勒索软件常用攻击媒介及漏洞有哪些?

勒索软件攻击包括加密关键的系统文件和数据，用来勒索受害者支付赎金。当受害者未按时支付赎金时，通常会增加赎金金额或者将其数据泄露。受害者为了减少损失并维持正常运营通常会按照相应金额进行支付赎金。最近几起成功的攻击主要针对金融机构、第三方承包商、工业控制系统和私营企业。大多数此类攻击都是利用技术栈的固有漏洞精心策划的。

最近的勒索软件攻击

最近发生的一些最大的勒索软件攻击包括：

Kronos勒索软件攻击

Kronos是一家人力管理公司，为众多客户公司提供工资处理和工时跟踪服务。2021年12月，Kronos的私有云平台遭到勒索软件攻击，失去了对其管理功能的指挥和控制。勒索软件攻击者使工资单管理员瘫痪，导致许多员工得到不准确的工资，而另一些员工则得不到任何工资。这次攻击还导致了数据泄露，暴露了员工的个人识别信息(PII)。

许多使用Kronos服务的公司都成为了网络威胁的受害者，攻击者威胁称，如果受害者不支付赎金，他们将向公众公布机密文件。通过这次攻击，攻击者还获得了UKG的源代码，并威胁称，如果该公司不履行他们的赎金要求，他们将出售这些源代码。虽然完全恢复Kronos的核心服务花了一年多的时间，但事件发生后，受影响的公司已经提起了高达数百万美元的诉讼。

Kaseya VSA勒索软件攻击

Kaseya为十多个国家的企业客户和托管服务提供商(MSPs)提供IT解决方案。2021年7月，攻击者针对该公司虚拟系统管理员(VSA)软件中的一个漏洞进行了供应链勒索软件攻击。为了策划这次攻击，攻击者利用一个认证绕过漏洞，在运行VSA软件的主机操作系统上安装并分发勒索软件。REvil操作团伙声称对这次攻击负责，声称在这次攻击中加密了超过100万台受感染的设备。他们的赎金通知单一开始包括7000万美元的赎金要求，但Kaseya没有支付。

7月13日，联邦官员和美国政府介入了对REvil服务器和其他基础设施的攻击。Kaseya在一周内报告说，他们收到了REvil漏洞的解密工具，并正在恢复属于勒索软件受害者的文件。

Colonial Pipeline勒索软件攻击

2021年5月6日，攻击者针对管理Colonial Pipeline工业控制系统的计算机设备发起了勒索软件攻击。这次攻击影响了主要的基础设施系统，导致美国东海岸的几家航空公司停飞。由于这条管道将石油从炼油厂输送到全国主要市场，政府官员将这次袭击归类为严重威胁，宣布进入紧急状态。在攻击发生的头两个小时内，黑客获得了约100GB的敏感数据。入侵后，攻击者用恶意软件感染了整个网络，影响了关键的桌面服务，包括会计和计费。

为了防止恶意软件在受感染的设备之外传播，Colonial Pipeline关闭了业务。调查发现，攻击向量是在之前的数据泄露中泄露的一个未披露的VPN密码。在进行了成本效益分析后，Colonial pipeline支付了400万美元赎金，以获得解密工具并重新控制其IT系统。

用于勒索软件攻击的漏洞列表

勒索软件攻击的常见攻击媒介包括：

鱼叉式网络钓鱼

勒索软件攻击者通常防备心低的员工为目标，假装自己是领导或公司合作伙伴，发送虚假邮件。这些电子邮件可能包含恶意网站或文件附件的链接，当受害者的电脑被点击时，就会安装勒索软件。尽管电子邮件骗局已经被使用了几十年，但威胁行为者一直在进化各种方法，诱使目标受害者安装恶意软件，使他们的数据和设备无法访问。

访问控制缺陷

勒索软件攻击的主要目标是使整个网络或受感染的设备无法访问，进而索取金钱作为回报。攻击者可以利用访问控制缺陷通过假定已识别用户的身份来利用面向公众的应用程序，使其难以检测入侵。在目标系统包含访问控制漏洞的情况下，攻击者可以获得对合法用户帐户的访问权，协调文件加密，并阻止受害者访问他们的数据。

常见漏洞和暴露

攻击者还利用 CVE 数据库中列出的网络威胁来访问文件以进行勒索软件攻击。勒索软件攻击中常用的一些漏洞和暴露包括：

CVE-2021-40444 - Windows MSHTML漏洞

CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 - MS Exchange Server上的ProxyShell漏洞

CVE-2021-36942通过LockFile覆盖Windows域

CVE-2021-34527 - Windows打印假脱机程序漏洞

CVE-2021-30116、CVE-2021-30119和CVE-2021-30120 - Kaseya的MSPs 0day漏洞

主动对抗勒索软件攻击的一些策略

勒索软件恢复工具

勒索软件恢复工具可帮助安全团队识别恶意软件是否在系统中加密了文件，同时给出恢复这些文件数据所用措施的建议。此类工具扫描加密文件，并检查其数据库中是否有可用的解密密钥。采用适当的勒索软件恢复工具可帮助运营团队恢复加密数据并重新启动关键系统，而不必支付赎金。

外部备份解决方案

企业应该投资于能够持久化关键系统文件和数据的外部备份副本的解决方案。外部备份是紧急响应计划的关键组成部分，因为它们使组织能够恢复正常操作，而无需为恢复对其网络资产的控制付费。

杀毒软件

杀毒软件利用应用程序白名单来防止在网络中执行未经授权的应用程序。在整个网络中部署防病毒解决方案可以帮助运营团队在恶意软件攻击时及时检测到它，从而防止勒索软件作者获得系统访问权限。

安全评估及检测

定期执行漏洞扫描，静态安全测试、动态测试、渗透测试和日志审计等，以评估部署的安全状况。安全审计有助于在威胁参与者利用勒索软件攻击媒介之前识别潜在的风险及安全漏洞，同时协助内部团队分析是否为攻击做好了充分准备。

参考来源：

https://crashtest-security.com/prevent-ransomware-attack/