Sophos 专家拉响了警报 – 只需一台易受攻击的设备就可以破坏整个组织的数据。
Sophos 的安全专家发现了勒索软件分发团队活动的新趋势。
最近的数据表明,黑客大规模转向在企业网络上使用所谓的“远程加密”。这种方法允许攻击者仅使用一台受感染的设备作为入口点来加密网络上所有设备上的数据。
顾名思义,远程加密是指使用受感染的端点来加密同一网络上其他设备上的数据时发生的情况。通常,如果在组织中的所有计算机之间共享本地写入访问权限,这种方法就是可行的。
恶意软件仅部署在最容易受到攻击的设备上,并且绝对所有可公开访问的数据都在其上进行了加密。同时,网络上的所有其他计算机不会以任何方式对此过程做出反应,因为加密的文件不包含任何恶意代码。用户只有在无法再访问数据之后才会发现。
Sophos 威胁研究副总裁 Mark Loman 强调了这一威胁的严重性:“只需要网络上的一台不安全设备就可以加密其他设备上的数据。” 这种方法的明显优点是它使标准事件检测方法无能为力。
微软今年 10 月报告称,目前约 60% 的勒索软件攻击都包含远程数据加密技术。此外,超过 80% 的攻击是通过只能访问共享文件存储的非托管设备发生的。
使用远程加密的著名勒索软件系列包括 Akira、ALPHV/BlackCat、BlackMatter、LockBit 和 Royal。这种方法已经使用了很长时间:早在2013年,CryptoLocker就以这种方式攻击了网络资源。然而,近几个月此类攻击急剧增加。
Sophos 专家在 报告中还强调了勒索团体与媒体之间的复杂关系。犯罪分子利用媒体不仅是为了吸引注意力,还通过驳斥他们认为不准确的报道来控制叙事。
他们还在数据泄露网站上发布常见问题和新闻稿,包括运营商的直接引用和对记者错误的更正。朗朗上口的名称和吸引人的图形的使用展示了网络犯罪的演变和专业化。
例如,RansomHouse 组织甚至在正式发布之前就向记者提供了有关其 PR Telegram 频道遭受攻击的所有最新信息。像 Conti 和 Pysa 这样的组织以使用组织层次结构而闻名,其中包括高层管理人员、系统管理员、开发人员、招聘人员、人力资源和法律部门。一些团体甚至正在寻找英语编辑和演讲者,以提供有关网络犯罪论坛攻击的有效报道。
“媒体参与为勒索软件团体提供了战术和战略优势。这使他们能够向受害者施加压力并塑造叙事,提高他们的名气并神话自己,”Sophos 指出。