首页 > 最新消息 >[资安人文章分享] Sophos 示警多个勒索软体集团蓄意发动远端加密攻击
Sophos 表示,企业可能有成千上万台连线到公司网路的电脑,而在远端勒索软体中,只要一台设备保护不足,就足以危及整个网路。攻击者知道这一点,所以他们会寻找『弱点』下手,而大多数公司中都至少有一个。远端加密将是防御人员必须持续面对的问题,而且根据我们所看到的警示,这种攻击方法正在稳定增加。
这类攻击涉及远端档案加密,传统部署在远端装置上的反勒索软体保护无法「看到」恶意档案或其活动,因此无法阻止未经授权的加密和潜在的资料外泄。不过,Sophos CryptoGuard 技术采取创新的方式来阻止远端勒索软体,正如 Sophos X-Ops 文章所解释的:分析档案内容,检查是否有任何资料被加密,以便在网路的任何装置上侦测出勒索软体活动,即使该装置上没有恶意软体。
在 2013 年,CryptoLocker 是第一个大量使用远端加密和非对称加密 (也被称为公开金钥加密) 的勒索软体。从那时起,由于全球组织普遍存在安全漏洞以及加密货币出现,攻击者更频繁地使用勒索软体了。自 2022 年以来,Sophos的CryptoGuard 侦测到的蓄意远端加密攻击年增率达 62%。
Sophos 10年前第一次注意到 CryptoLocker 利用远端加密进行攻击,并预期这种手法将成为防御人员的一大挑战,而其他解决方案都只专注于侦测恶意二进位档案或执行的动作。在从远端加密的情况下,恶意软体是存在于一台未受保护的电脑,而非档案被加密的电脑。唯一阻止它的方式是监视并保护这些档案。
Sophos解释,CryptoGuard 并不会寻找勒索软体;相反地,它把重心放在主要目标,也就是档案。它会对文件进行数学运算,侦测其是否被窜改和加密。值得注意的是,这种独立作业的策略刻意不依赖入侵指标、威胁特徵、人工智慧、云端查找结果或先前的情报,以达到预期效果。透过专心监控档案,我们可以改变攻击者和防御者之间的平衡。我们让攻击者成功加密资料的成本和复杂性增加,让他们放弃原本的目标。这是我们非对称防御策略的一部分。
远端勒索软体对组织来说是一个重要的问题,也是勒索软体长期存在的原因之一。由于透过连线读取资料要比从本机磁碟读取慢,我们看到像 LockBit 和 Akira 等攻击者会策略性地仅加密每个档案的一小部份。这种方法的目的是在最短时间内造成最大的破坏,进一步缩小防御人员察觉攻击并做出反应的空窗期。Sophos 的反勒索软体技术可以阻止远端攻击,以及这类仅加密档案的 3% 的攻击。我们希望提醒防御人员注意这种持续的攻击方法,让他们能够适当地保护装置。
Sophos CryptoGuard 是 Sophos 在 2015 年收购的反勒索软体技术,已整合到所有 Sophos 端点授权中。CryptoGuard 会监控恶意加密档案的行为,提供即时保护和回复原功能,即使勒索软体本身未出现在受保护的主机上也能加以防御。这种独特的反勒索软体技术是 Sophos 多层式端点保护的「最后一道」防线,只会在攻击者在攻击链中触发时才会启用。自 2022 年以来,CryptoGuard 侦测到的蓄意远端加密攻击年增率达 62%。
最新消息
2023-12-29
[资安人文章分享] Sophos 示警多个勒索软体集团蓄意发动远端加密攻击
Sophos发布一份《CryptoGuard:一种非对称的勒索软体防御方式》报告指出,一些最活跃且影响幅度大的勒索软体集团,包括 Akira、ALPHV/BlackCat、LockBit、Royal 和 Black Basta 等,均会蓄意在攻击时进行远端加密。在远端加密攻击 (也称为远端勒索软体) 中,攻击者会利用已经遭入侵且通常保护不足的端点,对连线到同一网路的其他装置进行资料加密。
Sophos 表示,企业可能有成千上万台连线到公司网路的电脑,而在远端勒索软体中,只要一台设备保护不足,就足以危及整个网路。攻击者知道这一点,所以他们会寻找『弱点』下手,而大多数公司中都至少有一个。远端加密将是防御人员必须持续面对的问题,而且根据我们所看到的警示,这种攻击方法正在稳定增加。
这类攻击涉及远端档案加密,传统部署在远端装置上的反勒索软体保护无法「看到」恶意档案或其活动,因此无法阻止未经授权的加密和潜在的资料外泄。不过,Sophos CryptoGuard 技术采取创新的方式来阻止远端勒索软体,正如 Sophos X-Ops 文章所解释的:分析档案内容,检查是否有任何资料被加密,以便在网路的任何装置上侦测出勒索软体活动,即使该装置上没有恶意软体。
在 2013 年,CryptoLocker 是第一个大量使用远端加密和非对称加密 (也被称为公开金钥加密) 的勒索软体。从那时起,由于全球组织普遍存在安全漏洞以及加密货币出现,攻击者更频繁地使用勒索软体了。自 2022 年以来,Sophos的CryptoGuard 侦测到的蓄意远端加密攻击年增率达 62%。
Sophos 10年前第一次注意到 CryptoLocker 利用远端加密进行攻击,并预期这种手法将成为防御人员的一大挑战,而其他解决方案都只专注于侦测恶意二进位档案或执行的动作。在从远端加密的情况下,恶意软体是存在于一台未受保护的电脑,而非档案被加密的电脑。唯一阻止它的方式是监视并保护这些档案。
Sophos解释,CryptoGuard 并不会寻找勒索软体;相反地,它把重心放在主要目标,也就是档案。它会对文件进行数学运算,侦测其是否被窜改和加密。值得注意的是,这种独立作业的策略刻意不依赖入侵指标、威胁特徵、人工智慧、云端查找结果或先前的情报,以达到预期效果。透过专心监控档案,我们可以改变攻击者和防御者之间的平衡。我们让攻击者成功加密资料的成本和复杂性增加,让他们放弃原本的目标。这是我们非对称防御策略的一部分。
远端勒索软体对组织来说是一个重要的问题,也是勒索软体长期存在的原因之一。由于透过连线读取资料要比从本机磁碟读取慢,我们看到像 LockBit 和 Akira 等攻击者会策略性地仅加密每个档案的一小部份。这种方法的目的是在最短时间内造成最大的破坏,进一步缩小防御人员察觉攻击并做出反应的空窗期。Sophos 的反勒索软体技术可以阻止远端攻击,以及这类仅加密档案的 3% 的攻击。我们希望提醒防御人员注意这种持续的攻击方法,让他们能够适当地保护装置。
Sophos CryptoGuard 是 Sophos 在 2015 年收购的反勒索软体技术,已整合到所有 Sophos 端点授权中。CryptoGuard 会监控恶意加密档案的行为,提供即时保护和回复原功能,即使勒索软体本身未出现在受保护的主机上也能加以防御。这种独特的反勒索软体技术是 Sophos 多层式端点保护的「最后一道」防线,只会在攻击者在攻击链中触发时才会启用。自 2022 年以来,CryptoGuard 侦测到的蓄意远端加密攻击年增率达 62%。
原文连结:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10873