破坏勒索软件市场

破除恶意软件和感染后修复的重要性 勒索软件是一个恶意软件问题 勒索软件是一个普遍存在的问题 ， 已成为每个企业各个层面的话题。一个调查超过 400 CISO 发现勒索软件是受访者最关注的顶级网络威胁。和 SpyCloud调查超过300位IT安全领导者的调查发现，过去一年中90%的组织遭受了勒索软件攻击，而在同一时间段内有50%的组织遭受了2至5次勒索软件攻击。 典型的事件响应剧本通常侧重于勒索软件攻击的后期阶段，因为那时明显可以看出犯罪分子已未经授权访问了组织。然而，要真正理解勒索软件攻击，必须识别并修复常见的进入点，特别是那些传统勒索软件预防策略容易忽视的漏洞，例如信息窃取恶意软件感染。 凭证窃取恶意软件的流行度上升 ， 或Infostealers对于组织而言，这种情况尤其令人担忧，因为它可以直接从受管理或不受管理的员工设备上窃取员工身份验证数据，让网络犯罪分子冒充那些个人。恶意软件感染与勒索软件攻击如此紧密相关，因为一旦获取了新鲜收割的凭证、cookie或浏览器指纹数据，不良行为者就能迅速利用这些信息劫持会话，绕过多重因素认证（MFA），访问企业，并开始加密文件。 直截了当地说，勒索软件是一个恶意软件问题。通常，攻击者会利用通过恶意软件感染收集到的信息或访问权限作为勒索软件攻击的基础。攻击者利用被感染的系统窃取数据，这些数据有助于发起攻击、识别企业资源的潜在入口点，并分发可执行文件。一旦检测到恶意软件感染，仅仅清除设备是不够的——让我们一起探讨被恶意软件盗取的数据是如何成为勒索软件入侵的入口点，以及理解并可视化感染对业务的威胁范围为何如此关键。 恶意软件到勒索软件 ：攻击时间线 在入口点上发光 SpyCloud经常发现被感染设备用于工作和个人活动的证据。为了降低从信息窃取工具盗取数据导致的勒索软件风险，应实施关于在不受管理的设备上访问企业应用的安全政策，并尽量减少为工作目的使用自带设备（BYOD）的允许。 乔恩不慎将恶意软件下载到他用于访问公司网络、站点和应用的共享或个人设备上。 使用个人设备访问企业资产和应用的员工可能会不经意地对组织构成威胁。近期数据显示，未受管理的设备接入网络的情况存在风险。最危险的三个入口点针对勒索软件。由于IT安全团队已经在努力应对他们已知的安全挑战，增加无法看到或控制的设备的攻击面，只会给本已不堪重负的团队带来更大的负担。 在信仰者身上发光 利用信息窃取器（专门设计用于从设备收集信息的恶意软件），网络犯罪分子直接从终端设备获取认证数据，如凭证和浏览器指纹。第三方应用的认证数据，例如密码管理器、协作应用、CRM和营销自动化平台、人力资源和薪资系统等，往往超出了传统安全监控工具的监测范围，这在勒索软件预防策略中留下了显著的安全漏洞。 600 万在我们重新捕获的恶意软件记录中SpyCloud 发现仅在 2022 年的前六个月 ，受恶意软件感染的设备平均每台设备影响多达 26 个独特的企业应用。 恶意软件窃取Jon的密码、网页会话cookies、设备信息、浏览器指纹以及其他允许犯罪者直接进入企业网络的数据。 是什么让信息窃取者如此危险的是，从设备中获取的数据极大地提高了网络犯罪分子的成功率，因为这些数据当前且准确。我们调查的87％受访者担心未管理设备上的恶意软件是其组织的入口点。这是有道理的，因为随着恶意软件成为越来越受欢迎的威胁途径，且超过...40 亿次恶意软件尝试至 2022年第三季度。 照亮黑暗 暗网是一个非常复杂且层次分明的世界，特定暗网数据的价值因收集信息的群体的能力和访问权限而变化，范围广泛。暗网团体和论坛在众多隐蔽层中运作，每一层都为犯罪行为者和团伙提供了更多的保护。深入到销售和交易高价值数据的更深层，需要投入大量时间和资源，只有SpyCloud在暗网的每一层面互动，收集可操作的基础数据，包括由复杂行为者销售的恶意软件数据和企业访问权，通常卖给犯罪集团。 乔恩被盗的数据在犯罪地下市场上交易，那里有初始访问经纪人（IABs）、勒索软件运营商以及其他不良行为者可以购买这些数据。 得益于地下经济，任何人都能购买到信息窃取工具，提取其盗取的凭证，创建组合列表（用户名和密码组合），并将之与目标网站列表对比，尝试访问其他账户。或者，同样的攻击者可能会决定将有价值的访问权出售给出价最高的买方，这可能涉及勒索软件附属机构或其他具有经济动机的犯罪行为者。