2021年底还有不到两个月的时间,勒索软件攻击已经成为2021年世界上最大的安全威胁之一。在这方面,韩国最近发布了《勒索软件安全信息系统备份指南(修订书)》,旨在帮助韩国企业制定信息系统备份措施,以应对勒索软件攻击。本指南分析了勒索软件攻击者最常用的四种破坏数据备份技术,值得安全行业人士的关注。
图片来源于韩国安全新闻网站
勒索软件攻击成为2021年世界上最大的安全威胁
根据韩国互联网振兴研究院发布的数据,勒索软件攻击在全球呈上升趋势。与2020年相比,2021年勒索软件攻击损失增加102%,约22万亿韩元。以韩国为例,2019年KISA申报的勒索软件案件有39起,但2020年激增2倍多,达到127起。截至今年上半年,已申报的勒索软件案件78起,损失也呈上升趋势。受影响的行业正能源、食品IT、多元化发展的制造、服务、运输等领域。
如今,勒索软件是最具代表性的网络攻击类型之一。一旦被勒索软件损坏,就很难恢复。最重要的是,最近,网络攻击者不仅通过勒索软件攻击加密数据,还以泄露企业内部信息为由威胁提供网络服务的企业。(DDoS)攻击。过去,勒索软件以一次性感染和解密特定计算机为代价兑换赎金“临时攻击”,但最近,勒索软件攻击正在向高级可持续威胁攻击(APT)形态进化,即经过长时间的早期工作(信息泄露、恶性代码分布等),多发性攻击导致整个系统瘫痪。
勒索软件攻击已经超出了攻击个人计算机的范围,扩展到企业系统、社会基础设施、生活必需品等领域,并逐渐接近普通人也能感受到的领域。特别是,随着越来越多的企业备份数据以应对攻击,通过信息泄露,DDoS攻击等手段“三重威胁”的现象。
以美国为例。今年,由于科洛尼尔管道运输公司被勒索软件攻击,美国东部地区的燃料供应中断,油价上涨;世界上最大的肉类供应商JBS向勒索软件攻击者支付1100万美元赎金,以修复勒索软件造成的损失;IT该领域发生在美国IT解决方案企业Kaseya勒索软件攻击等。这些攻击给社会和人民造成了巨大的损失,因此被归类为严重的安全案件。
当然,韩国在勒索软件攻击面前并没有幸免。勒索软件攻击不断发生在韩国国内车辆零部件制造商、配送平台、航运公司船舶主机电脑等领域。未来,如果发生对智能城市或智能电网等社会基础设施的勒索软件攻击,人们的日常生活可能会瘫痪。
封面 (图片来自互联网)
韩国最近发布了《应对勒索软件安全信息系统备份指南(修订本)》
近年来,对韩国企业的勒索软件攻击呈上升趋势。特别是对网络技术和安全基础设施弱于大型企业的中小企业的攻击。根据韩国互联网振兴研究所(KISA)根据各大企业发生网络侵权的统计数据,受害公司总数 98% 是中小企业,比大企业占2%,是压倒性数字。因此,缺乏资源或专业知识的中小企业更容易受到勒索软件等网络攻击的影响,因为他们无法保护企业的数字资产免受网络威胁。
在此背景下,韩国科技信息通信部(以下简称韩国科技信息通信部)和韩国互联网振兴研究所联合发布了《安全信息系统备份指南(修订本)》(以下简称《指南》),引起了韩国企业的极大关注。由于数据备份被认为是最有效的手段来减少勒索软件的损失,该指南预计将帮助许多企业,特别是中小企业制定信息系统备份措施来应对勒索软件的攻击。
本指南介绍了中小企业或服务规模较小的公司所需的信息系统备份系统的建立方法和操作流程。此外,该指南还为保护备份数据免受恶性代码、勒索软件等外部环境的网络攻击威胁提供了保护措施,并为建立适合中小企业环境的信息系统备份提供了指南。
在内容方面,本指南首先定义了备份组织和功能,解释了备份程序和安全管理程序,使备份组织能够系统地备份和安全管理。此外,本指南还介绍了必要的响应程序,以便企业在感染恶意代码和勒索软件攻击时能够快速响应。
在备份系统章节的构建中,介绍了企业常用的备份系统配置方法和防止感染勒索软件攻击的配置方法。在备份策略章节中,介绍了适用于中小企业的各种备份方法和备份策略。最后,在备份系统安全策略章节中,还解释了防止勒索软件等网络攻击所需备份系统的安全预防措施。
(《安全信息系统备份指南(修订本)》由韩国科技信通部和韩国互联网振兴院联合发布PDF原文和机翻全文已上传三正知识星球,可按文末提示获取。
图片来源于韩国安全新闻网站
勒索软件黑客用来破坏数据备份的四种技术
过去,勒索软件攻击大多是通过加密数据和要求赎金来完成的,而不是特定的个人计算机。然而,最近,勒索软件将能够支付高赎金的大型企业作为主要攻击目标,攻击不仅限于加密数据,而且威胁数据泄露后将向互联网披露,迫使受害者的个人或企业支付赎金,其攻击方式不断演变。这种攻击方式的变化是由于个人或企业加强了数据备份作为勒索软件的响应策略,很难通过数据加密获得收入。
如果你不能100%防止感染勒索软件攻击,数据备份可能是最有效的应对策略。据报道,由于这种应对策略,勒索软件攻击者正在尽最大努力破坏数据备份。据韩国互联网振兴研究所称,勒索软件攻击者最近不仅加密了当地或共享驱动器上的备份数据,而且通过定位和感染基于特定系统的备份数据(如有针对性的攻击)来瘫痪备份系统。
因此,研究和分析勒索软件攻击者主要使用的数据备份破坏技术,并为企业制定应对该攻击技术的策略是非常重要的。本指南第一章介绍了勒索软件攻击者最常用的四种破坏数据备份技术,总结如下:
- 一是删除卷影副本。通过删除勒索软件Windows 系统自带备份功能卷影复制(VSC,Volume Shadow Copy)防止恢复以前的数据文件。
- 二是加密网络共享备份。一些备份解决方案使用默认文件夹的名称来备份网络共享路径中的数据。勒索软件攻击者在企业网络中找到这些备份文件夹并一起加密。
- 三是恶意使用备份解决方案。备份解决方案通常使用自己的应用程序编程界面(API)管理企业内部的数据备份。攻击者使用盗窃凭证或漏洞访问备份管理API,并使用它来删除或加密备份。
- 第四,诱导备份损坏数据。普通勒索软件在第一次入侵后会立即加密数据,但最近一些勒索软件会秘密渗透到内部网络,破坏数据,然后在备份不完整数据后加密原始数据。这样,数据就无法恢复正常,因为备份数据已经损坏。
韩国科技信通部和韩国互联网振兴院强调数据备份:“勒索软件是为了寻求金钱利益,收入的可能性已经被证明,预计勒索软件攻击将在未来继续发生,攻击模式将继续改进。在这方面,最有效的反应是数据备份,特别是企业需要考虑一个不会失败的数据备份策略。”