勒索軟件在過去幾年已成為頭條新聞，但早在此之前就已經存在。20 年前，針對消費者的惡意軟件凍結了受害者的機器并要求付款。犯罪分子的問題是把錢從受害者的賬戶轉到他們的賬戶。

然后，出現了加密貨幣。勒索軟件犯罪分子傳統上不得不試圖說服受害者購買禮品卡或通過數據等匯款服務進行付款。從 2009 年的比特幣開始，加密貨幣提供了一種快速、無摩擦的支付方式，在接下來的十年中呈爆炸式增長，幾乎每周都會出現更多的數字貨幣。有些人，比如門羅幣，專門設計為盡可能匿名。

這為犯罪分子提供了一個完善的支付渠道，為更專業的攻擊鋪平了道路。第一個勒索軟件通常編碼不佳，使受害者能夠共享加密密鑰并恢復自己的數據。后來的應變加強了加密并使用了更復雜的技術。

勒索軟件開始刪除影子卷文件，這些文件是 Windows 機器在本地創建的文件的備份，也是 Windows 在本地恢復文件的關鍵工具。已經發現 Ryuk 使用簡單的腳本自動抓取并刪除它找到的任何影子卷或其他備份文件。Locky、Wannacry 和 Cryptolocker 都以影子卷為目標。大多數勒索軟件卷還會爬取網絡以尋找共享卷，這意味著備份到網絡驅動器不會保護您。

介紹人類黑客

在過去的幾年里，勒索軟件再次演變。它變得更像是一項業務。其背后的犯罪社區分為不同的團體，這些團體在稱為勒索軟件即服務的附屬模型上運作。勒索軟件作者將他們的惡意軟件許可給其他發現受害者進行感染的人。然后他們向作者支付費用。

勒索軟件組織開始在暗網上尋找大量易受攻擊的攻擊媒介。其中不僅包括被盜的登錄憑據，還包括易受攻擊的遠程桌面協議 (RDP) 端口，他們可以使用這些端口用勒索軟件感染端點。然后他們自動攻擊，使用機器人攻擊易受攻擊的點，看看他們可以控制哪些網絡。

一旦感染了易受攻擊的網絡，今天的許多勒索軟件攻擊者所做的遠遠不止讓軟件運行。相反，他們會花時間自己通過受害者的網絡手動挑選方式，尋找更多要感染的機器。這種橫向移動使他們能夠找到受害者最有價值的資源。他們經常使用目標網絡上已經存在的日常管理工具，如 PowerShell 和 Windows 管理工具，以避免引起懷疑。這個過程被稱為“以土地為生”。

這種更加手動的技術使勒索軟件竊賊可以做的不僅僅是加密數據。今天，他們也在偷它。這樣，如果一家公司能夠從備份中恢復其數據，他們仍然可以通過威脅發布信息來勒索錢財。

結果？

勒索軟件已從定時炸彈演變為智能導彈，可在您的組織中尋找最有價值的信息。但它并不止于一個數據緩存。它可以找到所有可以找到的目標，從而最大化其爆炸半徑。這些攻擊者不會停留在原始數據上。他們也會盡最大努力訪問受害者的備份。這通常相對容易，因為一些備份文件的標題包含有關其內容的詳細信息。

這些備份通常是在一次簡單的突襲中收集大量敏感數據的簡單方法。云備份甚至更好，因為獲得這些帳戶訪問權限的勒索軟件竊賊通常可以竊取備份，而不會在受害者的內部網絡上觸發任何警報。然后，他們可以在閑暇時獲取敏感數據。

找到這些備份的犯罪分子可以在引爆他們的勒索軟件之前將其刪除。這會阻止受害者從他們那里恢復數據。另一種方法是根本不刪除備份，而是讓勒索軟件在網絡上休眠數周。然后，勒索軟件文件將與其他所有文件一起備份。在它最終引爆后，受害者可能會恢復文件，卻發現自己立即再次被感染。

問題越來越嚴重

公司如何保護自己免受這些勒索軟件攻擊？適用基本的網絡安全衛生措施。培訓最終用戶注意網絡釣魚攻擊、掃描傳入的電子郵件和傳出的網絡會話都是很好的防線。對在線帳戶使用多因素身份驗證將有助于阻止勒索軟件竊賊入侵帳戶，而關閉未使用的 RDP 端口將關閉攻擊面，定期修補軟件也是如此。不過，除此之外，公司還需要為勒索軟件構建的安全解決方案——尤其是隨著勒索軟件即服務的興起。

勒索軟件即服務正是您認為的那樣，并且隨著越來越多的威脅參與者轉向它，它正在成為一個重大威脅，這意味著您的恢復和網絡彈性解決方案將變得更加重要。世界已經不像以前那樣了，這是肯定的。您不再只需要害怕那些有能力執行勒索軟件攻擊的人，您現在必須確保從各個角度得到保護，因為 RaaS 使那些知識和技能不高的人能夠在閑暇時發動攻擊. 這些工具包很容易在暗網上訪問，這最終意味著更多的攻擊，攻擊者通常會使用“噴霧”策略，希望有什么東西能落地。這對你意味著什么？這意味著您的防御和備份從未如此重要。