但不法分子甚至不必费这么多周折，有些信息窃取工具在暗网上被宣传为一个完全自动化的过程，可以节省“客户”的时间和麻烦——包括所有软件、前端和后端组件。 勒索软件即服务（RaaS）运营商创建了一个针对中间商（IABs）的市场。IABs指的是那些打包并出售保证可用网络访问权的个人或团体。IABs市场的兴起可归因于一个繁荣的地下经济，其运作原则与合法企业相似。正如大型企业一样，勒索软件运营商将关键业务功能外包给专门的供应商。IABs为联盟提供访问即服务。他们获取对组织的访问权限，然后将其打包在由RaaS联盟常驻的相同地下论坛上进行销售。 IABs确认Jon的数据包含企业资产，并将其出售给勒索软件运营商，这些运营商可以利用这些信息来针对Jon的雇主进行攻击。 恶意软件窃取的数据首先会让您的组织成为攻击者的关注对象。与其他网络犯罪分子一样，勒索软件团伙并不总是针对特定的组织，而是寻找机会性的目标。他们可能会简单地向行业分析师（IAB）询问任何潜在的目标，这些目标具有容易访问的特点，比如被攻陷的凭证和cookie，符合他们的理想特征。如果您的公司被列入名单，那么您成为下一个目标的可能性会急剧增加。 尽管组织更重视多因素认证、无密码解决方案和生物识别等认证措施，这些安全形式仍然存在漏洞，犯罪分子利用这些漏洞获取企业访问权限。没有一种认证解决方案能提供万全之策，但组织可以通过监控被盗用会话cookie、理解受恶意软件感染设备的隐性风险以及增强恶意软件感染响应来弥补这些缺口。 勒索软件操作者利用Jon暴露的身份验证数据登录企业资源，绕过MFA，横向移动以增加访问权限并逃避检测。 恶意软件记录所有必要的凭据以绕过多层安全，允许犯罪分子通过改变安全权限并在组织内部移动，获取关键业务信息。第三方应用成为勒索软件的另一个接入点，而对第三方风险的关注是影响未来安全投资的主要因素，根据我们的调查。然而，在恶意软件方面可能更令人担忧的是VPN和SSO的身份验证数据泄露——后者成为了数十个应用的入口。 闪耀光 如何防止随机 MWARE 在今天的威胁背景下，仅依靠备份、终端保护工具（如EDR和ASM）以及反病毒解决方案不足以防止并从勒索软件攻击中恢复。需要多层防御——其中主动监控恶意软件感染及其导致的应用暴露被视为至关重要。拥有这些信息能够帮助： - 提高对潜在威胁的警觉性，以便更早地检测和响应。- 评估系统的脆弱性，识别可能被利用的漏洞。 - 制定和实施针对性的补救措施，以增强系统的安全性和抵抗能力。- 支持制定全面的应急计划，包括数据备份策略、 快速恢复流程和员工培训。- 促进与安全团队的有效沟通和协作，确保所有必 要的安全措施得到执行。 通过综合运用这些策略和技术，组织可以更有效地抵御勒索软件等威胁，保护其关键业务运营免受损害。 检测你看不到的威胁 捕捉攻击的警告信号 检测员工的受感染的托管和非托管设备 最终，这些不良行为者利用其非法访问部署勒索软件，并要求支付赎金以换取对企业被盗数据和文件的访问权。 尽管勒索软件成为所有组织生活常态的威胁迫在眉睫，但威胁的持续升级意味着安全团队必须关闭其安全控制中的漏洞，以阻断企图损害您业务的网络犯罪分子。 使用 SpyCloud 指南针和感染后修复 ™ 破坏勒索软件 感染后补救（PIR）是SpyCloud在恶意软件感染响应中引入的创新且关键的补充，因为它现在有可能理解和可视化感染对您的业务的全面威胁范围。 PIR 提供了一系列预防措施，旨在通过重置应用程序凭据并使窃取信息窃取恶意软件获取的会话 cookie 失效，以消除勒索软件的机会。 鉴于我们监控了暗网的所有层级，SpyCloud有能力回收被恶意软件感染的员工数据，例如内部登录信息、第三方应用登录（如SSO、CRM、薪资系统等）以及被网络犯罪分子用于绕过登录流程的被盗设备和会话cookie。Compass则利用这些数据向您发出警报，指出受感染的设备、用户和应用，并详细描绘出哪些信息已被暴露。 指南针通过提供每个暴露点的详细信息，包括感染数据和时间、IP地址、恶意软件家族等，填补了传统应用程序安全监控、网络安全和终端检测与响应解决方案留下的空白。这些洞察为SOC团队提供了快速了解每种威胁范围、减少手动调查步骤并从检测到响应及补救的快速行动所需的关键细节，从而在全面的勒索软件事件发生之前有效应对各种威胁。 找出坏人已经知道你的企业 ， 这样你就可以采取行动。 访问 spycloud. com / ransomware