被勒索软件攻击、关键数据被加密也许还不是最糟糕的。近日,反病毒公司Emsisoft发现多起“双重加密勒索”,受害者的数据被多个勒索软件先后加密,或者被同一个勒索软件对数据进行了两次加密。勒索软件组织大多没有道德底线和“契约精神”,很多受害者支付了赎金,恢复营业后,勒索软件组织会二次光顾。此外,如今越来越多的勒索软件采用“双重勒索”策略,攻击者加密目标系统数据之前会先窃取数据,因此,即便受害者有备份数据,勒索软件依然可以用泄漏数据作为要挟勒索赎金。
如果说“双重勒索”只是确保受害企业支付赎金,那么勒索软件团伙最新升级的策略——“双重加密”,更加让人发指:勒索软件黑客会对受害者的数据进行两次加密,并且索要两份赎金。以前业界观测到的两次加密勒索软件攻击,往往是“意外”,通常是由两个独自行动的勒索软件帮派恰巧同时攻击了同一个受害者造成的。而“双重加密”则是单一勒索软件团伙对受害者有意为之的攻击方式。根据反病毒公司Emsisoft的报告,该公司已经发现数十起”双重加密“勒索软件攻击事件,勒索软件团伙有意将两种类型的勒索软件组合使用。Emsisoft威胁分析师布雷特·卡洛(BrettCallow)说:“这些勒索软件团队一直在努力找出最好的勒索策略,用最少的精力赚到最多的钱。遭受双重加密攻击的受害者发现,他们缴纳赎金解密的数据,仍然处于被加密状态。”Callow透露,有些受害者立即收到了两张赎金通知,这意味着在这些攻击中黑客希望他们的受害者知道遭受的是双重加密攻击。但是,在某些情况下,受害者在支付了消除第一层加密的费用后,才会看到第二条赎金通知,需要第二次付费才能解开第二层加密。Callow说:“即使在标准的单层加密勒索软件案例中,数据恢复也常常是噩梦,更糟糕的是,如今我们越来越多地看到双重加密攻击,我们认为企业在考虑他们的勒索软件响应时应该意识到这一点。”Emsisoft已经发现了两种截然不同的双重加密勒索策略。首先,黑客使用勒索软件A对数据进行加密,然后使用勒索软件B对数据进行重新加密。另一个策略是所谓的“并行加密”攻击,攻击者对企业一部分数据使用勒索软件A加密,对另外一些数据使用勒索软件B加密,在这种情况下,虽然数据仅被加密一次,但受害者将需要“购买”两个解密密钥才能解锁所有内容。研究人员还注意到,在并行加密攻击中,攻击者会尽可能采用两种看上去非常相似的勒索软件,这让事件响应人员更难弄清正在发生的事情。勒索软件帮派通常以收益分享模式(RaaS)运作,其中一个小组开发并维护一系列勒索软件,然后将其攻击基础设施租借给进行特定攻击的“会员”。Callow指出,双重加密适合此模型,直接实施攻击的“会员”可以与两个勒索软件开发运营者分享收益。此前,业界的报告已经显示支付赎金的风险很大,因为只有8%的企业能够在支付赎金后获得全部数据的解密密钥,双重加密攻击的“双份赎金”增加了这种风险,同时也意味着企业备份和恢复数据能力比以往任何时候都更加重要。但是Callow指出:“虽然从备份中恢复数据是一个漫长的复杂过程,但是双重加密并不会使其进一步复杂化。如果您决定从备份中重建,那么您将重新开始,旧数据被加密多少次都无关紧要。”对于最初没有充分备份或不想花时间从头开始重建系统的勒索软件受害者来说,双重加密攻击构成了新的威胁。但是,如果发现更多的受害者不愿意为双重加密攻击“埋单”,那么攻击者可能会选择新的策略。