距離2021年結束還有不到兩個月的時間了,勒索軟件攻擊已成為2021年讓全世界陷入恐懼的最大安全威脅之一。對此,韓國近期發布《應對勒索軟件的安全信息系統備份指南(修訂本)》,旨在幫助韓國企業制定信息系統備份的措施來應對勒索軟件攻擊。本《指南》中分析了勒索軟件攻擊者最常用的4種破壞數據備份的技術,值得安全行業人士的關注。
勒索軟件攻擊成為2021年全球最大的安全威脅
根據韓國互聯網振興院發布的資料顯示,勒索軟件攻擊在全世界范圍內呈上升趨勢。2021年發生的勒索軟件攻擊損失額與2020年相比增加了102%,其金額高達約22萬億韓元。以韓國國內為例,2019年向KISA申報的勒索軟件案件有39起,但2020年激增了2倍多,達到127起。截至今年上半年,已經申報的勒索軟件案件78起,造成的損失也呈上升趨勢。受影響的行業正向能源、食品、IT、制造、服務和運輸等領域多元化發展。
現如今,勒索軟件是最具代表性的網絡攻擊類型之一。一旦受到勒索軟件破壞就很難恢復。最重要的是,最近網絡攻擊者通過勒索軟件攻擊,不僅加密數據,還以泄露企業內部信息為由進行威脅,對提供網絡服務的企業更是追加進行分布式拒絕服務(DDoS)攻擊。過去,勒索軟件是以對特定電腦的一次性感染和解密為代價來換取贖金的“臨時攻擊”,但最近勒索軟件攻擊正在向高級可持續威脅攻擊(APT)形態進化,即經過長時間的前期工作(信息泄露、散布惡性代碼等)后,同時實施多發性攻擊致使整個系統癱瘓。
勒索軟件攻擊已超越攻擊個人電腦的范圍,擴大到企業系統、社會基礎設施、生活必需產業等各個領域,并逐漸接近普通民眾也能夠感受到的領域。特別是,隨著越來越多的企業為應對攻擊而進行數據備份,出現了通過信息泄露、DDoS攻擊等手段進行“三重威脅”的現象。
以美國為例,今年因科洛尼爾管道運輸公司遭勒索軟件攻擊導致美國東部部分地區一度出現燃料供應中斷及油價上漲;全球最大的肉類供應商JBS為了修復勒索軟件造成的損失向勒索軟件攻擊者支付了1100萬美元贖金;在IT領域,發生了針對美國IT解決方案企業Kaseya的勒索軟件攻擊等。這些攻擊給社會和民眾造成了巨大損失,因此被歸類為嚴重的安全案件。
當然,韓國在勒索軟件攻擊面前也未能幸免。針對韓國國內車輛零部件制造企業、配送平臺、海運公司船舶的主機電腦等各領域的勒索軟件攻擊不斷發生。未來,如果發生對智慧城市或智能電網等社會基礎設施的勒索軟件攻擊,人們的日常生活可能會陷入癱瘓。
近年來,針對韓國企業的勒索軟件攻擊呈上升趨勢。尤其是針對網絡技術和安全基礎設施與大型企業相比較弱的中小企業的攻擊更為明顯。根據韓國互聯網振興院(KISA)公布的各規模企業發生網絡侵害事件的統計數據來看,受害公司總數的 98% 是中小企業,與大型企業2%的占比相比,這是一個壓倒性的數字。因此,缺乏資源或專業知識的中小型企業因無力保護企業數字資產免受網絡威脅,而更容易受到勒索軟件等網絡攻擊的影響。
在此背景下,近期韓國科學技術信息通信部(以下簡稱韓國科技信通部)和韓國互聯網振興院聯合發布了《應對勒索軟件的安全信息系統備份指南(修訂本)》(以下簡稱《指南》),引起了韓國企業的極大關注。由于數據備份被公認為是能夠最大程度減少勒索軟件損失的最有效手段,因此,此次發行的指南有望幫助許多企業,特別是中小企業制定信息系統備份措施來應對勒索軟件攻擊。
本指南介紹了中小企業或服務規模較小的公司所需的信息系統備份系統的建立方法和操作流程。此外,《指南》還為保護備份數據免受惡性代碼和勒索軟件等外部環境的網絡攻擊威脅提供了保護措施,并為構建適合中小規模企業環境的信息系統備份提供了指南。
