技嘉兩次成為勒索軟件的受害者。我們可以從中學到什么?
Digital Shadows 聲稱,勒索軟件仍然是對組織最具破壞性的威脅之一。僅 LockBit 2.0 勒索軟件組織在短短三個月內就在其數據泄露站點上列出了多達 203 名受害者。
根據最近的 Gartner 報告,在勒索軟件攻擊之后的恢復成本和由此造成的停機時間以及聲譽損失,可能比贖金貴 10 到 15 倍。
風險很高,因此,公司希望不惜一切代價避免勒索軟件。但是他們付出了足夠的努力嗎?據稱技嘉在過去三個月中兩次受到勒索軟件的攻擊,這讓您懷疑 - 他們是否采取了足夠的措施來保護他們的環境?
三個月內第二次
8月,技嘉遭到ransomEXX勒索軟件團伙的打擊。它聲稱竊取了 112 GB 的數據,并威脅說如果該公司不支付贖金就將其發布。
Cyber??News 研究團隊發現,在 RansomEXX 勒索軟件團伙最近發動攻擊后,據稱屬于技嘉的 7 GB 機密數據存檔已在黑客論壇上泄露。
該檔案最初發布在 ransomEXX 的公共網站上,大概是在技嘉于 8 月 12 日拒絕支付攻擊者要求的贖金之后。被盜數據包含技嘉內部公司信息以及英特爾和 AMD 的專有數據,包括英特爾的源代碼Manageability Commander 和許多與 AMD 相關的機密文件。
僅僅三個月后,即 10 月,AvosLocker 勒索軟件團伙已將技嘉列入其受害者名單。
“如果他們拒絕談判,我們將泄露我們獲得的所有數據,”滲透者聲稱。
AvosLocker 是一個相對較新的勒索軟件團伙,于 2021 年 6 月下旬首次被發現,當時它開始在各種論壇上尋找新的附屬機構。它的運營基于勒索軟件即服務 (RaaS) 模型,據稱它只接受門羅幣 (#XMR) 付款。
驚人的趨勢
Open Systems 的首席信息安全官 Ric Longenecker 告訴 Cyber??news:“8 月份對技嘉的網絡攻擊是勒索軟件被用作勒索這一令人不安趨勢的延續。該公司可能在三個月內第二次成為攻擊目標,這令人震驚,警告所有公司加強預防措施和事件響應計劃。”
據他介紹,轉向托管檢測和響應(MDR)等解決方案可以有效預防和對抗網絡攻擊風險。
“MDR 通過結合運營經驗和人類專業知識、高級威脅檢測和人工智能驅動技術來保護企業,以便盡早識別和響應攻擊。它還提供更成熟的安全計劃,在您需要時接觸精英安全專家,并為企業帶來更多價值,”他說。
SecurityScorecard 的首席信息安全官 (CISO) Mike Wilkes 認為,最近的事件比 8 月份針對技嘉的攻擊要小得多。 然而,據稱技嘉在過去幾個月中兩次遭到破壞的事實提供了一些要考慮的教訓。
“首先,公司高管有時會施加壓力,要求過早地從事件響應的根除階段過渡到恢復階段。這里的傳統智慧詞是“沒有證據不是不存在的證據”。這意味著,如果組織沒有檢測和隔離據稱在最近的攻擊中使用的 AvosLocker 勒索軟件,將很難有信心得出結論,即在發生事件或違規后他們沒有受到攻擊。AvosLocker 由勒索軟件團伙的成員手動運行,而不是根據對團伙使用的多線程 C++ 工具的威脅情報研究自動運行。這表明沒有應用隱身方法。如果勒索軟件團伙能夠保持對您網絡的持續遠程訪問,那么幾乎可以肯定會反復入侵,”他解釋說。
其次,據稱在一個大約 15 兆字節的 zip 文件中泄露的數據看起來是幾年前文件以及 5 月份的最新文件的混合體。威爾克斯認為,鑒于有一個名為“護照”的文件夾和 1,000 多份候選人簡歷,暗網“妥協證明”中包含的各種文件很容易在 HR 筆記本電腦上找到。
這些事件中的每一個,如果為真,都表明公司未能維持有效的端點檢測和響應 (EDR) 解決方案。“至少有兩種類型的惡意軟件能夠在不被發現的情況下運行:遠程訪問軟件為數字犯罪分子提供啟動勒索軟件工具的能力,以及勒索軟件本身。”
SecurityScorecard 的互聯網掃描引擎揭示了幾種潛在的攻擊媒介,其中任何一種都可能導致某人的工作站或筆記本電腦受到勒索軟件的攻擊。而且,根據 Wilkes 的說法,發現您的 Internet 漏洞是每個公司應該采取的主動步驟,以減少發生安全漏洞的可能性。
“不要運行不安全和過時版本的 Web 服務器軟件,不要公開像 POP3 這樣以明文傳輸用戶名和密碼的舊電子郵件協議,不要在今年春天利用的一組漏洞之后運行自己的 MS Exchange 服務器例如中國人和俄羅斯人的 ProxyLogon,”他說。
主要挑戰和緩解措施
Gartner 列出了圍繞勒索軟件的三個主要挑戰:
據研究人員稱,最近的勒索軟件活動,如 REvil 和 Ryuk,已成為人工操作的勒索軟件,而不是自動傳播。此類攻擊通常利用眾所周知的安全弱點來獲取訪問權限。
“例如,最近發生的一些勒索軟件事件被認為是由配置不當或易受攻擊的遠程桌面協議 (RDP) 配置開始的。先前泄露的憑據也被用于訪問帳戶,”報告中寫道。
保護組織免受這些攻擊不僅僅是端點保護,還包括許多不同的安全工具和控制。“不可避免地,勒索軟??件可能會越過您的防御和實施的保護措施。然后就變成了你能夠多快地檢測到事件的問題,”Gartner 聲稱。
研究人員建議負責端點和網絡安全的安全和風險管理負責人重點關注勒索軟件攻擊的所有三個階段:
1. 通過構建包括備份、資產管理和用戶權限限制在內的事前準備策略,為勒索軟件攻擊做好準備。確定組織最終是否準備支付贖金。
2. 通過部署基于行為異常的檢測技術來識別勒索軟件攻擊,從而實施檢測措施。
3. 通過培訓員工和安排定期演練來建立事后響應程序。
