警惕勒索软件攻击“新常态”：拒绝支付赎金将被公开信息

近日，Check Point Research的研究人员发现一种正在不断演进的新型勒索软件策略。该勒索策略被称为“双重勒索”，即攻击者会首先窃取大量的敏感商业信息，然后对受害者的数据进行加密，并威胁受害者如果不支付赎金就会公开这些数据。第一起双重勒索事件是由勒索软件Maze发起的，针对美国大型安全人员配置公司Allied Universal。勒索者创建了一个专用网页，用来列出拒绝支付赎金的受害者身份，并定期发布被盗数据的样本。勒索软件Sodinokibi（REvil）、Clop、Nemty、DopplelPaymer等也加入这一行列进行双重勒索。双重勒索应该是勒索软件自然演进的结果。传统的勒索软件基本信守支付赎金即提供解密密钥的策略，但逐渐演变到从用户攻击到有针对性的商业攻击，现在又增加了数据勒索的双重危险。这无疑让受害者承受更大的数据泄露压力，同时使得受害者被迫支付赎金的可能性大幅提高。受害者同时承受着支付赎金后的是否仍被公开数据的不确定性，以及监管机构对其数据泄露进行处罚的双重压力。这可能会成为勒索软件攻击的“新常态”。良好的网络卫生习惯、强化的访问控制、严格的端点防护、全面掌握的威胁态势、周全的业务连续性计划、常态的安全意识教育、经常性的检查整改等有助于对抗勒索软件攻击。

想象一下这个场景：某一天早晨，你来到办公室，发现网络犯罪分子已经突破了整个公司网络，并对所有文件和数据库进行加密，从而使组织的运作陷入停顿。你该怎么办？要从备份中还原系统和数据，然后再恢复正常工作，可能需要几天甚至几周的时间。你可以答应攻击者支付赎金的要求，希望他们提供承诺的解密密钥，但是网络罪犯可能不会信守诺言。根据FBI的《互联网核心能力认证（IC3）2019年互联网犯罪报告》，仅在美国就有2,000多个组织在去年受到勒索软件攻击后面临此问题，造成数百万美元的损失。

似乎这还不够糟糕，网络犯罪分子开始在熟悉的勒索软件攻击中加入新策略：双重勒索。在2020年第一季度已成为趋势，威胁参与者正在为其攻击增加新的阶段。在对受害者的数据库进行加密之前，攻击者会提取大量敏感的商业信息，并威胁要发布这些信息，除非支付了赎金要求，这给企业增加了满足黑客要求的压力。

双重勒索的先驱——勒索软件Maze

2019年11月，第一个公布的双重敲诈案件涉及美国大型安全人员配置公司Allied Universal。当受害者拒绝支付300比特币（约合230万美元）的赎金时，使用Maze勒索软件的攻击者扬言要使用从Allied Universal的系统中提取的敏感信息以及被盗的电子邮件和域名证书进行冒充Allied Universal的垃圾邮件活动。为了证明自己的能力，攻击者发布了被盗文件的样本，包括合同、病历、加密证书等。在俄罗斯黑客论坛的后续一篇帖子中，攻击者提供了一个链接，指向他们声称是被盗信息10％的链接，以及一个提高了50％赎金要求新的声明。

图1：俄罗斯黑客论坛上Maze的帖子

Maze勒索软件背后的组织TA2101创建了一个专用网页，该网页列出了不支付赎金的受害者身份，并定期发布被盗数据的样本。

图2：Maze网页上列出的不支付赎金的公司列表及数据样本

Maze随后公布了了数十家公司的详细信息，包括律师事务所、医疗服务提供商、保险公司，这些公司没有满足Maze的勒索要求。据估计，有许多其他公司通过支付所需的赎金来避免公布其敏感数据。