《指南》主要內容包括十大章節:
第一章 概要
第二章 指針的構成和范圍
第三章 備份術語定義
第四章 備份組織和作用
第五章 備份程序和安全管理程序
第六章 構建備份系統
第七章 備份策略
第八章 備份系統安全策略
第九章 備份系統結構圖
第十章 備份管理樣式
在內容方面,《指南》首先定義了備份組織和作用,解釋了備份的程序和安全管?的程序,以便備份組織能夠系統地進?備份和安全管?。此外,《指南》還介紹了必要的應對程序,以便在感染惡意代碼和勒索軟件攻擊時企業能夠迅速做出響應。
在構建備份系統章節,介紹了企業普遍使用的備份系統配置方法以及預防感染勒索軟件攻擊的配置方法。在備份策?章節,介紹了各種備份方法以及適用于中小企業的備份策?。最后,在備份系統安全策略章節,還對防止勒索軟件等網絡攻擊所需的備份系統的安全注意事項進行了說明。
(韓國科技信通部和韓國互聯網振興院聯合發布的《應對勒索軟件的安全信息系統備份指南(修訂本)》PDF原文及機翻全文,已上傳三正知識星球,可按照文末提示方式獲取。)
勒索軟件黑客用來破壞數據備份的 4 種技術
過去,勒索軟件攻擊大多是以不特定的個人電腦為對象,通過加密數據并要求支付贖金的方式完成的。但是,最近勒索軟件將能夠支付高額贖金的大型企業作為主要攻擊目標,攻擊方式也不僅局限于加密數據,而是以數據泄露后將向互聯網公開為由進行威脅,迫使受害個人或企業交納贖金,其攻擊方式不斷發生演變。這種攻擊方式的變化,是因為個人或企業將數據備份作為勒索軟件的應對策略進行了強化,很難再通過數據加密來獲得收益。
如果您不能100%防止感染勒索軟件攻擊,數據備份可能是最有效的應對策略。據悉,由于這種應對策略,勒索軟件攻擊者正在千方百計為破壞數據備份而進行不懈努力。據韓國互聯網振興院方面表示,最近勒索軟件攻擊者不僅對本地或共享驅動器上的備份數據進行加密,甚至通過定位和感染基于特定系統的備份數據(例如有針對性的攻擊)的方法,來癱瘓備份系統。
因此,研究分析勒索軟件攻擊者主要使用的數據備份破壞技術,并為各企業制定應對這種攻擊技法的策略是非常重要的。《指南》的第一章概要部分介紹了勒索軟件攻擊者最常用的4種破壞數據備份的技術,現總結如下:
一是刪除卷影副本。勒索軟件通過刪除Windows 系統自帶的備份功能卷影復制(VSC,Volume Shadow Copy)來阻止恢復以前的數據文件。
二是加密網絡共享備份。部分備份解決方案使用解決方案的默認文件夾名稱來備份網絡共享路徑中的數據。勒索軟件攻擊者在企業網絡中尋找這些備份文件夾,并將它們一同加密。
三是惡意利用備份解決方案。備份解決方案一般使用自己的應用程序編程接口(API)來管理企業內部的數據備份。攻擊者使用竊取的憑證或漏洞訪問備份管理API,并利用它來刪除或加密備份。
四是誘導備份損壞數據。普通的勒索軟件在初次入侵后會立即對數據進行加密,但最近一些勒索軟件會秘密滲透到內部網絡并破壞數據,等到不完整的數據被備份后,再對原始數據進行加密。這樣,由于備份數據已經受損,因此數據無法恢復正常。
對于數據備份,韓國科技信通部和韓國互聯網振興院方面強調:“勒索軟件是以謀求金錢利益為目的而出現的,并且創收的可能性已經被證明,預計未來還會持續發生勒索軟件攻擊,并且攻擊方式也會不斷改進。對此,作為最有效的應對措施就是數據備份,特別是企業需要考慮一個不會失敗的數據備份策略至關重要。”
后記:備份向來被認為是預防勒索軟件的最后防線,如果備份受到威脅,則整個安全防線失去最后恢復的能力,就可能完全淪陷。
