虹科分享|硬件加密硬盘|与5个最新的勒索软件的近距离接触

​

勒索软件成功地创造了大规模的破坏。随之而来的是无数的受害者，一团糟的受损IT环境，以及数十亿美元的损失。让坏消息雪上加霜的是，这一全球现象并未显示出放缓的迹象。那么，是什么让勒索软件如此难以阻止呢？

答案很简单--进化。

​

就在安全专家似乎掌握了解决方案的时候，一个新的威胁出现了，以利用整个IT环境中的新漏洞。这种激增在很大程度上是由勒索软件即服务(RAAS)实现的，它借鉴了云的基于订阅的模式，使有抱负的黑客能够利用现有工具执行强大的攻击。

​

勒索软件有多种形式，没有两种变体是相同的。这篇文章将通过探索一些最新的野生威胁，让你了解我们面临的是什么。

Couti

Conti于2020年5月首次被发现，它通常通过链接到受感染的Google Drive文件的钓鱼电子邮件来攻击系统。点击链接后，收件人被告知无法在浏览器中预览该文件，建议改为下载该文件。按照已建立的恶意软件做法，此操作会将恶意可执行文件邀请到用户的系统上。一旦被执行，Conti就会安装一个后门，该后门联系控制与命令(C2)服务器，然后后者会安装其他恶意软件工具。

Conti可能是Ryuk变体的一个分支，通过与各种其他工具(包括合法和恶意工具)协同工作，从勒索软件包中脱颖而出。例如，Windows重新启动管理器可用于关闭原本会阻止文件加密的程序，从而使恶意软件能够在该过程中扩大其影响范围。众所周知，Conti还使用臭名昭著的TrickBot特洛伊木马在最初感染后造成进一步破坏。

Hive(蜂巢)

勒索软件命名约定通常受到部署它们的组织的启发。蜂巢就是一个典型的例子，它是一种相对较新的变种，对医疗保健行业造成了严重破坏。据报道，所谓的“蜂巢帮”是2021年8月针对纪念健康系统的勒索软件攻击的幕后黑手，在那次攻击中，它泄露了大量敏感的患者数据，包括他们的姓名、社保号码、家庭地址和病史。虽然最初2.4亿美元的赎金似乎不太可能，但纪念碑首席执行官证实，确实支付了一笔钱来解锁数据。

HIVE是勒索软件的另一个例子，它使用经过试验和验证的网络钓鱼策略来攻击目标系统。为了规避现有的防御机制，该恶意软件会禁用反病毒软件以及文件复制、备份和恢复功能。赎金笔记被投放在每个受感染的目录中，参考受害者如何购买解密密钥并取回他们的信息。如果没有支付赎金，蜂巢会在HiveLeaks上发布被盗数据，HiveLeaks是一个基于TOR的网站，黑客社区很容易访问。

​

LockBit 2.0

部分由于被纳入RAAS市场，LockBit成为网络犯罪分子的首选武器。这款勒索软件通过更新的网络安全变体LockBit 2.0增强了它在社区中的光泽。与新改进的变体相关的一个显著特征是，该组织采用了开箱即用的方法来入侵访问权限。众所周知，该团伙的成员贿赂能够从组织内部渗透到目标中的个人。他们还通过利用VPN和其他可公开访问的网络服务器中的漏洞获得了成功。

对于勒索软件参与者来说，泄露数据与加密数据一样重要。如果受害者拒绝支付，LockBit 2.0可以调用一些补充技术来实施自己扭曲的复仇品牌。LockBit的内部特洛伊木马StealBit和合法的C2服务器Cobalt Strike都在已链接到勒索软件的工具中。

阎罗王

一些黑客采取了一种更具哲理的方法来标记他们的勒索软件攻击。以阎罗王为例，受中国宗教传说中对死者进行审判的神严洛·王的启发，这种特殊的变体于2021年10月被发现，自那以来一直与美国几家大公司遭受的袭击有关。尽管它似乎有利于金融部门，但该勒索软件也与针对咨询、工程和IT服务行业的攻击有关。

