技嘉两次成为勒索软件的受害者。我们可以从中学到什么?
Digital Shadows 声称,勒索软件仍然是对组织最具破坏性的威胁之一。仅 LockBit 2.0 勒索软件组织在短短三个月内就在其数据泄露站点上列出了多达 203 名受害者。
根据最近的 Gartner 报告,在勒索软件攻击之后的恢复成本和由此造成的停机时间以及声誉损失,可能比赎金贵 10 到 15 倍。
风险很高,因此,公司希望不惜一切代价避免勒索软件。但是他们付出了足够的努力吗?据称技嘉在过去三个月中两次受到勒索软件的攻击,这让您怀疑 - 他们是否采取了足够的措施来保护他们的环境?
三个月内第二次
8月,技嘉遭到ransomEXX勒索软件团伙的打击。它声称窃取了 112 GB 的数据,并威胁说如果该公司不支付赎金就将其发布。
CyberNews 研究团队发现,在 RansomEXX 勒索软件团伙最近发动攻击后,据称属于技嘉的 7 GB 机密数据存档已在黑客论坛上泄露。
该档案最初发布在 ransomEXX 的公共网站上,大概是在技嘉于 8 月 12 日拒绝支付攻击者要求的赎金之后。被盗数据包含技嘉内部公司信息以及英特尔和 AMD 的专有数据,包括英特尔的源代码Manageability Commander 和许多与 AMD 相关的机密文件。
仅仅三个月后,即 10 月,AvosLocker 勒索软件团伙已将技嘉列入其受害者名单。
“如果他们拒绝谈判,我们将泄露我们获得的所有数据,”渗透者声称。
AvosLocker 是一个相对较新的勒索软件团伙,于 2021 年 6 月下旬首次被发现,当时它开始在各种论坛上寻找新的附属机构。它的运营基于勒索软件即服务 (RaaS) 模型,据称它只接受门罗币 (#XMR) 付款。
惊人的趋势
Open Systems 的首席信息安全官 Ric Longenecker 告诉 Cybernews:“8 月份对技嘉的网络攻击是勒索软件被用作勒索这一令人不安趋势的延续。该公司可能在三个月内第二次成为攻击目标,这令人震惊,警告所有公司加强预防措施和事件响应计划。”
据他介绍,转向托管检测和响应(MDR)等解决方案可以有效预防和对抗网络攻击风险。
“MDR 通过结合运营经验和人类专业知识、高级威胁检测和人工智能驱动技术来保护企业,以便尽早识别和响应攻击。它还提供更成熟的安全计划,在您需要时接触精英安全专家,并为企业带来更多价值,”他说。
SecurityScorecard 的首席信息安全官 (CISO) Mike Wilkes 认为,最近的事件比 8 月份针对技嘉的攻击要小得多。 然而,据称技嘉在过去几个月中两次遭到破坏的事实提供了一些要考虑的教训。
“首先,公司高管有时会施加压力,要求过早地从事件响应的根除阶段过渡到恢复阶段。这里的传统智慧词是“没有证据不是不存在的证据”。这意味着,如果组织没有检测和隔离据称在最近的攻击中使用的 AvosLocker 勒索软件,将很难有信心得出结论,即在发生事件或违规后他们没有受到攻击。AvosLocker 由勒索软件团伙的成员手动运行,而不是根据对团伙使用的多线程 C++ 工具的威胁情报研究自动运行。这表明没有应用隐身方法。如果勒索软件团伙能够保持对您网络的持续远程访问,那么几乎可以肯定会反复入侵,”他解释说。
其次,据称在一个大约 15 兆字节的 zip 文件中泄露的数据看起来是几年前文件以及 5 月份的最新文件的混合体。威尔克斯认为,鉴于有一个名为“护照”的文件夹和 1,000 多份候选人简历,暗网“妥协证明”中包含的各种文件很容易在 HR 笔记本电脑上找到。
这些事件中的每一个,如果为真,都表明公司未能维持有效的端点检测和响应 (EDR) 解决方案。“至少有两种类型的恶意软件能够在不被发现的情况下运行:远程访问软件为数字犯罪分子提供启动勒索软件工具的能力,以及勒索软件本身。”
SecurityScorecard 的互联网扫描引擎揭示了几种潜在的攻击媒介,其中任何一种都可能导致某人的工作站或笔记本电脑受到勒索软件的攻击。而且,根据 Wilkes 的说法,发现您的 Internet 漏洞是每个公司应该采取的主动步骤,以减少发生安全漏洞的可能性。
“不要运行不安全和过时版本的 Web 服务器软件,不要公开像 POP3 这样以明文传输用户名和密码的旧电子邮件协议,不要在今年春天利用的一组漏洞之后运行自己的 MS Exchange 服务器例如中国人和俄罗斯人的 ProxyLogon,”他说。
主要挑战和缓解措施
Gartner 列出了围绕勒索软件的三个主要挑战:
据研究人员称,最近的勒索软件活动,如 REvil 和 Ryuk,已成为人工操作的勒索软件,而不是自动传播。此类攻击通常利用众所周知的安全弱点来获取访问权限。
“例如,最近发生的一些勒索软件事件被认为是由配置不当或易受攻击的远程桌面协议 (RDP) 配置开始的。先前泄露的凭据也被用于访问帐户,”报告中写道。
保护组织免受这些攻击不仅仅是端点保护,还包括许多不同的安全工具和控制。“不可避免地,勒索软件可能会越过您的防御和实施的保护措施。然后就变成了你能够多快地检测到事件的问题,”Gartner 声称。
研究人员建议负责端点和网络安全的安全和风险管理负责人重点关注勒索软件攻击的所有三个阶段:
1. 通过构建包括备份、资产管理和用户权限限制在内的事前准备策略,为勒索软件攻击做好准备。确定组织最终是否准备支付赎金。
2. 通过部署基于行为异常的检测技术来识别勒索软件攻击,从而实施检测措施。
3. 通过培训员工和安排定期演练来建立事后响应程序。