顺应潮流

其他网络犯罪组织也纷纷仿效这一新的勒索策略，开设了自己的站点来发布和泄漏被盗信息，以此向受害者施加更大的压力，迫使他们支付赎金。利用Sodinokibi勒索软件（又名REvil）的攻击者公布了他们攻击的数十个目标的详细信息，以及从目标组织窃取的专有公司信息。全国饮食失调协会（National Eating Disorders Association）是受害者组织名单中的最后一个组织，但此后已从REvil的博客中删除。

图3：REVil的Happy Blog网站列出的受感染的公司及数据样本

起初，这些信息的屏幕截图仅是说服受害者支付赎金的一种手段。如果付款不及时，攻击者将继续执行威胁，并将机密文件发布在网络上以供公众下载。

这使目标组织陷入了双重危险的陷阱：如果他们不屈服于攻击者的要求，则攻击者将公布被盗的数据，并且组织将不得不向相关的国家或国际数据隐私监管机构报告违规行为，这可能使该组织收到巨额罚款。无论哪种方式，组织都可能不得不付出代价才能保持运营。例如，在2020年除夕，REvil对Travelex发起了攻击，从其网络上下载了5GB的敏感客户数据，包括生日、信用卡信息、国家保险号。他们给Travelex两天的时间支付600万美元，之后赎金金额将翻倍，并威胁如果一周之内没有收到任何付款就会出售整个数据库。而Travelex需要离线三周才能从攻击中恢复。

加入这一趋势的其他攻击者包括Clop、Nemty、Nefilim、Ragnarlocker、Sekhmet、Snatch、DopplelPaymer等。在这些网站上公布的信息很快发现被勒索软件组织自己或从垃圾场收集数据的其他犯罪分子出售。

攻击移动目标

这种恶意组合也已从公司网络扩展到移动设备。最近，一个恶意软件尝试利用对冠状病毒大流行的担忧，欺骗性地将自己推销为针对Android设备的假冠状病毒跟踪应用程序，同时实际上对用户内容进行加密，并威胁要公开泄漏用户的社交媒体材料。

图4：移动恶意软件勒索记录

Maze威胁组织也开始利用冠状病毒的恐惧。但是，在针对一家英国的医疗机构发起攻击遭受批评后，该组织宣布，他们将避免今后对医疗机构发起攻击，并为之前受到攻击的任何组织提供折扣。但是，这并不能阻止他们继续袭击其他组织，例如Chubb保险公司。

图5：Maze关于新冠病毒的新闻稿

勒索软件与数据泄露

尽管传统的勒索软件攻击非常恶毒，但给受害者提供了从备份中恢复所有内容的选择。受害者面临着严重的困境：屈服犯罪要求并支付赎金，以期希望获得解密密钥并重新获得对其数据的访问权，或者努力从备份中恢复系统。

通常，自我恢复的成本超过了赎金的要求。例如，巴尔的摩市拒绝支付$80,000赎金，结果遭遇成本为$18,000,000恢复费用、新硬件和收入损失。这导致一些保险公司建议受害者支付赎金。

对组织的其他损害包括停机时间、股价贬值、系统和数据恢复的技术成本、赎金支付等等。通常，受害者会尽量避免公布任何攻击，以最大程度地降低对其声誉的可能损害。

另一方面，数据泄露使受害者受害于专有信息的丢失，并阻碍了他们保护客户和员工的个人信息的能力。被窃取的数据可用于将来对那些详细信息包含在漏洞中的人进行攻击。诸如欧盟GDPR和美国的安全漏洞通知法之类的监管法律规定，此类攻击的受害者必须向特定机构，信息所属的公司和个人披露攻击的详细信息。这包括潜在损害的清单以及保护员工和客户免受欺诈和身份盗用以及可能遭受的诉讼所需要的额外费用。

现实问题

这种新的、不断发展的攻击浪潮模糊了传统勒索软件攻击与常规数据泄露之间的界线，潜在的受害者处境很糟。除非另有证明，否则他们必须假定自己受到数据泄露的侵害，而在法律上，他们无法避免事件的公开披露。显然，采用备份并不能终止攻击并防范损失。更糟糕的是，众所周知，支付赎金并不能保证攻击者不会将信息出售给第三方。