经过进一步的分析，网络安全研究人员确定，阎罗王的文件是经过数字签名的，这是威胁行为者最近采取的一种趋势，他们绕过了反病毒扫描仪和内置的防御机制。一旦执行，它将终止各种系统进程，使勒索软件能够解锁对虚拟机、数据库和备份文件的访问。最后，在提供赎金纸条之前，它会在加密文件上附加一个“阎罗王”扩展名，警告受害者在做出付款安排之前不要联系当局。

DarkSide

大多数黑客更喜欢在幕后行动，限制了他们对网络犯罪社区的可见性。其他人无法抗拒成为聚光灯下的机会。Darkside在2020年夏天声名狼藉，甚至在一份专业撰写的新闻稿中公布了勒索软件的到来。这次袭击的幕后黑手声称，他们的目标不是医院、学校或非营利组织。相反，它更倾向于追查有能力支付高额赎金要求的大型高收入组织。

DarkSide以其对隐形的有效利用而闻名。勒索软件是为个别目标量身定做的，配有定制代码和连接主机，使得攻击难以追踪。此外，它会在文件加密之前保持耐心，花时间首先确定环境的范围。这一过程需要劫持特权帐户、获取凭据和其他有价值的数据，以及删除备份。袭击的复杂性和高调的目标促使美国政府悬赏1000万美元寻找逮捕黑暗势力领导人的细节。

​

永久勒索软件防御措施

随着勒索软件攻击的名单持续增长，这些破坏性威胁的能力肯定会与它们一起发展。虽然每个变种都面临着独特的挑战，但您可以遵循一些基本的指导原则来降低风险和潜在影响。

采取终端安全战略：网络犯罪分子将试图利用每一个可能的入口点。通过将强大的安全技术从USB端口和系统登录应用到应用程序和移动设备，保护您的网络。

​

使系统保持最新：运行过时的软件类似于敞开设施的大门。确保您的核心系统和应用程序稳定地接收更新以解决已知漏洞，并将安全工具配置为检测最新威胁。

制定应急计划：当整理数十个勒索软件恐怖故事时，一个共同的主题脱颖而出--受害者做好了最坏的准备，能够更好地从攻击中恢复过来。备份您的系统数据，在多个位置保存多份副本，并定期测试这些备份，以确保它们可以在危机情况下恢复。

保持警惕：无论是好是坏，勒索软件都嵌入了数字社会的结构中。花点时间确保您的员工接受了有关如何识别、避免和缓解潜在致命攻击的培训。有大量可用的资源可以帮助您提高对既有和新出现的威胁的认识。

虹科DataLocker的加密USB驱动器可以增强您抵御任何勒索软件攻击的能力。

扩展阅读

Datalocker 数据加密解决方案

DataLocker 是高级加密解决方案的领先供应商。凭借一整套硬件加密产品、加密虚拟驱动器和中央管理平台，DataLocker 为政府、军队和 70% 的财富 100 强公司保护敏感数据和知识产权。

DataLocker 产品将卓越的便利性和可用性与最先进的安全性相结合。从加密的外部驱动器和光学媒体到托管 DLP 解决方案，DataLocker 产品使控制、传输和共享敏感数据变得容易。

加密硬盘驱动器

​

H300是一款经济实惠的加密硬盘，也可以远程管理。

DataLocker(IronKey)H300硬盘可保护数据、文件和目录，因此您可以放心地保护敏感数据。提供用于独立实施的基本版或允许远程管理的企业版。

特点：简单安全，强大的密码保护，多语言支持，USB 3.0 性能，多种容量选项，坚固耐用……

加密USB驱动器

​

K350是一款受密码保护、经过FIPS 140-2 3级认证的加密USB驱动器，其屏幕可简化设置和操作。满足最严格的要求，在任何有USB大容量存储的地方轻松工作。

K350是DataLocker完整的安全管理解决方案组合中轻薄而强大的补充，此外，它还拥有3年有限保修支持。

特点：FIPS 140-2 3 级认证，管理策略和数据恢复，无需安装，完全可管理的设备，暴力破解密码保护，防尘，防水，防震，抗震。

​