如果你是一个受害者勒索软件,不交!
这一直是美国联邦调查局的口头禅几年来 - 这就是一个有力的全国知名度最高的安全博客的一个呼应 -布莱恩·克雷布斯- 在最近的文章中。
但根据统计,无论是很多人不听,或者这是一个有点复杂多了。现实情况是,勒索软件的成功并不只是增加。它的爆炸。
Ponemon的该研究所在报告上月公布的一项研究通过勒索受害企业48%的人表示他们支付。
据联邦调查局,赎金在美国所有的2015年支付的金额集体为$ 24亿美元。在2016年,它已跃升至209亿$,在短短的前三个月 - 这意味着,如果生长曲线继续它会很容易地在今年年底突破$ 1十亿。
当然,这仅仅是发生了什么报告给FBI,只是在美国。该网络威胁联盟(CTA)报道,在2015年全球勒索赔偿刚从CryptoWall3为$ 325万。
最新版本,CryptoWall4,造成损失估计为$ 18万自去年以来其发现36118名受害者的CTA报道。
许多其他研究也指出,勒索生长曲线。比兹利,违反保险供应商,去年秋天报道,基于客户端的趋势,在2016年的勒索攻击会比2015年的四倍。
MarketsandMarkets在年初预测在市场上的勒索软件防御16.3%的年复合增长率,从$ 8.16十亿上升在2016年到$ 17.36十亿在2021年。
美国联邦调查局报告说,“一个特定的勒索变种每天损害估计10万台电脑“。
偷拍Wueest,赛门铁克的研究人员表示,该公司的勒索和企业2016白皮书发现,勒索软件感染人数飙升56,000去年三月 - 双正常率。
而且问题可能比结果更糟糕。美国联邦调查局说,许多受害者没有报告,“对于许多原因,包括担忧,不知道在哪里以及向谁报告;不是感觉他们的损失令执法的关注;关于隐私,商业信誉,或监管数据违反报告要求的关注;或尴尬“。
事实上,勒索甚至是时髦的 - 在本周的RSA大会在旧金山的议程的首要位置,那里有一整天“勒索软件峰会”周一领跌DataGravity CISO安德鲁干草。
其吸引力网络犯罪分子的原因并不复杂。它并不需要那么多的专业知识 - 它已被广泛报道,很容易为所谓的“脚本小子”购买或租赁的恶意软件暗网。
一种勒索软件攻击是潜在的更具破坏性比数据泄露,尤其是对一个企业。任何组织希望其数据被盗,但它发现违反后,可以继续发挥作用。如果所有的数据都是加密的,它并没有备份,它不能正常工作。
第三,作为一个白皮书ICIT(研究所关键基础设施技术)所指出的,赎要求一般不是瘫痪量。对于个人而言,它往往是几百美元的比特币。“从执法的角度来看,比单一的勒索攻击损失更大家入室盗窃的结果,”该报告称,这意味着执法部门很少会投入“显著资源”来调查它。
据ICIT,约瑟夫Bonavolonta,FBI的CYBER和反间谍程序的总部位于波士顿的头,在2015年10月得到了与参议员罗恩·维登(d-矿石。)遇到麻烦的时候,他说,“说实话,我们经常建议人们只需交纳赎金“。
之后维登抱怨,联邦调查局“澄清”,它的立场是,“只交赎金,如果缓解步骤失败,唯一的选择是使自己的文件。”
这些因素,这些都有助于勒索攻击的成功率,一些受害者被激励付出同样的原因 - 他们急于恢复自己的文件,他们可以更轻松地超过他们能承受失去他们的文件承受的价格。
当然,有很多美国联邦调查局的论点背后的逻辑也是如此。主要的一个是,支付只是使问题更大 - 更使犯罪分子,他们越会攻击。
该局和其他人也注意到,有没有保证,一旦赎金支付,或在设备上摆脱了恶意软件,这意味着受害者能得到再次受害的罪犯将产生一个加密密钥。
