勒索軟件似乎一度處于下滑狀態(tài)，但現(xiàn)在它已經(jīng)獲得了新的生命 - 并且還有額外的惡名 - 在騙子們?yōu)樗麄兊奈募用軔阂廛浖_定了一套利潤(rùn)豐厚的新目標(biāo)之后。一旦內(nèi)容針對(duì)個(gè)人電腦，網(wǎng)絡(luò)犯罪分子通過(guò)加密整個(gè)中小型企業(yè)和其他組織的網(wǎng)絡(luò)并持有贖金，意識(shí)到他們每次可以賺取數(shù)萬(wàn)美元，從而擴(kuò)大了他們的覆蓋面。2017年發(fā)生了一起事件，永遠(yuǎn)改變了這一特定品牌的網(wǎng)絡(luò)犯罪：WannaCry勒索軟件攻擊。由一個(gè)泄露的NSA黑客工具提供支持，WannaCry具有蠕蟲般的功能，使其能夠快速傳播到世界各地。全球各地的組織成為惡意軟件活動(dòng)的受害者，英國(guó)國(guó)家健康服務(wù)部門成為最受矚目的受害者之一。

這次襲擊歸咎于朝鮮，僅產(chǎn)生了約130,000美元的比特幣支付，但證明了勒索軟件可能對(duì)企業(yè)乃至關(guān)鍵基礎(chǔ)設(shè)施造成的損害嚴(yán)重程度。

雖然一些網(wǎng)絡(luò)犯罪團(tuán)伙轉(zhuǎn)而使用勒索軟件而不是其他攻擊，例如加密劫持或木馬惡意軟件，但那些專門從事文件鎖定活動(dòng)的人不斷插手，開發(fā)出更具針對(duì)性更強(qiáng)且更有效的攻擊。

現(xiàn)在，通過(guò)利用面向Internet的遠(yuǎn)程桌面協(xié)議(RDP)端口，默認(rèn)憑據(jù)和橫向移動(dòng)，攻擊者可以隱藏時(shí)間并獲取對(duì)整個(gè)網(wǎng)絡(luò)的訪問權(quán)限，然后再拔出觸發(fā)器并丟棄勒索軟件負(fù)載。

雖然一些主要組織 -如Norsk Hydro--已經(jīng)成為這種攻擊的受害者，但城市和地方政府，特別是美國(guó)的城市和地方政府，很快成為勒索軟件活動(dòng)的常規(guī)受害者。

最近，一些受影響的城市向網(wǎng)絡(luò)攻擊者支付了數(shù)十萬(wàn)美元。今年6月，佛羅里達(dá)州的里維埃拉海灘市(人口34,000)在數(shù)據(jù)和服務(wù)因勒索軟件攻擊而丟失后，向黑客支付了60萬(wàn)美元的比特幣。不久之后，佛羅里達(dá)州萊克城(人口12,000人)在勒索軟件取消了幾乎所有市議會(huì)的IT服務(wù)和系統(tǒng)后，支付了50萬(wàn)美元的贖金。

在佛羅里達(dá)州的兩個(gè)城市被擊中前幾個(gè)月，佐治亞州杰克遜縣(人口7萬(wàn))也遭到勒索軟件攻擊，官員們花了40萬(wàn)美元重新獲得IT系統(tǒng)。

“他們付錢是因?yàn)檫@是讓你的運(yùn)營(yíng)恢復(fù)正常運(yùn)行的最快方式。如果你看一些影響關(guān)鍵服務(wù)的事件，這些事件具有高度破壞性，并且肯定會(huì)被市民感受到。這可能是因?yàn)槌鞘袥Q定支付，“FireEye情報(bào)分析經(jīng)理Kimberly Goody說(shuō)。

SEE：

雖然一些城市，如巴爾的摩和亞特蘭大選擇花費(fèi)數(shù)百萬(wàn)美元重建系統(tǒng)而不是滿足攻擊者的要求，但其他城市已決定支付，授權(quán)他們的保險(xiǎn)公司與網(wǎng)絡(luò)犯罪分子談判，因?yàn)樗坪跏亲詈?jiǎn)單的短期期權(quán)。

犯罪分子可能沒有故意針對(duì)城市，而是在尋找他們可以找到的任何面臨互聯(lián)網(wǎng)的漏洞。然而，團(tuán)體也可能意識(shí)到城市很容易被選中。

運(yùn)營(yíng)中小城市的理事會(huì)資金不足，這意味著IT安全沒有所需的投資，安全漏洞仍然存在。而且，由于人口總數(shù)超過(guò)3.27億，美國(guó)有數(shù)千個(gè)小城市成為攻擊者的完美目標(biāo)。

“這些組織通常不像私人機(jī)構(gòu)那樣安全，它們不像網(wǎng)絡(luò)安全導(dǎo)向。他們非常容易遭受網(wǎng)絡(luò)攻擊 - 如果出現(xiàn)問題，他們可能會(huì)失去一切，”威脅情報(bào)主管Marina Kidron說(shuō)。 Skybox安全。

