双重勒索
本文约需 2 分钟阅读
双重勒索 (Double Extortion) 是指在勒索软件攻击中,除了加密数据外,还以公开窃取的数据相威胁来索要赎金的手法。 2019 年末 Maze 勒索软件团伙首次系统性地实施,此后成为勒索软件攻击的标准战术。在传统的「加密后出售解密密钥」模式中,一旦受害者从备份恢复,攻击者的收益就会归零,因此通过加入公开数据这一第二条勒索轴线,该手法大幅提高了支付赎金的压力。
双重勒索的攻击流程
值得注意的是,数据窃取在加密之前就已完成。攻击者会在网络内潜伏数天到数周,锁定高价值数据并外发后才执行加密。也就是说,当检测到加密时,数据泄露其实已经完成。
始于 Maze 的勒索演变
2019 年 11 月, Maze 团伙公开了从美国安全企业 Allied Universal 窃取的部分数据,逼迫其支付赎金。这是双重勒索的首个大规模案例。 Maze 开设了专用的泄露网站 (数据泄露网站),确立了将拒绝谈判的受害者数据分阶段公开的模式。
看到这一手法「成功」的其他团伙纷纷效仿, 2020 年以后 REvil、 Conti、 LockBit、 BlackCat (ALPHV) 等主要勒索软件团伙几乎全部将双重勒索作为标准战术采用。
向三重勒索的演变
将双重勒索进一步发展的「三重勒索」也已被确认。
加密数据。以解密密钥为交换索要赎金。这是传统勒索软件的基本手法。
公开窃取的数据。以在泄露网站上分阶段公开,或向媒体、监管机构举报相威胁。
直接联系受害者的合作伙伴、客户,或同时实施 DDoS 攻击。从多方面挤压受害者的业务连续性。
为何仅靠备份不足以应对
在传统的勒索软件防御中,「只要有定期备份就能恢复」是公认的说法。然而在双重勒索中,即使从备份恢复,数据泄露的威胁也不会消失。攻击者早已持有数据的副本,并威胁称若不支付赎金就将其公开。
| 对策 | 对加密的效果 | 对数据泄露的效果 |
|---|---|---|
| 离线备份 | 有效 (可恢复) | 无效 (无法防止泄露) |
| 网络隔离 | 限定受损范围 | 抑制横向移动并减少窃取量 |
| 存储数据加密 | 无效果 | 即使被窃取也难以解读 |
| DLP (数据丢失防护) | 无效果 | 检测并阻断向外部的大量数据传输 |
| 零信任 | 抑制横向移动 | 以最小权限限定可访问的数据 |
数据泄露网站 (Leak Site) 的实态
攻击团伙在 Tor 网络上运营泄露网站,将拒绝谈判的受害者数据分阶段公开。他们首先发布企业名称和部分窃取数据 (截图或文件列表),并用倒计时计时器显示全部数据公开前的期限。这既是对受害者的心理压力,同时也是对其他潜在受害者的「杀鸡儆猴」。公开的数据竞争对手、犯罪分子、国家机构等任何人都能下载,使数据侵害的二次危害不断扩大。
全面的应对策略
识别并分类机密数据,彻底实施存储时加密。即使被窃取,只要已加密,攻击者就无法读取内容,也就无法作为勒索的筹码。
检测大量数据向外部传输的异常通信模式。通过 SIEM 或网络 DLP 监控外发数据量,超过阈值时发出警报。
即使在网络内部也验证所有访问。即使攻击者入侵,也使其难以横向移动,并将可访问数据的范围控制到最小。
应对双重勒索,基本是将存储数据加密与零信任相结合的多层防御。也请一并参阅勒索软件防护、数据侵害应对、备份入门。勒索软件防护相关书籍 (Amazon)推荐用来学习最新的防御策略。
这篇文章对您有帮助吗?