见招拆招 Akamai详解勒索攻击的危害与防御之道

如今，勒索软件攻击已发展成为产业。Conti便是勒索软件即服务（RaaS）的典型代表。

近日，Akamai发布了《Akamai勒索软件威胁报告——亚太地区及日本深入洞见》，报告中，Akamai分析了作为超级猖獗的勒索软件即服务（RaaS）提供商之一的Conti最近泄露的文档，以便了解其内部运作机制，并简要说明其攻击趋势以及有助于其得逞的工具和手段。根据Chainalysis报告，Conti RaaS团伙在2021年共斩获1.8亿美元赎金，其敛财能力可见一斑。

Conti攻击模式和地域、行业特点

Conti攻击方法可以概括为“收集凭据、传播、重复”。假设黑客可以访问网络中的某台计算机，具体操作可分为以下步骤：

1、突破密码层：攻击者尝试转储和解密密码，或者暴力破解密码

2、扩大攻击面：在下一台计算机上使用凭据，再重复第一个步骤

3、获取主导权：加强控制，在获取网络主导权后才开始进行加密

亚太地区及日本是受Conti勒索软件攻击的全球第三大地区。相比其他地区，亚太地区及日本受到攻击的频率较低，其部分原因是Conti团伙更倾向于选择北美和EMEA（欧洲、中东和非洲）地区。

不过，亚太地区及日本受到的关键基础架构攻击明显更多，对这些垂直行业的攻击可能会带来灾难性的现实影响。

据Akamai最近的调查结果表明，全球最大的勒索软件团伙Conti发起的全球勒索软件攻击中有近30%以制造业为目标。其次是商业服务和零售行业，分别为13.37%和11.14%。

“制造业是亚太地区最有价值的行业之一——据估计，到 2030 年，该地区每年可产生高达6000亿美元的额外制造业产出，”Akamai亚太及日本地区安全技术和战略总监Dean Houari说。“攻击者仍然有经济动机，制造业是勒索软件攻击的主要目标，因为他们无法承受停机和中断，尤其是当长供应链依赖于零件或产品时。很多时候，制造商最终会支付赎金以减少对运营或向客户交付产品的干扰，”Houari继续说道。

制造业遭受勒索软件攻击的受害者数量之多不容忽视。勒索软件对制造业的攻击可能会导致影响深远的供应链中断，包括制药公司、食品和饮料、汽车和医疗设备。这些垂直领域的业务中断可能会造成商品短缺，从而产生大规模影响，而即使不是立即产生影响，也会随着时间的推移而产生影响。

结合受害者的收入趋势来看，中小企业更有可能成为潜在的攻击目标，绝大多数Conti受害者是年收入介于1000万到2.5亿美元之间的企业。原因在于此类企业已经拥有支付巨额赎金的营收能力，但还缺乏成熟的安全实践。

Akamai大中华区产品市场经理 刘炅

Akamai大中华区产品市场经理刘炅表示，在很大程度上，以勒索软件作为攻击媒介的做法是受到经济利益驱使。并且，无论多大规模的企业，都拥有客户信息、商业机密和专有信息等机密数据，这使其成为有利可图的攻击目标。

勒索攻击的危害与防御之道

企业受到勒索软件的攻击时，可能需要处理停机问题，这会造成生产力降低、品牌和声誉受损、补救和恢复成本以及法律费用等问题。值得注意的是，勒索软件攻击所带来的影响可能远远超出对各公司造成的财务损失。

谈及勒索攻击的防御之道，刘炅认为，企业应该建立“常态化“的安全防护体系，具体举措包括：

见招拆招，消弭勒索威胁

在与Conti等勒索软件团伙斗智斗勇的过程中，为阻止和减缓横向移动，Akamai安全研究团队建议企业采取控制用户访问权限和控制通信路径两种方式。前者需要有意将高级用户与日常活动分开，来扩大检测面；而后者将禁用RPC、RDP、WinRM、SSH等协议，以减少网络攻击面。

多云部署、混合办公趋势下，将勒索攻击的多层面威胁全面扼杀，可使用Akamai一整套创新、卓越的零信任安全解决方案，以Web应用程序防火墙（WAF）、零信任网络访问（ZTNA）、域名系统（DNS）防火墙和Web安全网关（SWG）服务，对企业办公设备进行端到端的严密防护。

安全可视，及时遏制攻击

一旦勒索攻击已经入侵企业内部的异构系统，安全运维人员需要尽快定位攻击点，判断问题症结。

Akamai在去年完成了对网络安全公司Guardicore的收购，并将Guardicore的微分段解决方案将添加到Akamai的零信任安全产品组合中。应用Akamai Guardicore Segmentation技术，能够对企业中的关键IT资产进行微细分，在企业内网搭建多重防止病毒扩散的安全屏障。

凭借Akamai安全可视的流程化安全管理，企业安全团队更能第一时间锁定勒索攻击范围，集中优势资源，制止恶意行为。由此，我们便能够在勒索软件加密阶段之前，及时检测威胁、并在风险早期建立防御优势。

结语

Conti泄露资料仅仅是黑客组织内幕的冰山一角，而当下勒索软件，也正与供应链攻击等手段产生协同效应。

Akamai认为，学会从攻击者视角看问题，有利于企业与黑客展开全流程的攻防博弈。

为此，Akamai平台将持续升级自身安全技术体系，为用户提供覆盖IT基础设施、应用程序和API、诈骗预防等层面的多重安全防护。