今天，许多企业已经开始应对其IT基础设施可能遭受的勒索攻击。对此，攻击者又开始“钻研”新策略以继续谋取暴利，“双重勒索”攻击由此产生。网络犯罪分子会利用受害组织迫切需要恢复运营的恐慌心理，勒索其支付高额赎金；同时，网络犯罪分子的攻击目的还扩展到造成尽可能多的破坏，包括大规模中断影响人们日常生活的关键性服务，以获取更多“赎金”收益。

今年早些时候，美国Colonial Pipeline因遭遇勒索软件攻击导致服务暂停，为了重新获得系统控制权并继续为用户提供服务，该公司向犯罪分子支付了约500万美元的比特币赎金；同月，爱尔兰一家健康服务企业也因顶不住压力，最终向犯罪分子支付了2000万美元赎金，以保护患者的个人数据不被泄露，但遗憾的是，尽管达成了协议，仍有数百记录流入了暗网交易。

什么是“双重勒索”？

“双重勒索”攻击是网络犯罪分子用得越来越多的一种策略，攻击者加密目标系统数据之前会先窃取数据，这样一来，即便受害者有备份数据，勒索软件仍然可以用泄露数据作威胁要求其支付赎金。

如果受害者不付款，甚至达成赎金协议后，攻击者仍然会实施“点名羞辱”（name-and-shame）策略，而且根据Emsisoft的研究发现，采用该策略的网络犯罪分子数量正在不断增加，在收到的勒索软件攻击企业和公共部门机构的100,101份报告中，其中11.6%是由窃取和公布数据的犯罪团伙发起的“点名羞辱”式攻击。

而且，构成威胁的不只有与暗网组织合作的网络攻击团伙。该机构的最新一项研究显示，近三分之二（65%）的专家认为勒索团伙正在从网络犯罪中获利，而58%的专家则表示勒索团伙招募网络犯罪分子进行网络攻击正变得越来越普遍。

更完善的防护计划

攻击者想要成功获取赎金，就必须确保受害者无法恢复有用的数据。为此，攻击者会禁用或破坏备份，并将魔爪伸向可用的生产数据。因此，企业组织想要充分应战必须要重新考虑现有的数据恢复计划，与使用标准化数据恢复流程相比，通过制定专门的受损数据风险管理计划，更能帮助企业提高他们的赔率并更有可能恢复网络受损数据。为成功实现该计划，企业需要规划五个关键步骤：

• 识别——识别并验证组织的重要数据资产（VDA）。这是需要额外保护级别的数据，也是企业必须拥有的数据；
• 保护——提高恢复干净数据几率的能力。例如，可以避免网络攻击的故障安全副本；
• 检测——识别控件中可能允许攻击者访问企业重要数据资产、增加企业风险的漏洞；
• 响应——在已发生的数据泄露事件之后需要遵循的计划、流程和程序；
• 恢复——让安全团队为这种可能性做好排练、测试和实战演习。

当然，除了外部勒索攻击者之外，企业今天同样容易受到更多内部威胁的影响，例如拥有网络特权访问权限却心怀不满的员工。而且，即便经历过安全意识培训，但人为失误仍然是一种高发的风险，未经授权的网络访问有时候只需一次意外的嵌入式链接点击即可实现。

随着“双重勒索”软件的兴起，企业组织正面临着确保其业务平稳运行的持续压力，同时公众对数据收集警惕度的不断提高，也使得企业为此类攻击做好准备变得更加重要。

勒索软件攻击本身的威胁可能是有限的，但其对组织品牌声誉和客户信任的威胁却很严重。在 “双重勒索”软件攻击的危害真正产生之前，企业组织应该对整体业务及关键性数据资产进行全面梳理，并与企业管理层实时同步相关信息，确定在关键业务连续性保障时，哪些数据应该是优先事项。只有这样，企业才能做好充足的准备，以确保他们有时间在勒索软件攻击危害爆发之前能尽早采取行动。

来源：安全牛