勒索软件是一种恶意软件,它会夺取对受害者数据或设备的控制权,并向他们发出可怕的最后通牒:要么支付赎金,要么承担后果。无论是长期封锁还是大范围的数据泄露,威胁几乎总是足够高,足以说服受害者付费。
此 IBM Security X-Force 威胁情报指数 2023 年的报告显示,去年勒索软件攻击几乎占所有网络攻击的四分之一。勒索软件的流行是广泛影响的全球社会经济因素的结果 - 每个因素结合在一起都会对您的组织造成持续存在的威胁。
勒索软件攻击的阶段
从超复杂的攻击到利用简单的疏忽,几乎每次勒索软件攻击都会经历四到五个关键阶段。
第一阶段:利用漏洞
无论是技术堆栈中的某个漏洞,还是工作人员的单一疏忽,每次勒索软件攻击的主要阶段都是某种类型的访问向量。通常,薄弱环节可能是您自己的同事(甚至您自己!)。网络钓鱼是侵入原本安全的组织的最常见方式之一。这使得攻击者能够在 2023 年初对英国报纸《卫报》发起勒索软件攻击。
其他渗透尝试利用恶意网站或直接攻击软件漏洞。
第二阶段:释放 RAT
远程访问最常见于技术支持环境中 - 启用此功能后,您的 IT 团队能够帮助同事完成日常计算任务。远程支持使其他用户能够获得完整的管理权限,从而完全控制您 PC 上的每个进程。 RAT 在用户不知情的情况下安装到计算机上,从而扭曲了这一点。
攻击者通常使用 RAT 作为绕过既定安全措施的方法,而防病毒解决方案可以通过简单的文件签名检测来识别勒索软件,而远程访问木马则很难检测到预植入。 RAT 借助看似合法的文件(例如软件包和视频游戏),为任何诡计多端的攻击者提供了多种途径,为下一阶段的攻击铺平了道路。
第三阶段:侦察
一旦立足于受害者的系统,攻击者就可以开始窥探。主要重点是了解本地系统以及它们当前可以访问的域。从那里,他们可以自由地开始横向移动。这就是外围式安全的主要弱点所在。如果仅依赖单一防线,横向移动就会变得更加容易,最终的攻击也会更加广泛。然而,此时,攻击者正在积极扩大对系统的控制,并危害越来越多的特权帐户,同时尽可能保持隐秘。
第四阶段:渗透
在此阶段,攻击者已将其影响力渗透到组织的尽可能多的领域。然而,直到现在,才采取了任何直接有利于攻击组织的行动。重点转向识别和窃取数据——越敏感越好。勒索和勒索软件联合攻击的兴起归功于当今威胁管理环境。数据泄露会带来巨额罚款和一系列糟糕的公关;从攻击者的角度来看,这些数据还可以出售给网络犯罪机器的其他领域。至此,攻击者又发现了另一名受害者。无论接下来的最后阶段如何,他们都可能能够赚到他们想要的钱。
第五阶段:加密
最后,在秘密窃取大量公司数据(包括登录凭据、客户个人信息和知识产权)后,网络犯罪分子能够发动最后一击。加密勒索软件会通过受影响的网络访问它可以访问的每个文件,并在运行过程中进行加密。一些勒索软件的高级形式甚至更进一步,禁用允许最后一搏的系统恢复的功能,并删除受感染网络上的任何备份。然而,并非所有勒索软件都会加密:有些勒索软件会锁定设备的屏幕,甚至会用无休止的弹出窗口淹没用户。
最后,一旦设备及其相关文件无法访问,受害者就会通过勒索信得知自己的不幸命运。这通常以 .txt 文件的形式存放在计算机桌面上,并包含如何支付赎金的说明。
谁是勒索软件的目标?
