被锁定并遭受勒索：一座城市与网络犯罪分子的较量

在这种情况下，这座城市还算比较幸运。安全团队在攻击刚刚开始时便发现了它，因此能够隔离受影响的网络分段以减少损失。

虽然遭受攻击的部门不得不回归（用他们的话说）毫无技术含量的“老式”工作方式，但其余的部门基本上毫发无损。尽管如此，恢复工作也花费了几个星期，并且停机导致该部门向社区提供的关键服务无法使用。

攻击者是如何进入城市网络的？还记得那个暖通空调供应商的人员吗？取证分析表明，攻击者能够使用被窃取的供应商帐户，通过该城市的 VPN 访问暖通空调系统端点。建立连接后，黑客便能够获取特权凭据来获得升级权限，并使用受害者的计算机在整个网络中进行横向移动。

遗憾的是，这种情况很常见。数据泄露和勒索软件攻击往往从被窃取的供应商访问凭据开始。对于勒索软件团伙来说，对供应商进行黑客攻击是一项有利可图的方案，因为他们有可能通过入侵一个企业来获得多个目标的凭据。

虽然这种访问方式最近似乎很常见，但它并非唯一方法。传统上，勒索软件威胁的两大感染媒介是网络钓鱼电子邮件和远程桌面协议攻击。

网络钓鱼仍然非常有效，因为技术的发展使得网络钓鱼电子邮件越来越难以被发现。甚至经验丰富的专业人员也会被其中一些精心设计、看似真实的邮件所欺骗。“尼日利亚王子”式粗制滥造的骗局盛行的日子已一去不复返。

出于某种原因，一些企业尚不清楚向互联网开放远程桌面协议连接是一个非常糟糕的主意。攻击者很快就能找到这些连接，并且通过暴力破解进入系统。一旦他们得手，赎金通知必定会随之而来。

攻击者也会使用社会工程、凭据盗窃以及投放被感染的 U 盘等方法来入侵系统，并且屡试不爽。

过去十年间，勒索软件发生了翻天覆地的变化，从简单的文件锁定恶意软件（也称为 CryptoLocker）转变为旨在将影响和利润最大化的复杂攻击。在过去，勒索软件攻击者会加密受害者在单个系统上的文件，并以解密密钥相要挟来索要赎金。

这一行为已演变为入侵包括备份和恢复系统在内的整个网络，以限制受害者实施数据恢复的能力。随着时间推移，各企业开始增强自己的网络安全态势，包括制定更多强大的备份计划，这显著降低了基于加密的攻击的影响。

那卑鄙的不法之徒会做什么？牌桌上还有大把的钞票，他们不可能就此收手回家。网络犯罪分子改为采用新的勒索软件解决方案进行应对，这催生出了称为“双重勒索”的新型勒索软件横行的时代。

双重勒索软件是一种独特的勒索软件感染，它涉及两种不同的威胁：对关键数据的加密和加密文件的外泄，以及威胁在受害者不支付数据的情况下公开泄露敏感信息。

这种手段大大增加了受害者的压力，因为它将勒索软件攻击从一个主要与运营相关的问题转变为可能带来潜在法律、监管和声誉影响的严重数据泄露风险。

服务于该城市的这家公司所面临的正是这种情况。在发动攻击的加密阶段之前，勒索软件团伙泄露了几个 GB 的数据，并威胁如不满足其要求，就会将此数据泄露到暗网上。

这个时候，事情开始变得棘手了。从地方执法机构到 FBI、CISA 等的各级执法机构都会建议您不要支付赎金。基本上，每位安全专业人士（包括那些在 Microsoft 等操作系统供应商和防病毒/反恶意软件供应商公司工作的专业人士）也会给您相同的建议。

他们给出此类指导意见的原因很简单：只要企业继续付款，网络犯罪分子就会继续发动网络攻击。在使用比特币或其他加密货币支付赎金后，并不保证能获得解密密钥，也不保证解密程序能够正常工作，甚至无法保证您不会再次成为攻击目标。