克雷布斯说,受害者确实有选择,即使他们没有最新的备份。他建议接触两个网站 -没有更多的赎金和长时间再次计算机- 这提供了至少一些勒索变免费的解决方案。
克雷布斯说,没有更多的赎金,这是由安全公司和网络安全组织在22个国家的支持下,已经由2016年12月保存勒索超过$ 200万6000名受害者。
但是,统计数据,说其他专家,表演,虽然这是一个值得称道的举措,这是不可能减缓勒索的爆炸式增长 - $ 2百万几乎没有在总的舍入误差被网络罪犯所收集。
“像没有资源更多赎金是伟大的,但不幸的是他们在大海中的一滴水,”高科技桥的CEO伊利亚Kolochenko说。
他只是许多专家说,谁处理勒索的唯一真正有效的办法是,以防止它的一个。他称这是“有点类似艾滋病 - 这是比较容易的,以防止它,但只有当它不是太晚了。”
斯图Sjouwerman,KnowBe4的CEO,也有类似的消息。“原则上,不交,因为这鼓励犯罪的商业模式,”他说,“但在实践中,这不是那么容易的。”
他说,对于大多数组织,把它归结为成本/收益的计算。“它成为一个没有脑子,如果你面对的是一个失败的备份和一个多月丢失的数据,并会关闭你失望的。”
和Ed卡布雷拉,趋势科技网络安全首席官,也注意到之间又该发生什么确实发生了分歧。“的共识是清楚的,支付‘应该’永远是一种选择,”他说。“不过,由于公司没有计划,他们计划失败,当谈到勒索软件攻击。这显然是在Deep Web中一个非常有利可图的业务,并且只能将继续发展,以不同的文件类型和系统,对企业和消费者非常重要的“。
这是很清楚的,许多组织都没有计划,这是有点神秘,因为防止勒索的方式相当简单和广泛宣传,包括联邦调查局网站上。
最重要的,当然是要定期备份数据,并确保备份 - 不要让它们连接到电脑,他们正在备份网络 - 所以他们也无法被攻击感染。除此之外,专家说,组织应:
- 禁止宏脚本
- 安装所有更新和修补程序 - 尤其是像Adobe Flash或Java错误的程序
- 集防病毒和反恶意软件解决方案,以自动更新
- 只有下载软件 - 尤其是免费软件 - 从已知和受信任的站点
- 培训员工 - 强调,他们不应该在一个不请自来的电子邮件中打开附件。
克雷布斯具有安全在线的他自己的三个规则:
- 如果你没有去寻找它,不要安装它。
- 如果你安装了它,更新它。
- 如果你不再需要它(或者,如果它已经成为太大的安全隐患)摆脱它。
那么,为什么没有更多的人听从这个意见 - 尤其是可能被削弱或勒索取下来的组织?
这不只是一个懒惰的事情,根据Sjouwerman。“现实情况是,许多IT部门的人手不够,过载,并在同一时间16起火灾应对,”他说。“问题是,作为一名后卫,你必须是正确的时间100%,并作为攻击者只有一次。
即使做正确的事情并不总是工作。“武器级备份是最重要的,但备份失败,更频繁地比你想象的,”他说。
Wueest说,有时它归结为拒绝。他说,而最佳实践可以预防大多数的威胁,“一些公司的勒索软件攻击不打算或者没有在他们的安全过程测试这些场景,因为他们错误地认为它不能发生在他们身上。”
底线 - 勒索成功,因为潜在的受害者可以很容易地取得成功。而一旦缺乏任何备份文件被锁定,也有极少数的选择。
“根(勒索)战术仍然简单,易于防范,”卡布雷拉说。“但是,尽管这样,公司不断失败,开发和部署多层安全防御。”
这个故事,“太多的受害者说是勒索软件”最初发表CSO 。