如果你是ransomware,不交!
这一直是美国联邦调查局的口头禅几年来 - 这就是一个有力的全国知名度最高的安全博客的一个呼应 -克雷布斯——在最近的一篇文章中。
但根据统计,要么很多人不听,要么比这复杂一点。现实是勒索软件的成功不仅仅是在增加。爆炸了。
波内蒙研究所在上个月发布的一份研究报告中说通过勒索受害企业48%的人表示他们支付.
据联邦调查局,赎金在美国所有的2015年支付的金额集体为$ 24亿美元。在2016年,它已跃升至209亿$,在短短的前三个月 - 这意味着,如果生长曲线继续它会很容易地在今年年底突破$ 1十亿。
当然,这只是联邦调查局和美国的报告。网络威胁联盟(CTA)报告说在2015年全球勒索赔偿刚从CryptoWall3为$ 325万.
最新版本,CryptoWall4,造成损失估计为$ 18万CTA报告称,自去年发现以来,共有36118名受害者。
许多其他研究也指出,勒索生长曲线。比兹利,违反保险供应商,去年秋天报道,基于客户端的趋势,在2016年的勒索攻击会比2015年的四倍.
市场和市场年初预测在市场上的勒索软件防御16.3%的年复合增长率,从2016年的81.6亿美元增至2021年的173.6亿美元。
联邦调查局报告说据估计,每天有一种勒索软件变种危害了大约10万台电脑“。
赛门铁克(Symantec)的研究员坎迪德伍伊斯特(Candid Wueest)说,该公司的勒索软件与商业2016白皮书发现,勒索软件感染人数飙升56,000去年三月 - 双正常率。
这个问题可能比研究结果更糟。联邦调查局表示,许多受害者没有报案,“原因有很多,包括不知道在哪里和向谁报案;不觉得他们的损失值得执法部门的注意;关注私隐、商业声誉或监管数据泄露报告规定;或尴尬。”
事实上,勒索软件甚至很流行——这是本周在旧金山举行的RSA大会的首要议题,在会上有一整天“勒索软件峰会”周一领跌DataGravity CISO安德鲁干草。
其吸引力网络犯罪分子的原因并不复杂。它并不需要那么多的专业知识 - 它已被广泛报道,很容易为所谓的“脚本小子”购买或租赁的恶意软件暗网.
A勒索软件攻击可能比数据泄露更具破坏性,尤其是对企业而言。没有一个组织希望其数据被窃取,但它可以在发现漏洞后继续运行。如果它的所有数据都加密了,而且没有备份,它就不能工作。
第三,正如ICIT(关键基础设施技术研究所)的白皮书所述赎要求一般不是瘫痪量. 对于个人来说,比特币往往只有几百美元。报告说:“从执法部门的角度来看,入室盗窃比单一的勒索软件攻击造成的损失更大”,这意味着执法部门很少投入“大量资源”来调查。
据ICIT,约瑟夫Bonavolonta,FBI的CYBER和反间谍程序的总部位于波士顿的头,在2015年10月得到了与参议员罗恩·维登(d-矿石。)遇到麻烦的时候,他说,“说实话,我们经常建议人们只需交纳赎金“。
之后维登抱怨,联邦调查局“澄清”,它的立场是,“只交赎金,如果缓解步骤失败,唯一的选择是使自己的文件。”
这些因素导致了勒索软件攻击的成功率,也正是受害者愿意支付赎金的原因——他们不顾一切地想要恢复他们的文件,而且他们能够承受的代价比丢失文件更容易。
当然,联邦调查局的论据背后也有很多逻辑。最主要的一点是,付钱只会让问题变得更严重——犯罪分子赚得越多,他们就会攻击得越多。
该局和其他机构也注意到,无法保证一旦支付赎金,犯罪分子会生成加密密钥,或者清除设备上的恶意软件,这意味着受害者可能再次受害。
克雷布斯说,受害者确实有选择,即使他们目前没有后援。他建议联系两个网站-没有更多的赎金和长时间再次计算机–为至少一些勒索软件变体提供免费解决方案。
克雷布斯说,截至2016年12月,由22个国家的安全公司和网络安全组织支持的“不再勒索”为6000名勒索软件受害者节省了200多万美元。
但其他专家表示,这一统计数据表明,尽管这是一项值得称赞的举措,但它不太可能减缓勒索软件的爆炸式增长——200万美元在网络犯罪分子收集的总额中几乎是一个舍入误差。
“像没有资源更多赎金是伟大的,但不幸的是他们在大海中的一滴水,”高科技桥的CEO伊利亚Kolochenko说。
他只是众多专家中的一个,他们认为对付勒索软件的唯一真正有效的方法就是防止勒索软件。他称之为“有点类似于艾滋病——预防相对容易,但只有在为时不晚的时候。”
KnowBe4的首席执行官斯图·索韦曼(Stu Sjouwerman)也有类似的信息。“原则上,不要付钱,因为这会助长犯罪的商业模式,”他说,“但实际上,这并不是那么容易。”
他说,对于大多数组织,把它归结为成本/收益的计算。“它成为一个没有脑子,如果你面对的是一个失败的备份和一个多月丢失的数据,并会关闭你失望的。”
Trend Micro首席网络安全官埃德·卡布雷拉(Ed Cabrera)也指出了应该发生的事情和实际发生的事情之间的分歧。他说:“共识很明显,支付‘不应该’成为一种选择。”。“然而,由于公司计划失败,他们计划在勒索软件攻击方面失败。这显然是Deep Web的一项非常有利可图的业务,而且只会继续发展到对公司和消费者非常重要的不同文件类型和系统。”
这是很清楚的,许多组织都没有计划,这是有点神秘,因为防止勒索的方式相当简单和广泛宣传,包括联邦调查局网站上。
最重要的,当然是要定期备份数据,并确保备份 - 不要让它们连接到电脑,他们正在备份网络 - 所以他们也无法被攻击感染。除此之外,专家说,组织应:
- 禁止宏脚本
- 安装所有更新和修补程序 - 尤其是像Adobe Flash或Java错误的程序
- 集防病毒和反恶意软件解决方案,以自动更新
- 只有下载软件 - 尤其是免费软件 - 从已知和受信任的站点
- 培训员工-强调他们不应在未经请求的电子邮件中打开附件。
克雷布斯具有安全在线的他自己的三个规则:
- 如果你不去寻找,就不要安装它。
- 如果您安装了它,请更新它。
- 如果你不再需要它(或者,如果它已经成为太大的安全隐患)摆脱它。
那么,为什么没有更多的人听从这个意见 - 尤其是可能被削弱或勒索取下来的组织?
这不只是一个懒惰的事情,根据Sjouwerman。“现实情况是,许多IT部门的人手不够,过载,并在同一时间16起火灾应对,”他说。“问题是,作为一名后卫,你必须是正确的时间100%,并作为攻击者只有一次。
即使做了正确的事也不总是有效的。他说:“武器级备份至关重要,但备份失败的频率比你想象的要频繁得多。”。
Wueest说有时候这可以归结为否认。他说,虽然最佳实践可以防止大多数威胁,“但一些公司并不计划勒索软件攻击,或者在安全过程中不测试这些场景,因为他们错误地认为这不会发生在他们身上。”
底线 - 勒索成功,因为潜在的受害者可以很容易地取得成功。而一旦缺乏任何备份文件被锁定,也有极少数的选择。
“根(勒索)战术仍然简单,易于防范,”卡布雷拉说。“但是,尽管这样,公司不断失败,开发和部署多层安全防御。”
这个故事,“太多的受害者说是勒索软件”最初发表CSO .