每一次成功的攻击,勒索软件攻击者都会变得更加大胆,以造成最大痛苦的方式瞄准行业。近年来,一个领域成为特别无情的目标:关键基础设施。
对能源提供商的攻击可能会导致电网故障或家庭、商业建筑或其他关键服务提供商的能源输出不一致。发电厂、水处理设施、交通系统和通信网络都是过去几年特别关注的领域。这很大程度上是由于工业控制系统中隐藏的重大缺陷造成的,这些系统用于监视和控制这些关键基础设施组件。
施耐德电气和西门子这两家工业控制解决方案已经为攻击者提供了多链攻击路径。最近的一个例子是影响施耐德电气 ION 和 PowerLogic 功率计的缺陷。这些为制造、能源和水务部门的组织提供能源监控;该漏洞被标记为 CVE-2022-46680,其 CVSS 评分为 8.8 分(满分 10 分),并允许威胁行为者访问有助于他们更改配置设置和修改固件的凭据。
勒索软件攻击为何蔓延?
勒索软件攻击的数量持续飙升,部分原因是全球经济的变化。由于勒索软件是一种通常出于经济动机的攻击,因此贫困和财富不平等等社会经济问题在其流行中发挥了重要作用。在过去的几年里,这种情况也有所加速——部分原因是勒索软件现在是有史以来最容易获取的。有抱负的网络犯罪分子不再需要深入了解网络安全。相反,某些勒索软件开发人员选择通过勒索软件即服务 (RaaS) 安排来共享其恶意软件代码。在这种设置中,网络犯罪分子充当附属机构,利用预先编写的代码并与原始开发人员分享受害者的部分赎金。这种共生关系证明是互惠互利的:附属机构无需开发自己的恶意软件即可获得勒索的好处,而开发人员无需将自己置于第一线即可增加利润。
勒索软件案件增加的最后一个原因是地缘政治紧张局势。它是针对基础设施重量级人物的大规模运动背后的驱动力。国家支持的黑客的想法过去被孤立于攻击由恶意国家直接资助的行为者。现在,时代变了。随着俄罗斯入侵乌克兰,以及勒索软件的日益普及,无关的威胁行为者已经热情参与其中。铁路等关键基础设施已被自豪地停止——例如网络游击队对白俄罗斯铁路的黑客攻击,其目的是阻止俄罗斯士兵的行动。
勒索软件攻击的历史
从实验性软盘开始,勒索软件经过很长时间才演变成当今组织面临的超侵略性攻击。
1989 年:低技术的开端。 第一个有记录的勒索软件是艾滋病木马。勒索软件通过软盘传播,其诞生的技术含量却低得惊人。受害者计算机上的文件目录是隐藏的,然后勒索软件弹出窗口要求 189 美元才能显示它们。然而,由于它加密的是文件名而不是实际文件,用户最终能够自行逆转损坏。
2005 年:新的加密方式出现。 继 2000 年代初发生相对少量的勒索软件攻击后,感染数量开始激增,主要集中在俄罗斯和东欧。第一个使用非对称加密的变体出现了。随着新型勒索软件提供了更有效的勒索方法,越来越多的网络犯罪分子开始在全球范围内传播勒索软件。
2009 年:无法追踪的支付加入竞争。 加密货币(尤其是比特币)的出现为网络犯罪分子提供了接收无法追踪的赎金的途径,从而引发了下一波勒索软件活动。
2013 年:CryptoLocker 证明了自己。 现代勒索软件时代始于 CryptoLocker 的引入,标志着基于加密的勒索软件脚本的开始,这些脚本一旦部署,就会要求受害者以加密货币付款。
2015 年:RaaS 诞生。 Tox 勒索软件变种开创了勒索软件即服务 (RaaS) 模型,允许其他网络犯罪分子轻松访问和部署勒索软件以达到自己的恶意目的。
2017 年:WannaCry 登陆 NHS。 WannaCry 的出现标志着第一个广泛使用的自我复制加密蠕虫,使得勒索软件能够在网络和系统中快速传播。
2018 年:Ryuk 将目标瞄准了《华尔街日报》和《洛杉矶时报》。 Ryuk 受到欢迎,并确立了在勒索软件攻击中狩猎大型游戏的概念,以高价值组织为目标,以获得更大的赎金支付。
