[网管人文章分享] Sophos：勒索软体集团发动远端加密攻击

Sophos威胁研究副总裁兼CryptoGuard共同开发者Mark Loman表示，企业可能有成千上万台连线到公司网路的电脑，而在远端勒索软体中，只要一台设备保护不足，就足以危及整个网路。攻击者知道这一点，所以会寻找『弱点』下手，而大多数公司中都至少有一个。远端加密将是防御人员必须持续面对的问题，而且根据所看到的警示，这种攻击方法正在稳定增加。

这类攻击涉及远端档案加密，传统部署在远端装置上的反勒索软体保护无法「看到」恶意档案或其活动，因此无法阻止未经授权的加密和潜在的资料外泄。不过，Sophos CryptoGuard技术采取创新的方式来阻止远端勒索软体，正如Sophos X-Ops文章所解释的：分析档案内容，检查是否有任何资料被加密，以便在网路的任何装置上侦测出勒索软体活动，即使该装置上没有恶意软体。

在2013年，CryptoLocker是第一个大量使用远端加密和非对称加密(也被称为公开金钥加密)的勒索软体。从那时起，由于全球组织普遍存在安全漏洞以及加密货币出现，攻击者更频繁地使用勒索软体了。

Loman表示，10年前，当首次注意到CryptoLocker利用远端加密时，就预见到这种手法将成为防御人员的一大挑战，而其他解决方案都只专注于侦测恶意二进位档案或执行的动作。在从远端加密的情况下，恶意软体是存在于一台未受保护的电脑，而非档案被加密的电脑。唯一阻止它的方式是监视并保护这些档案。这就是为什么研发了CryptoGuard。

CryptoGuard并不会寻找勒索软体；相反地，它把重心放在主要目标，也就是档案。它会对文件进行数学运算，侦测其是否被窜改和加密。值得注意的是，这种独立作业的策略刻意不依赖入侵指标、威胁特徵、人工智慧、云端查找结果或先前的情报，以达到预期效果。透过专心监控档案，Sophos可以改变攻击者和防御者之间的平衡。让攻击者成功加密资料的成本和复杂性增加，放弃原本的目标。这是Sophos非对称防御策略的一部分。

远端勒索软体对组织来说是一个重要的问题，也是勒索软体长期存在的原因之一。由于透过连线读取资料要比从本机磁碟读取慢，Sophos看到像LockBit和Akira等攻击者会策略性地仅加密每个档案的一小部份。这种方法的目的是在最短时间内造成最大的破坏，进一步缩小防御人员察觉攻击并做出反应的空窗期。Sophos的反勒索软体技术可以阻止远端攻击，以及这类仅加密档案的3%的攻击。希望提醒防御人员注意这种持续的攻击方法，让他们能够适当地保护装置。

原文连结：https://www.netadmin.com.tw/netadmin/zh-tw/snapshot/9277E5BC057443998FEC2F15EA776F34