【编者按】勒索软件是一种日益严重的威胁,最近几个月,此类网络犯罪的复杂性和创新水平不断提高。Threatpost近期发布了2021年勒索软件演变趋势报告,从勒索软件新趋势、勒索软件攻击成本、网络保险助长勒索软件支付激增和避免勒索软件攻击实用指南等方面,分析了近期勒索软件发展的新趋势。

一、勒索软件的新趋势

今天的勒索软件团伙比以往更加危险和猖獗,随着勒索软件攻击被证明越来越有利可图,攻击者也在不断利用新的技术和方法。

例如在2021年2月,制作了《赛博朋克2077》和《巫师》系列的视频游戏开发公司CD Projekt Red遭受了一次勒索软件攻击,攻击者威胁要将窃取的公司数据放到网络上,包括游戏源代码。

这是从劫持计算资源到使用窃取数据进行勒索转变的一个里程碑。这起事件表明,勒索软件团伙正在网络犯罪最赚钱的领域不断创新。

1、勒索软件数量继续增长

根据Positive Technologies数据,2020年第三季度,勒索软件攻击数量创纪录增长,占同期所有恶意软件攻击的一半以上。与此同时,Check Point报告称,与前六个月相比,2020年第三季度勒索软件攻击日均增长50%,仅勒索软件Ryuk一家每周就攻击20家组织。

增长的原因十分明显,这是一项有利可图的游戏。NinjaRMM的《2020勒索软件弹性报告》数据显示,勒索软件事件导致35%的组织损失在100万至500万美元之间。

在2021年,持续看到恶意软件运营商自身和勒索软件即服务(RaaS)供应商的攻击浪潮,这些勒索软件供应商提供对勒索软件工具包的访问,以换取受害者一定比例的赎金。随着勒索软件继续激增,有几个新出现的趋势需要密切关注,包括代码调整、敲诈勒索的新冒险、受害者群体变化、以及攻击Kubernetes和Docker等云资源的行动。

2、勒索软件代码更改

最重要的是,勒索软件团伙会在他们的武器库中增加一些技术手段,包括旨在更好地躲避侦查的手段。

有些勒索软件,如Maze和Snake,使用沙箱检测和绕过技术来隐藏它们的存在,使其不被测试虚拟环境中的文件行为的安全工具发现,此类功能将越来越多地出现在勒索软件代码中。

除了能够更好地避开侦查,勒索软件组织还在寻求更广泛的攻击目标。因此,他们开始采用多平台方法,不再只滥用Windows代码。本着扩大攻击服务的目的,一些勒索软件样本已经加入了对云中脆弱目标的不间断扫描和蠕虫般的自传播。

勒索软件组织将利用勒索收入来扩大进攻能力,购买或开发自己的零日攻击,以获得对受害者网络的初步访问。这将确保他们能够在周边和网络钓鱼防御系统改进的情况下继续危害组织。

3、不断演变的TTPs和勒索

随着技术的改变,勒索团伙也在改变其技术、战术和程序(TTP),以改进他们的勒索行动。

主要的变化是,勒索软件团伙意识到,他们获得的网络管理权限可以做任何事情,而不仅仅是加密文件、数据和操作系统,还包括窃取机密和关键数据,并威胁如果不支付赎金,就将这些数据公布给黑客、竞争对手或公众。

这种双重勒索策略很快被大多数团伙所采用,并且随着时间的推移,这种模式得到了改进,包括窃取所有发现的企业、员工和客户登录凭证;威胁公开受害者的数据;并创建定制的“点名羞辱”网站来宣传勒索要求,并泄露数据。

今年出现了一种新型勒索策略,如果攻击者从公司的文件或通信中发现不利信息,就会把攻击目标对准公司的个人、客户或合作伙伴。

随后,勒索软件组织可能很快就会要求双倍支付:一种是解密数据,另一种是不发布数据。

还有另外一种策略是,如果受害者不支付赎金,就会发起分布式拒绝服务(DDoS)攻击。因此,即使受害者清除了系统中的勒索软件,可能仍然会发现自己的运营中断。

4、云也存在被勒索的可能

随着公司继续转向云来支持其数字转型,云本地资源也引起了勒索软件运营商的兴趣。

最具创新性的攻击之一是云原生水坑攻击,这是由于云原生技术的迅速采用,这些技术在本质上是异常不变和短暂的。像容器这样的云本地技术的持续部署需要供应链基础设施,比如来自Amazon、Docker和Google等的容器可信注册表,以便交付像容器映像这样的云本地工件。攻击载体涉及攻击者破坏容器信任注册表中的容器映像,这成为一种基于供应链的方式来渗透受害者的整个Kubernetes群集。