參見：

而且，由于目標(biāo)城市正在帶來(lái)利潤(rùn)豐厚的發(fā)薪日，網(wǎng)絡(luò)犯罪分子將繼續(xù)使用勒索軟件攻擊他們。

“最終，這些人正在進(jìn)行這些操作，因?yàn)樗麄兿胭嶅X - 如果它不起作用，他們就不會(huì)這樣做，”古迪說(shuō)。

處理勒索軟件的網(wǎng)絡(luò)犯罪分子是成功的。最近，GandCrab勒索軟件的運(yùn)營(yíng)商宣布退休，聲稱附屬公司已從他們的勒索軟件作為服務(wù)賺了20多億美元。

雖然一些惡意軟件團(tuán)伙確實(shí)被當(dāng)局追蹤，但識(shí)別攻擊者的情況很少 - 導(dǎo)致文件鎖定惡意軟件的另一個(gè)因素對(duì)于城市和其他受害者來(lái)說(shuō)是一個(gè)巨大的問題。

Bitdefender的高級(jí)電子威脅分析師Liviu Arsene說(shuō)：“有多少網(wǎng)絡(luò)犯罪團(tuán)伙使用勒索軟件進(jìn)行操作?

“有時(shí)使用勒索軟件會(huì)使某人負(fù)起責(zé)任并找到這些人更加困難 - 他們會(huì)在一夜之間突然消失。勒索軟件是一項(xiàng)非常有利可圖的業(yè)務(wù)，它已經(jīng)成為網(wǎng)絡(luò)犯罪團(tuán)體的一個(gè)非常低調(diào)的成果，”他補(bǔ)充道。

如果這有一線希望，那就是城市管理者現(xiàn)在有望意識(shí)到勒索軟件帶來(lái)的威脅。這應(yīng)該提供一種抵御攻擊的動(dòng)力，因?yàn)槌鞘胁惶赡芟Ｍ麑⑺麄兊拿痔砑拥侥切┲Ц稊?shù)十萬(wàn)比特幣贖金的人名單中。

這類城市的最佳選擇 - 從長(zhǎng)遠(yuǎn)來(lái)看保護(hù)其預(yù)算的城市 - 是在成為事件受害者之前投資安全。然而，這并非沒有成本和痛苦。

“無(wú)論你在重建時(shí)遇到什么樣的痛苦，當(dāng)你升級(jí)安全控制時(shí)，無(wú)論如何都要做到這一點(diǎn)，”Check Point Software的事件響應(yīng)和威脅情報(bào)主管Dan Wiley說(shuō)。“也許重建所有服務(wù)器并不是那么糟糕，但你仍然需要付出很多努力來(lái)修復(fù)你的環(huán)境以抵御這些攻擊。”

好消息是，有一些相對(duì)簡(jiǎn)單的步驟 - 除了明顯使用端點(diǎn)安全軟件之外 - 城市和其他組織可以采取措施確保它們免受勒索軟件攻擊。

第一個(gè)是確保所有軟件和所有操作系統(tǒng)都完全修補(bǔ)所有必要的安全更新。軟件供應(yīng)商提出了安全補(bǔ)丁來(lái)對(duì)抗可被攻擊者利用的漏洞 - 如果一個(gè)組織仍在運(yùn)行尚未修補(bǔ)數(shù)月甚至數(shù)年的軟件，那就是在尋找麻煩。WannaCry勒索軟件如此成功的原因之一是因?yàn)樵S多組織在發(fā)布后差不多兩個(gè)月沒有應(yīng)用關(guān)鍵補(bǔ)丁。

此外，組織應(yīng)確保RDP僅在必要時(shí)才暴露于互聯(lián)網(wǎng) - 如果被認(rèn)為是至關(guān)重要的，那么保護(hù)它的密碼不應(yīng)設(shè)置為默認(rèn)或易于破解。還應(yīng)啟用多因素身份驗(yàn)證，因此，如果嘗試未經(jīng)授權(quán)的訪問，則無(wú)法輕松橫向移動(dòng)。

最后，在勒索軟件方面最重要的防御之一是確保系統(tǒng)定期備份，因此如果最壞的情況發(fā)生，網(wǎng)絡(luò)可以相對(duì)簡(jiǎn)單地恢復(fù)，而不會(huì)滿足網(wǎng)絡(luò)攻擊者的需求。

但不幸的事實(shí)是，一些組織仍然不會(huì)聽取最近一連串攻擊的教訓(xùn) - 在事情開始好轉(zhuǎn)之前，更多的組織將成為受害者。

“情況會(huì)變得更糟。重復(fù)教訓(xùn)直到他們學(xué)會(huì)了，”威利說(shuō)。“他們的課程非常簡(jiǎn)單，如果你不把它們帶到船上，你就會(huì)被搞砸。”