勒索软件攻击仅需 25 分钟

现代威胁时间线和最关键的保护环节 计算结果总是触目惊心。2021年时，勒索软件操作员需要9天时间才能将数据泄露出去。到2023年，这一数字下降到两天。2024年时，经过Unit 42®的模拟，攻击最快可在25分钟内完成。1短短三年时间，速度就提高了100多倍。 在接下来的几页中，我们将通过时间线来描述一次25分钟的攻击。它反应了传统端点防护平台(EPP)的失败之处，展示了现代防御措施在每个关键阶段的介入点。 第0分钟：收到电子邮件 您的财务经理收到了发票查询电子邮件。它有着无懈可击的语法、看起来合法的发件人域名和恰当的时机。这封电子邮件没有任何可疑迹象。对手利用人工智能编写了数千种不同正文，对主题行进行了A/B测试，并优化了发送时间。您的员工会打开它，因为78%的人都会打开。2 传统安全的失败之处 基于签名的电子邮件安全措施无法捕捉到它从未见过的内容。该载荷尚未被录入任何威胁情报数据库。 Cortex XDR如何进行干预 借助Cortex XDR®，行为分析可检查整个组织的电子邮件模式。机器学习可识别通信和附件行为中的异常情况。在打开附件前，与身份数据的交叉关联性检查会标记出不寻常的发件人关系。 第1—5分钟：初步入侵 该附件利用了三天前披露的一个通用漏洞披露(CVE)。您的安全团队看到了公告，但计划在下周的维护窗口期进行补丁修复。漏洞利用会执行程序、建立持久存在并开始获取凭证。它使用合法的Windows实用程序——PowerShell、窗口管理工具(WMI)，以及不符合传统恶意软件特征的“就地取材”的二进制文件。 传统EPP的失败之处 该漏洞利用了可信系统工具，因此检测不到恶意文件。手动分析工作流程尚未启动。对于传统的EPP来说，这种活动看起来就像正常的系统管理。 Cortex XDR如何进行干预 Cortex XDR漏洞利用防范系统可在执行漏洞之前阻止初始入侵尝试。如果有威胁潜入，行为威胁防护系统会识别系统实用程序的异常使用情况。该智能体可将端点活动与网络流量模式关联起来，从而捕获到传统EPP因止步于端点而无法看到的命令与控制(C2)信标。 第6—10分钟：横向移动 攻击者已经拥有凭证。他们从专门从事您所在行业垂直领域的初始访问代理那里购买，因此这次攻击是有针对性的。然后，攻击者使用合法的远程桌面协议横向移动。不过，您的安全工具会看到授权管理员凭据访问授权系统的情况。一切看起来都很正常。 传统EPP的失败之处 EPP失败的原因在于其可视性止步于端点。它们与网络、云或身份系统没有任何关联。每个安全工具都只看到自己的狭小范围，并得出“未检测到威胁”的报告。 Cortex XDR如何进行干预 人工智能驱动的检测可同时分析来自端点、网络、云、电子邮件和身份系统的数据。当70%的事件跨越三个或更多攻击面时3，这种交叉关联性就能捕捉到攻击行为。异常检测可发现异常的用户行为，如用管理员凭据访问了他们通常不会接触到的系统、在他们通常下班的时间访问系统，以及从与他们的模式不符的位置访问系统。 威胁检测会主动搜索整个环境中的入侵指标，即使攻击者正在缓慢移动以躲避检测，也能发现他们的踪迹。 第11—15分钟：皇冠上的宝石 攻击者已经确定了您最有价值的数据，包括客户数据库、知识产权和财务记录。他们仍在使用合法工具，包括文件浏览器、备份实用工具和压缩软件。在传统的安全模式中，如果不是开始加密，您都不知道要进行调查，但加密是最后一步，而不是第一步。 Unit 42的分析显示，在近五分之一的案例中，数据外泄发生在入侵后的第一小时内4。到了这个时候，传统的事件响应手段已经无能为力了。验证警报、将其上报给安全负责人，以及召集响应小组所需的时间比整个攻击过程还要长。 传统EPP的失败之处 您手头积累了多天的警报等待人工分析，但没有任何警报与攻击相关联或显示攻击进展。您的安全团队仍在调查昨天的误报情况。 Cortex XDR如何进行干预 根本原因分析可立即映射出从最初的电子邮件到当前位置的整个攻击路径。您可以在几秒钟内看到整个攻击生命周期，而不是经过数小时的人工调查。自动响应已经在遏制威胁——隔离受影响的端点、阻止可疑的网络连接并防止进一步的横向移动。 实时终端可提供直接的端点访问，以便立即采取行动。您的分析师可以实时干预，而不是在攻击完成后。 第16—20分钟：渗透开始 数据开始离开网络。外渗从少量传输开始，以测试您的数据丢失保护能力。然后，一旦攻击者了解了您的监控范围和盲区，他们就会继续进行更大规模的攻击。2021年，外泄的平均耗时为9天。5到了2023年，这一时间已骤降至仅2天。6而本次攻击将在总计25分钟内完成数据外泄。 传统EPP的失败之处 端点防护无法关联网络流量进行检测。数据丢失保护可看到使用授权传输方法的授权凭证。每种工具都各自为政，报告“正常”活动，而攻击却不受控制地继续进行。 Cortex XDR如何进行干预 基于机器学习的检测可识别外渗模式。响应自动化手册可立即消除整个组织的威胁，包括每个受损端点、可疑流程和恶意连接。 自动响应措施已经控制住了损失。攻击会在加密开始前被阻止。您的数据保持加密状态，不会被勒索软件破解。 