近年来，卡巴勒索软件的斯基式威胁已经变得相当普遍，而想要预测制定稳妥的介绍见攻击模防护策略，就需要对其原理展开深入分析。勒索好消息是软件，在上周的卡巴一篇文章中，卡巴斯基在 SecureList 网站上分享了其对多款勒索软件的斯基式调查报告，并揭示了一些常见的介绍见攻击模攻击模式。

（来自：Kaspersky）

卡巴斯基重点介绍了八款活跃度勒索软件，勒索并指出幕后团伙为其选用了非常相似的软件运作模式。

据悉，卡巴该报告对 Conti / Ryuk、斯基式Pysa、介绍见攻击模Clop（TA505）、勒索Hive、软件Lockbit 2.0、RagnarLocker、b2b供应网BlackByte 和 BlackCat 的策略、技术和流程（TTP）展开了深入分析。

参考文中分享的框图，分析 / 数字取证专家和其他安全工作者可借此来实施更有效的识别与打击策略。

VentureBeat 指出，上述八个勒索软件团伙在去年攻击了美国、英国和德国地区各个行业的 500+ 组织。

而从 Kaspersky 罗列的几十个步骤来看，每款勒索软件的攻击套路都是其所独有的。

比如几乎所有勒索软件团伙都喜欢从外部远程服务器开始下手，且只有半数还在使用网络钓鱼的手段。

此外所有团伙都倾向于支持 WMI、命令和脚本解释器、应用层协议、服务器租用Web 协议、签名二进制执行等目标。

最近的勒索软件受害者，包括了 QNAP、ASUStor 和 NVIDIA 。而 6 月初的时候，富士康在墨西哥的工厂也遭遇了 Lockbit 2.0 的攻击。

防止系统恢复或加密最有影响的数据，依然是相当常见的套路。不过一些不那么流行的策略，还涉及 BITS 作业。以及从密码存储、或通过 Web 浏览器获取账户凭证。