备保护不足,就足以危及整个网络。攻击者知道这一点,所以他们会寻找弱点下手,而大多数公司中都至少有一个。线上加密将是防御人员必须持续面对的问题,而且根据我们所看到的警示,这种攻击方法正在稳定增加。
这类攻击涉及线上档案加密,传统部署在线上装置上的反勒索软件保护无法「看到」恶意档案或其活动,因此无法阻止未经授权的加密和潜在的数据外泄。不过,Sophos CryptoGuard技术采取创新的方式来阻止线上勒索软件,正如Sophos X-Ops文章所解释的:分析档案内容,检查是否有任何数据被加密,以便在网络的任何装置上侦测出勒索软件活动,即使该装置上没有恶意软件。
在2013年,CryptoLocker是第一个大量使用线上加密和非对称加密(也被称为公开金钥加密)的勒索软件。从那时起,由于全球组织普遍存在安全漏洞以及加密货币出现,攻击者更频繁地使用勒索软件了。
Loman 表示,10年前,Sophos当首次注意到CryptoLocker利用线上加密时,就预见到这种手法将成为防御人员的一大挑战,而其他解决方案都只专注于侦测恶意二进位档案或执行的动作。在从线上加密的情况下,恶意软件是存在于一台未受保护的电脑,而非档案被加密的电脑。唯一阻止它的方式是监视并保护这些档案。这就是为什麽Sophos研发CryptoGuard。
CryptoGuard并不会寻找勒索软件;相反地,它把重心放在主要目标,也就是档案。它会对文件进行数学运算,侦测其是否被窜改和加密。值得注意的是,这种独立作业的策略刻意不依赖入侵指标、威胁特徵、人工智能、云端查找结果或先前的情报,以达到预期效果。透过专心监控档案,Sophos可以改变攻击者和防御者之间的平衡。Sophos让攻击者成功加密数据的成本和复杂性增加,让他们放弃原本的目标。这是非对称防御策略的一部分。
线上勒索软件对组织来说是一个重要的问题,也是勒索软件长期存在的原因之一。由于透过连线读取数据要比从本机磁碟读取慢,Sophos看到像LockBit和Akira等攻击者会策略性地仅加密每个档案的一小部分。这种方法的目的是在最短时间内造成最大的破坏,进一步缩小防御人员察觉攻击并做出反应的空窗期。Sophos的反勒索软件技术可以阻止线上攻击,以及这类仅加密档案的3%的攻击。希望提醒防御人员注意这种持续的攻击方法,让他们能够适当地保护装置。
如需了解更多信息,请到Sophos阅读《CryptoGuard:一种非对称的勒索软件防御方式》。