第21—25分钟：两个故事分别走向了不同的方向 没有现代保护 加密开始。在您的安全团队验证完第一个警报时，攻击已经完成。作为2025年1月至3月11间最活跃的勒索软件变种，RansomHub加密了您的关键系统。勒索信上写着：125万美元，这是目前赎金要求的中位数12。 加密和勒索信只是开始。Unit 42的数据显示，86%的事件现在都涉及业务中断，包括业务停机、声誉受损，或同时遭遇这两种情况13。现代攻击者会采用日越来越复杂的勒索手段。他们会公布您的数据，对您的基础设施发出DDoS，骚扰您的客户和员工。FBI发现，在美国所有重要基础设施部门中，医疗保健行业遭受的勒索软件和数据盗窃攻击的总数是最多的，一共报告了444起事件14。 业务连续性计划已启动。灾难恢复开始，取证调查开始。然后，真正的成本出现了，供应链攻击的平均损失可达491万美元15。 配备Cortex XDR 您的团队意识到了时间线早期的攻击，并积极地采取措施来阻止它，因为他们没有浪费时间去调查旧的警报。攻击在加密开始之前就已经被控制。您的安全团队会收到一份全面的事件报告，其中包括根本原因、攻击进展、受影响系统和修复步骤。Unit 42威胁情报已经利用这一技术更新了全球检测模型。现在，所有Cortex XDR客户都能免受这种攻击。 您的业务可持续运营，而无需支付赎金，不会丢失数据，也不会遭遇运营中断。轻量级智能体确保了在攻击过程中不会出现性能下降。此外，统一控制台意味着您的团队只需在一个界面上开展调查和做出响应，而不是使用十几个互不关联的工具。 行业影响：每个部门、每一天 医疗保健行业风险 在接受调查的美国医疗组织中，有93%的机构在过去12个月内至少遭遇过一次网络攻击17。 根据FBI的数据，医疗行业发生了444起勒索软件和数据盗窃事件16 Unit 42事件响应数据 的案例在系统遭入侵的第一个小时内就发生了数据外泄的情况19。 遭到攻击最多的行业 的事故跨越三个或更多的攻击面20。 专业与法律服务 高科技 这些行业一共占勒索软件案件的63%18。 现代保护：高级检测和响应 Cortex XDR提供了满足这一时间线需求的先进检测和响应能力： •多层威胁预防:通过漏洞利用防御、恶意软件防护、行为威胁防护和专用勒索软件防御，在每个攻击阶段阻止勒索软件。•人工智能驱动的检测：分析来自端点、网络、云、邮件和身份系统中的数据，为70%跨越三个或更多攻击面的事故提供所需的可视性22。•快速调查和响应：操作速度比攻击者的行动速度更快。根源分析能即刻了解攻击情况，自动响应可在几分钟内遏制威胁，实时终端可提供直接端点访问，搜索和销毁功能可实时发现并消除威胁。•卓越运营：确保轻量级的智能体不会导致性能下降，统一的控制台可减少工具蔓延和警报疲劳，自动调查可让分析人员腾出时间从事战略性工作。•经过验证的性能：经MITRE ATT&CK®Evaluations测试和验证，可提供出色的结果，深受全球数千家组织的信赖。•专家支持：Unit 42托管检测和响应将Cortex XDR的全部功能，与全天候检测、调查和解决威胁的精英专家相结合。借助包含的主动搜寻功能、专家指导的分级和实操式遏制服务（而不仅仅是警报），您可以将平均检测时间(MTTD)和平均响应时间(MTTR)缩短高达90%。23 今天就开始建立您的防御体系 无论您是要替换传统的EPP、增加独立检测功能，还是要增强当前的安全堆栈，Cortex XDR都能提供应对现代威胁所需的高级保护. 亲眼见证Cortex XDR的威力 访问Cortex XDR页面，了解我们如何拦截您当前的EPP遗漏的威胁。 寻求专家指导 请参阅以下有关预防勒索软件攻击和在出现漏洞时尽量减少损失的信息： •下载白皮书《了解如何应对勒索软件》。•下载我们的《2025年1月至3月勒索和勒索软件趋势》报告。•查阅我们的勒索软件准备情况评估，开启您的防御规划。 预约咨询，讨论您面临的具体安全挑战，了解Cortex XDR如何应对这些挑战。 如果您认为自己遭遇了入侵 立即联系Unit 42事件响应团队： •电子邮件：unit42-investigations@paloaltonetworks.com•北美：+1.866.486.4842•欧洲、中东和非洲地区：+31.20.299.3130•亚太地区：+65.6983.8730•日本：+81.50.1790.0200 关于Cortex Palo Alto Networks的Cortex®重新定义了安全运营解决方案，帮助组织提供现代安全运营中心(SOC)体验。Cortex依托机器学习与Unit 42威胁情报驱动，在统一平台中提供顶尖级威胁检测、精准防御、攻击面管理及安全自动化能力。Cortex XDR、Cortex XSOAR®、Cortex Xpanse®和Cortex XSIAM®受到世界各地公司的信赖和领先分析公司的认可，它们作为独立解决方案提供经过验证的保护，并且还可以作为SOC中的力量倍增器无缝协作。要了解有关Cortex的更多信息，请访问www.paloaltonetworks.com/cortex。