勒索软件攻击的受害者支付费用以恢复对其网络的访问 - 但网络犯罪分子并没有阻止他们的交易结束。
梭子鱼网络的网络安全研究人员详述了真实事件发生在 2021 年 8 月,当时来自BlackMatter 勒索软件集团的黑客使用网络钓鱼电子邮件入侵了一家未公开公司的单个受害者的账户。
从最初的切入点,攻击者能够通过在基础设施周围横向移动来扩展他们对网络的访问,最终导致他们能够安装黑客工具并窃取敏感数据。
窃取敏感数据已成为勒索软件攻击的常见部分。犯罪分子利用它作为勒索企图的一部分,威胁说如果没有收到赎金就会释放它。
攻击者似乎已经访问了网络至少几周,在系统被加密并要求赎金以比特币支付之前似乎未被发现。
网络安全机构警告说,尽管网络已加密,但受害者不应为解密密钥支付赎金,因为这只会向黑客表明此类攻击是有效的。
尽管如此,该身份不明的组织还是选择了在与原要求的一半协商付款后支付赎金。但即使该公司屈服于敲诈勒索的要求,BlackMatter 组织在几周后仍然泄露了数据——提供了一个教训,说明为什么你永远不应该相信网络犯罪分子。
梭子鱼的网络安全响应人员帮助受害者隔离受感染的系统,使它们重新上线,并从备份中恢复它们。
在对网络进行审计后,对账户应用了多因素身份验证(MFA),这表明缺乏 MFA 是帮助攻击者首先获得并维持对账户的访问权限的原因。
事件发生几个月后,BlackMatter 宣布关闭,并建议使用勒索软件即服务计划的人应切换到LockBit。
根据梭子鱼的报告,勒索软件攻击呈上升趋势,针对医疗保健、教育和地方政府等关键部门的攻击数量增加了一倍以上。
研究人员还警告说,在过去一年中,针对关键基础设施的勒索软件攻击数量翻了两番。然而,该报告表明有理由保持乐观。
报告认为:“好消息是,在我们对广为人知的攻击的分析中,我们看到支付赎金的受害者越来越少,而且由于更好的防御措施,尤其是在对关键基础设施的攻击中,越来越多的企业站稳了脚跟。”
除了应用 MFA之外,组织还可以采取其他措施来帮助保护其网络免受勒索软件和网络攻击,包括设置网络分段、禁用宏以防止攻击者在网络钓鱼电子邮件中利用它们,以及确保备份离线存储。