Sophos发现许多勒索软件集团蓄意发动线上加密攻击

Sophos发布一份《CryptoGuard：一种非对称的勒索软件防御方式》报告。报告指出，一些最活跃且影响幅度大的勒索软件集团，包括 Akira、ALPHV/BlackCat、LockBit、Royal 和 Black Basta 等，均会蓄意在攻击时进行线上加密。在线上加密攻击（也称为线上勒索软件）中，攻击者会利用已经遭入侵且通常保护不足的端点，对连线到同一网络的其他装置进行数据加密。

Sophos CryptoGuard是Sophos在2015年收购的反勒索软件技术，已整合到所有Sophos端点授权中。CryptoGuard会监控恶意加密档案的行为，提供实时保护和回复原功能，即使勒索软件本身未出现在受保护的主机上也能加以防御。这种独特的反勒索软件技术是Sophos多层式端点保护的「最后一道」防线，只会在攻击者在攻击链中触发时才会启用。自2022年以来，CryptoGuard侦测到的蓄意线上加密攻击年增率达 62%。

Sophos威胁研究副总裁兼CryptoGuard共同开发者Mark Loman表示，企业可能有成千上万台连线到公司网络的电脑，而在线上勒索软件中，只要一台设备保护不足，就足以危及整个网络。攻击者知道这一点，所以他们会寻找弱点下手，而大多数公司中都至少有一个。线上加密将是防御人员必须持续面对的问题，而且根据我们所看到的警示，这种攻击方法正在稳定增加。

这类攻击涉及线上档案加密，传统部署在线上装置上的反勒索软件保护无法「看到」恶意档案或其活动，因此无法阻止未经授权的加密和潜在的数据外泄。不过，Sophos CryptoGuard技术采取创新的方式来阻止线上勒索软件，正如Sophos X-Ops文章所解释的：分析档案内容，检查是否有任何数据被加密，以便在网络的任何装置上侦测出勒索软件活动，即使该装置上没有恶意软件。

在2013年，CryptoLocker是第一个大量使用线上加密和非对称加密（也被称为公开金钥加密）的勒索软件。从那时起，由于全球组织普遍存在安全漏洞以及加密货币出现，攻击者更频繁地使用勒索软件了。
Loman 表示，10年前，Sophos当首次注意到CryptoLocker利用线上加密时，就预见到这种手法将成为防御人员的一大挑战，而其他解决方案都只专注于侦测恶意二进位档案或执行的动作。在从线上加密的情况下，恶意软件是存在于一台未受保护的电脑，而非档案被加密的电脑。唯一阻止它的方式是监视并保护这些档案。这就是为什麽Sophos研发CryptoGuard。

CryptoGuard并不会寻找勒索软件；相反地，它把重心放在主要目标，也就是档案。它会对文件进行数学运算，侦测其是否被窜改和加密。值得注意的是，这种独立作业的策略刻意不依赖入侵指标、威胁特徵、人工智能、云端查找结果或先前的情报，以达到预期效果。透过专心监控档案，Sophos可以改变攻击者和防御者之间的平衡。Sophos让攻击者成功加密数据的成本和复杂性增加，让他们放弃原本的目标。这是非对称防御策略的一部分。

线上勒索软件对组织来说是一个重要的问题，也是勒索软件长期存在的原因之一。由于透过连线读取数据要比从本机磁碟读取慢，Sophos看到像LockBit和Akira等攻击者会策略性地仅加密每个档案的一小部分。这种方法的目的是在最短时间内造成最大的破坏，进一步缩小防御人员察觉攻击并做出反应的空窗期。Sophos的反勒索软件技术可以阻止线上攻击，以及这类仅加密档案的3%的攻击。希望提醒防御人员注意这种持续的攻击方法，让他们能够适当地保护装置。

如需了解更多信息，请到Sophos阅读《CryptoGuard：一种非对称的勒索软件防御方式》。