事实恰恰相反，因为攻击者很可能仍然在您的环境中留有足迹，并且既然您支付过一次赎金，就很可能会再次支付。

多家安全企业报告称，支付赎金的企业中有 78% 再次成为了攻击目标。那就不支付赎金，对吗？实际上，事情没有那么简单。企业可能无法在不支付赎金的情况下恢复数据，具体取决于攻击的严重性。

如果攻击者可以访问备份，那么备份也必定会遭到加密（攻击将从备份开始）。没有备份便无法恢复基础架构。即使备份存在，很多企业也难以承受一切从头开始重建的成本和时间。

在规模更大的企业中，重建和恢复其环境的成本可能远远超过了赎金金额。在这些情况下，他们无法承受不支付赎金所带来的后果。

此外，时间因素也不容忽视。恢复可能需要花费几周甚至几个月，而企业员工所依赖的关键服务在此期间也无法使用。在恢复这些服务时，可能会面临巨大的压力。

恢复过程仅仅是问题的一方面。正如先前所讨论的，大多数勒索软件团伙现在都在使用双重勒索恶意软件。他们首先会窃取数据，然后对其进行加密。

企业将面临敏感信息被公之于众的威胁。所产生的结果将是企业品牌受损、失去客户信任，还有可能遭受罚款或其他处罚。受害企业可能会因为未能遵守隐私保护法律而面临罚款，然后还必须向在泄露事件中被盗取信息的人员提供信用监控。

将这些成本与受害企业支付用于还原数据的赎金相加，最终的结果可能是一场财务噩梦。在某些情况下，这些后果是灾难性的，导致企业根本无法从攻击中恢复。

2022 年，伊利诺伊州的林肯学院由于遭受勒索软件攻击而被迫永久性关闭。受新冠疫情的影响，该学院已陷入财务困境，无力支付赎金，并且他们缺乏准备和事件响应措施，导致无法进行补救。

最终，它在运营了 157 年后被迫关门，而这是一个令人心碎的结果。

归根结底，赎金支付是一项商业决策。影响此决策的一些因素包括：

• 不支付赎金会产生哪些业务影响？

• 被窃取的数据遭到泄露会产生哪些业务影响？

• 如果不支付赎金，系统是否能够恢复？

在我们的故事里，该城市未向攻击者支付赎金。他们成功地与勒索软件团伙进行了协商，并大幅降低了赎金金额。他们很幸运，不仅能够恢复遭到入侵的系统，而且并未依赖解密密钥。

但是，他们不得不向很多人告知其信息遭到泄露，并为所有受影响人员提供信用监控服务。尽管如此，这样还算比较好的结果了。

还在担心吗？这并不是您的错。一想到自己成为勒索软件的受害者，就觉得可怕。但您也不必为此而夜不能寐。提前制定计划并做好相应准备能够减轻遭受勒索软件攻击的严重性，甚至完全阻止攻击。

以下是您可以立即实施的一些策略，包括：

• 数据备份

• DNS 防火墙

• 分段

• Zero Trust 应用程序访问

确保您制定了完善的数据备份策略（只是“好”还远远不够）。您将需要确保拥有多个备份副本；理想情况下，至少应对一个副本进行物理隔离，让攻击者无法接触到它。这些备份是攻击的首要目标之一，因此务必确保攻击者找不到它们。

不要忘记进行恢复演练。数据备份必不可少，但如果您不熟悉如何恢复自己的系统，那么这几乎和完全没有备份一样糟糕。做好恢复一切的准备，尤其是您的关键应用程序、敏感数据和基础架构。

