勒索软件攻击团体始终采取“多多益善”(more-is-more)的方法。如果受害者支付赎金,然后照常运营,攻击者之后可再度攻击。再不然,不只是加密目标系统,而是先窃取资料,即使不付钱了事,也可以威胁若不付赎金,就会将机密资料泄露光光。最近是否有什么最新勒索威胁的升级手法吗?的确有,那就是勒索软件黑客会同时对受害者资料双重加密。
双重加密攻击以前就发生过,通常是由两个不同的勒索软件同时劫持一位受害者造成。但杀毒公司Emsisoft表示,意识到数十起事件中,同恶意攻击发动者或团体,刻意将两种类型的勒索软件叠加。
“这些团体一直努力找出最好的攻击策略,用最少工夫赚到最多钱。”Emsisoft威胁分析师Brett Callow表示。 “正是基于这样的攻击策略,我们看到一个攻击发动者会开始部署两种类型的勒索软件。受害者以为解开自己的资料,却发现根本没有完全解密。”
双重加密勒索攻击让资料恢复之路更漫漫
有些受害者会同时收到两封勒索信,Callow表示,这意味着黑客希望受害者知道他们采取双重加密攻击。但在其他情况下,受害者只会看到一封勒索信,且只有支付解开第一层加密的赎金后,才知道还有第二层加密。
“即使标准单次加密勒索软件攻击案例,想要恢复正常也势必像经历噩梦。”Callow说:“但是这种双重加密策略频繁到组织考虑自身应变之道时,要特别注意到这点。”
Emsisoft已确定目前有两种截然不同的攻击策略。首先黑客先用勒索软件A加密资料,然后通过勒索软件B对资料再加密一次。另一种攻击之道就是Emsisoft所谓的“并行加密”(Side-by-side Encryption)攻击,这种攻击先用勒索软件A对组织某些系统加密,然后再用勒索软件B加密其他系统。在这种情况下,虽然资料仅加密一次,但受害者需要两个解密密钥解锁所有内容。研究人员还注意到,并行情况下,攻击者会采取使两种不同勒索软件看起来尽可能相似的步骤,因此事件应变人员很难弄清楚到底发生什么事。
勒索软件攻击团体经常以收入分润的模式运行,小组之一创建并维护一系列勒索软件,然后将攻击基础设施出租给发动特定攻击的附属团队。Callow说,通过让想发动攻击的用户端,与两个提供不同类型恶意软件的团体协商分割,双重加密手法就适合这种模型。
机密资料备份还原能力才是阻挡新型勒索软件攻击的唯一解决方案
是否支付数字赎金,无异是既棘手又重要的问题。选择支付赎金的勒索软件受害者必须警觉的是,攻击者实际上会有不提供解密密钥的可能性。最需注意的是,双重加密策略的兴起势必又增加额外风险,因为受害者即使支付赎金,并解密文件一次,然后却发现还需要为第二个解密密钥再付一次赎金。也因为如此,双重加密威胁使企业掌握备份还原能力的重要性更甚以往。
“备份还原是漫长而复杂的过程,但双重加密并不会更复杂。”Callow表示。 “如果你决定通过备份重建,那么就要改弦更张、重新开始,因此旧资料加密多少次无所谓。”
对打从一开始就没有足够备份或不想花时间从头开始重建系统的勒索软件受害者来说,双重加密攻击无异构成额外威胁。但如果受害者对双重加密攻击的恐惧,强烈到反而降低全额支付赎金的可能性与意愿,攻击者可能会放弃此新攻击策略。
(首图来源:Emsisoft)