容器映像存储应用程序代码和运行应用程序所需的依赖项,容器映像通常存储在一个集中的容器存储库中,如Docker Hub。容器协调器(如Kubernetes)从Docker Hub等存储库中提取容器镜像。因此,如果攻击者能够成功破解流行的基本镜像(如Ubuntu或WordPress),就可能允许攻击者在看似合法的镜像中植入勒索软件。

这种威胁不仅仅是理论上的,Docker Hub在2019年报告称,有19万个账户被攻击。这些凭据可能允许攻击者修改账户有权管理的任何Docker映像,从而将新更新推送到包含勒索软件的现有Docker映像。然后,当其他用户提取新映像并在其主机上运行时,他们会将勒索软件导入到他们的环境中。

无论是修改代码,采用新的勒索技术,还是转向云计算,勒索软件运营商都在不断进步,提高自身的能力,以便在不断变化的环境中蓬勃发展。

二、勒索软件攻击的成本

勒索软件攻击正在上升,对现实世界造成了什么影响?Threatpost针对正在应对勒索软件攻击的组织开展了一项独家调查,以了解其采取的缓解措施和防御措施。

根据PurpleSec最近的一份报告,自2018年以来,勒索软件攻击的数量跃升了350%,仅自2020年以来,平均赎金支付就增加了100%以上。与此同时,停机时间增加了200%,每个事件的平均成本也在上升。

Ragnar Locker、Ryuk、Egregor、Conti等勒索软件组织的攻击目标包括新冠疫苗制造商、零售商、银行、地方政府、学校、医院等。

不断增加的赎金金额也帮助勒索软件攻击者从普通诈骗团伙演变成拥有顶级网络安全人才的专业犯罪组织。

随着勒索软件攻击的威胁与日俱增,Threatpost决定通过其网络读者视角来审视勒索软件的前景。在所有120名受访者中,有近三分之一的人表示,他们曾是勒索软件的受害者。受冲击最严重的主要行业是科技和制造业(17%和15%),其次较平均分布在金融、医疗保健和关键基础设施领域。

1、付钱还是不付钱

在Threatpost民意调查的所有受访者中,一致认为支付赎金不是一个好主意。78%的人反对向敲诈勒索要求让步,42%的受访者表示,最主要的原因是网络罪犯不值得信任,支付赎金并不能保证解密密钥。受访者还认为,备份数据是应对攻击的最好方法。

16%的人表示,情况各不相同,而且可能很复杂,这取决于对业务连续性的影响以及处于风险中的数据的性质。如果医疗保健组织和制造商的设备和数据被加密,可能面临潜在的安全风险。在这种情况下,他们可能会选择最快的方案来获取数据。

在赞成支付的受访者中,约5%的受访者认为支付赎金比处理业务中断、数据丢失和补救更容易;另有2%的受访者表示,网络安全保险将涵盖任何赎金和相关费用。

2、防御和挑战

当被问及组织应该有哪些重要的防御措施来防范勒索软件攻击时,受访者指出,关键数据备份(24%)、用户意识培训(18%)和端点/设备保护(15%)是最“必须具备的”。

但实施这些防御措施说起来容易做起来难。受访者指出,在抵御勒索软件攻击方面存在一系列挑战。

组织将内部威胁作为首要挑战,29%的组织表示员工缺乏安全意识是一个问题。与此同时,19%的人表示预算紧张,包括没有资金部署或升级防御平台是一个问题;而18%的人表示缺乏补丁和遗留设备是最大的挑战。