所以这种不确定性可能导致结果与攻击者想要的效果相反，因为支付赎金对公司并没有吸引力。毕竟即便付款，他们也必须向政府披露攻击的详细信息，对其声誉和股价造成重大损害，并使客户和员工承受严重损失。

防范勒索攻击的最佳实践

勒索软件攻击不仅仅是黑客的造成的，也可能是由不知情的员工点击网络钓鱼链接或浏览受感染的网站触发的。为了使组织成功避免或抵御勒索软件，组织必须了解这些攻击的发生方式，确定并最小化被其利用的脆弱点。

以下是确保适当的网络卫生以帮助防止勒索软件攻击的关键最佳实践。随着威胁形势的不断发展，攻击的复杂性也在增加，网络卫生对组织的重要性不言而喻。

1、保护端点

IDC报告称，许多组织没有从策略上处理好端点安全。许多人在不同的端点类型上使用不一致的方法，并且不完全了解其风险。保护端点安全已经超越了安装防病毒软件的范围。必须将重点放在管理所有端点的卫生，即它们的配置和修补。一个有效的安全程序将利用高级端点安全控制（例如下一代防病毒（NGAV）或端点检测和响应（EDR））来保护端点，以防止或检测通常在恶意软件中观察到的可疑端点行为。

2、采用因素身份认证

一种流行的攻击者策略是利用被盗的员工凭据来进入网络并分发勒索软件。这些凭据通常是通过网络钓鱼收集的，或者是从过去的违规行为中获取的。为了减少攻击的可能性，请在所有技术解决方案中采用两因素身份验证（2FA）。

3、掌握威胁态势

必须了解您的IT基础架构，现有关键资产和数据，与这些资产关联的供应链以及资产如何暴露给潜在的攻击者或使其变得可访问。但是，如果没有一个明确的威胁态势（该枚举可能会列出您可能遇到的攻击组织或恶意软件变体及其行为），那么单单了解资产也没有用。这些知识的组合使组织可以确定有效的防御措施，以预防或检测攻击。为了使其更易于访问，还有赖于网络威胁情报服务的支持。

4、全面掌控资产访问

这不仅限于员工，还包括合作伙伴和客户。所有这些都以身份和访问管理为中心。知道谁拥有什么访问权限以及在何处可以帮助您识别可能成为劫持或盗窃目标的帐户，因此您可以监视它们以进行不当访问或使用。

5、制定业务连续性计划

尽管端点安全、反网络钓鱼、边界保护和补丁程序管理至关重要，但无法防止勒索软件。业务连续性和灾难恢复（BCDR）解决方案应成为在发生攻击时维持运营的策略的一部分。考虑添加旨在快速还原的SaaS备份解决方案，因为勒索软件可以攻击网络和应用程序。比如透过快照来迅速保存不同时间点的档案、文件夹，甚至是整个Volume，并且随时进行还原。

6、加强安全意识教育

员工安全意识淡漠，常常不了解攻击的迹象，这更容易让组织受到攻击。为了管理风险，组织必须经常提供网络安全培训，以确保员工可以发现并避免潜在的网络钓鱼电子邮件，这是勒索软件的主要入口。将该培训与网络钓鱼演练结合使用，以掌握员工的脆弱点。确定最脆弱的员工，并为他们提供更多的支持或安全措施，以降低风险。

7、检查、检查再检查

每三到六个月对网络卫生习惯、威胁状况、业务连续性计划以及谁可以访问您的资产进行一次审核。通过这些措施不断改善安全计划。

组织需要了解风险，并主动防御勒索软件攻击并减轻其影响。没有专门网络安全团队资源的组织应考虑与经验丰富的托管服务提供商（MSP）合作，以帮助组织免受勒索攻击。

参考资源

【1】https://research.checkpoint.com/2020/ransomware-evolved-double-extortion/

【2】https://www.securityweek.com/double-extortion-ransomwares-new-normal-combining-encryption-data-theft

声明：本文来自天地和兴，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。