网络钓鱼电子邮件是勒索软件最常用的感染媒介。无论您如何努力，都无法阻止人们点击网络钓鱼和其他恶意链接。不过，您可以最大限度地降低影响。

当某个人点击了恶意链接，或打开了恶意附件之后，其系统会对恶意域名进行 DNS 查询。DNS 防火墙可以阻止恶意域名的解析并使该链接失效。DNS 防火墙可以阻止与已知恶意软件域名及命令和控制基础架构的类似连接请求。

Akamai Secure Internet Access 是 DNS 防火墙的理想之选。Akamai 的威胁研究团队使用先进的算法来主动阻止恶意域名的解析，该解决方案甚至还提供零日网络钓鱼防护功能。

对于州、地方、部落和属地 (SLTT) 政府社区来说，其作用甚至更为有效。MS-ISAC 成员可通过其恶意域名拦截和报告 (MDBR) 服务获得免费版的 Secure Internet Access。

对于需要更多防护功能的企业来说，可通过 MS-ISAC 获取以 MDBR+ 形式提供的 Secure Internet Access，并且 CIS CyberMarket 为希望直接从 Akamai 进行购买的 MS-ISAC 成员提供了大幅折扣。

现实并不乐观，数据泄露的问题不在于是否会发生，而是何时发生。当数据泄露发生时，攻击者需要具备什么能力才能在您的环境中进行横向移动以传播其恶意软件？

实施分段是控制横向移动的关键。基本分段会有一定的作用，但结果仍然可能是灾难性的。

我先前提到了该城市能够断开其网络中受影响的分段与其余部门的连接。但是，攻击者仍然成功地发动了灾难性的勒索软件攻击。该城市的关键服务在很长一段时间内无法使用，这给他们带来了重大的经济损失和品牌声誉损失。

传统分段方法使用的是第 2 层和第 3 层控制，其形式为 VLAN、防火墙控制和访问控制列表。更有效的方法是微分段。通过使用基于软件的方法，您可以在主机级别控制微分段，这能够进一步控制遭到入侵时的影响范围。

Akamai Guardicore Segmentation 是该领域的佼佼者。Akamai Guardicore Segmentation 是一个基于主机的防火墙解决方案，它可以为您提供对环境中所有网络流量的监测能力，让您不仅能看到“正在进行通信的双方”，还能知道“双方的通信内容”。

这意味着我们不仅可以看到哪些设备正在相互通信，还可以针对每个系统上正在运行的进程获得丰富的第 7 层上下文信息。

借助此类监测能力，您可以创建相应的策略，仅允许网络和应用程序进行保持正常工作所需的必要通信。任何未经明确允许的通信都会被阻止，这样在发生入侵时，攻击者便无法横向移动到其他系统，也无法执行让他们能够提升权限的进程。

这种基于软件的方法可以更轻松、更快地完成分段项目，从而增强安全态势并加快实现投资回报。

在我们关于该美国城市遭受勒索软件攻击的故事中，感染媒介是被入侵的 VPN 帐户。VPN 曾经风靡一时；但在今天的威胁环境中，企业需要更好的解决方案。

VPN 访问授予用户进入网络的权限，这意味着如果用户知道自己在做什么，他们便能够访问该网络分段中的任何内容，而无论他们是否应该这样做。正如我们所了解的，被盗的凭据会导致灾难发生。

更好的方法是将 VPN 替换为 Zero Trust 应用程序访问解决方案。这些产品可以为用户提供单点登录体验，让他们只能访问完成工作所需的资源，而无法访问任何其他资源。用户无法访问他们未被授权使用的内容。

Akamai Enterprise Application Access 是满足此要求的理想之选。无论应用程序源站位于何处，或者用户从何处访问资源，我们的应用程序感知代理服务都可以提供顺畅的应用程序访问体验。Enterprise Application Access 还可以帮助您处理那些尚未及时与互联网断开连接的讨厌的远程桌面协议会话。您甚至可以将远程桌面协议和 SSH 会话配置为通过 Web 浏览器进行访问，这非常适合于第三方供应商访问。