三、网络保险助长勒索软件支付激增

当遭受勒索网络攻击时,越来越多的勒索软件受害者求助于他们的网络保险公司来支付赎金。但是安全研究人员警告说,这种方法很快就会产生问题。

根据Coalition去年发布的一份网络索赔保险报告,2020年上半年,勒索软件攻击占提交的网络保险索赔总数的41%。

在过去两年的攻击中,许多受到勒索软件攻击的公司承认,他们利用网络保险来处理赎金本身或随之而来的补救费用。

1、网络保险:应对攻击的金融缓冲

对于那些受到勒索软件攻击影响的公司来说,网络保险应该为那些受到攻击的公司提供财务缓冲。

勒索软件攻击的财务影响是多方面的,远远超出了赎金的支付范围,业务中断、收入损失、敏感数据和相关第三方责任的潜在暴露、取证和恢复专业知识,以及最终的违约辅导和勒索软件谈判,都可以包含在网络保险单中。

一些安全研究人员认为,网络保险专门用于谈判和赎金本身并不合适。

支付勒索软件的费用不仅会使一个组织陷入潜在的法律问题,还会向网络罪犯证明你资助了他们最近的攻击活动。

2、监管举措阻碍了网络保险的作用

为了应对全国各地针对政府机构的网络攻击不断上升的趋势,政府出台了一项禁令,将限制市政实体在受到攻击时支付赎金。此外,政府还建议建立一个“网络安全增强基金”,旨在帮助市政当局提升其安全状况。纽约州参议院2020年提出的一项类似法案也将禁止市政当局支付赎金,但参议院的S7289法案将忽略建立安全基金。

与此同时,美国财政部已将多个犯罪团伙列入其制裁计划,禁止美国实体或公民与他们支付赎金,包括CryptoLocker开发者Evgeniy Mikhailovich Bogachev、SamSam勒索软件组织、与朝鲜有关的Lazarus Group、以及Evil Corp及其领导者Maksim Yakubets。美国司法部于2020年10月扩大了制裁的适用性,称为代表客户向网络攻击者支付勒索费用提供便利的公司,即所谓的“赎金谈判者”,可能会因鼓励犯罪和未来的勒索软件支付要求而面临制裁。

四、防御建议

2021年勒索软件的发展现状意味着网络安全专业人士需要保持警惕。以下是针对勒索软件的预防性建议,可帮助组织避免丢失数据、敲诈勒索和攻击。

锁定远程连接:远程桌面协议是用于对云和本地资源进行远程会话的底层技术。对任何不需要使用这些服务的人禁用RDP服务器。此外,保护这些RDP配置,并强制使用强的、唯一的密码和多因素身份验证(MFA)。

禁用PowerShell:在可能的情况下禁用工作站上的PowerShell。如果无法禁用,请注意记录和监视PowerShell活动。

备份数据:从备份中恢复数据比支付赎金更有效。

主动打补丁:为所有操作系统和internet浏览器启用自动打补丁。确保防病毒签名是最新的,并盘点所有网络节点,包括虚拟节点和硬件。

限制管理权限和账户扩展:如果没有易受攻击的账户和权限,勒索软件就无法在公司基础设施中蔓延。限制IT员工的管理权限,并通过MFA保护敏感账户。同时要淘汰旧账户,58%的公司有1000多个非活跃账户。

安全意识培训:员工需要接受安全培训,以发现常见的威胁,并对通过电子邮件、协作应用程序、社交媒体等发送的可疑链接或文件保持警惕。注意影子IT并及时注销离职员工的账户。

网络安全保险:保险公司帮助承保一系列攻击后果,包括事故响应、系统恢复,在某些情况下,还需要支付赎金。

数据安全、业务连续性、供应链和外围防御是勒索软件威胁的目标。企业需要将勒索软件视为一个需要规划的未来事件,而不是一个假设的抽象概念。

云服务、远程员工和对联网设备(如HVAC系统)的依赖使任何企业都面临发生勒索软件事件的风险。这意味着要关注最新的勒索软件攻击,并尽可能多地收集有关威胁实际情况的知识。勒索软件犯罪的多变性表现在多个维度上,因此关注这些发展趋势至关重要。

参考资料:

【1】Threatpost Insider eBook,2021: The Evolution of Ransomware

声明:本文来自天地和兴,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。