揭秘：主要勒索软件使用的攻击工具和技术有哪些？

根据Sophos的最新报告，讹诈软件试图通过滥用可信的法律程序来忽略过去的安全控制，然后使用内部系统加密最大数量的文件，并在信息技术安全团队赶上之前禁用备份和恢复程序。

勒索软件的主要模式

敲诈软件通常以三种方式传播:

作为一种加密蠕虫，它可以快速将其自身复制到其他计算机，以产生最大的影响(例如Wannacry)；作为勒索软件即服务(RaaS)，它以分发包的形式在黑网上销售(例如Sodinokibi或者通过自动主动攻击者的攻击方法，即攻击者在自动扫描网络后会手动部署讹诈软件，找到保护薄弱的系统。专家建议在被勒索软件感染后不要重启电脑。网络安全保险欢迎臭名昭著的勒索软件在2019年的发展。网络钓鱼和僵尸网络自然灾害影响网络安全:应对极端天气和停电需要人工智能。

加密代码签名勒索软件

加密代码签署敲诈软件，购买或窃取合法的数字证书，试图使一些安全软件相信代码是可信的，不需要分析。

特权提升

使用一个容易获得的漏洞(例如EternalBlue)来提升访问权限。这允许攻击者安装程序(如远程访问工具RAT)，查看、更改或删除数据，创建具有完全用户权限的新帐户，以及禁用安全软件。

跨网络横向移动和狩猎

攻击者可以在一小时内创建一个脚本，在网络端点和服务器上复制和执行讹诈软件。

为了加速攻击，讹诈软件可能会优先处理远程/共享驱动器上的数据，首先处理较小的文档大小，然后同时运行多个加密过程。

远程攻击的威胁

文件服务器本身通常不会感染勒索软件。相比之下，威胁通常在一个或多个受感染的端点上运行，滥用特权用户帐户，有时还通过托管服务提供商(MSP)常用的远程桌面协议(RDP)或远程监控和管理(RMM)解决方案远程攻击文档。管理客户的信息技术基础设施和/或最终用户系统。

文件加密和重命名

勒索软件攻击的发展

“在某些情况下，主要攻击发生在晚上，也就是说，信息技术团队在家里睡着了。当受害者发现发生了什么，已经太晚了。

“必须有强有力的安全控制、适当的监督和覆盖所有端点、网络和系统的响应，并及时安装最新的软件更新。