近年来,勒索软件的威胁已经变得相当普遍,而想要预测制定稳妥的防护策略,就需要对其原理展开深入分析。好消息是,在上周的一篇文章中,卡巴斯基在 SecureList 网站上分享了其对多款勒索软件的调查报告,并揭示了一些常见的攻击模式。
(来自:Kaspersky)
卡巴斯基重点介绍了八款活跃度勒索软件,并指出幕后团伙为其选用了非常相似的运作模式。
据悉,该报告对 Conti / Ryuk、Pysa、Clop(TA505)、Hive、Lockbit 2.0、RagnarLocker、BlackByte 和 BlackCat 的策略、技术和流程(TTP)展开了深入分析。
参考文中分享的框图,分析 / 数字取证专家和其他安全工作者可借此来实施更有效的识别与打击策略。
VentureBeat 指出,上述八个勒索软件团伙在去年攻击了美国、英国和德国地区各个行业的 500+ 组织。
而从 Kaspersky 罗列的几十个步骤来看,每款勒索软件的攻击套路都是其所独有的。
比如几乎所有勒索软件团伙都喜欢从外部远程服务器开始下手,且只有半数还在使用网络钓鱼的手段。
此外所有团伙都倾向于支持 WMI、命令和脚本解释器、应用层协议、Web 协议、签名二进制执行等目标。
最近的勒索软件受害者,包括了 QNAP、ASUStor 和 NVIDIA 。而 6 月初的时候,富士康在墨西哥的工厂也遭遇了 Lockbit 2.0 的攻击。
防止系统恢复或加密最有影响的数据,依然是相当常见的套路。不过一些不那么流行的策略,还涉及 BITS 作业。以及从密码存储、或通过 Web 浏览器获取账户凭证。