2019:双重勒索成为常态。 双重勒索软件攻击开始激增。 IBM 安全事件响应团队处理的大多数勒索软件事件现在都涉及数据加密,以及如果未支付赎金则威胁公开数据。
2023 年:线程劫持现在很流行。 线程劫持成为勒索软件的一个重要载体,网络犯罪分子将自己插入目标的在线对话中,以促进勒索软件的传播并增加勒索成功的机会。
为什么你不应该只支付赎金
2019 年,大多数勒索软件受害者最终都向攻击者支付了费用。然而,到 2022 年第一季度,这一数字有所下降。这在一定程度上要归功于压倒性的理由反对支付这笔关键的赎金。
您可能无法获得解密密钥
平均而言,到 2021 年,支付赎金的组织仅检索到了 61% 的数据。付费并随后收到所有数据的组织数量只有 4%。一旦黑客收到赎金,您的数据对他们来说仍然值钱——出售和泄露这些数据可以为他们提供更大的投资回报。
您可能会反复收到赎金要求
绝大多数支付赎金的受害者都会遭受更多的勒索攻击。 2022 年的领先报告 分析了组织简单地向攻击者支付费用后会发生什么,并发现再犯罪率高得惊人。在所有承认支付赎金的受害者中,80% 的受害者后来遭受了第二次攻击,其中 68% 的受害者在同一个月遭受了更高赎金要求的攻击。造成这种情况的原因之一是,那些选择付款的人被视为易受攻击的目标。 9% 第三次付款。
你很快就会触犯法律
美国财政部已经就未来的法律问题发出了咨询警告。参与勒索软件支付——无论是作为受害者、网络保险公司还是金融机构——都可能违反有关国际安全的法律。这很大程度上要归功于最后一点强调勒索软件的经济现实。
您资助犯罪活动
随着每一个受害者付出代价,黑客组织就能够开发出更先进的方法,使用恶意软件渗透到更容易受到攻击的企业。支付赎金不仅使勒索软件本身变得更糟,而且还直接资助经常资助此类公开和破坏性攻击的侵略性民族国家。
另一方面,黑客在犯罪活动中遇到的障碍越多,他们继续伤害其他公司的机会就会下降。
不同类型的勒索软件
勒索软件通常有多种不同的形式,虽然基于加密的勒索软件是最常见的类型之一,但加密敏感数据并不是组织数据被窃取的唯一方式。
假冒安全软件
恐吓软件是勒索软件的低技术表亲。通常,它们会看到恶意有效负载启动一条声称来自执法部门甚至来自合法病毒感染的消息。它可能会将用户引向假冒的防病毒软件,让受害者为下载自己的勒索软件的特权付费。
屏幕锁
这种形式的勒索软件不是通过加密来阻止用户访问,而是通过简单地从一开始就阻止用户与其任何文件进行交互。锁定受害者的整个设备通常是通过阻止对操作系统的访问来实现的。该设备没有像往常一样启动,而是简单地显示赎金要求。
雨刷
虽然基于加密的勒索软件经常以一切恢复正常的承诺来引诱受害者付款,但擦除器采取了更激进的方法。如果不支付赎金,赎金将威胁要销毁所有数据。即使受害者付费,数据也常常被删除。擦拭器的巨大破坏潜力使其成为民族国家行为者和黑客活动分子特别常用的工具。
流行的勒索软件变种
在混乱且不断发展的勒索软件领域,变种可能前一秒还在,下一秒就消失了。过去十年里,有四个主要参与者进入了这个领域,每个参与者都在推动非法行业进入新领域方面发挥了独特的作用。
WannaCry
WannaCry 是加密蠕虫的第一个突出例子,这种勒索软件能够传播到网络中的其他设备。它针对 200,000 个国家/地区的 150 多台计算机,利用 Microsoft Windows 中管理员未能修补的 EternalBlue 漏洞。除了加密有价值的数据外,WannaCry 勒索软件还构成如果在 XNUMX 天内未收到付款则擦除文件的威胁。
WannaCry 攻击是迄今为止记录的最大勒索软件事件之一,预计造成的损失 高达4亿美元。其广泛影响和快速传播凸显了未修补的漏洞和系统管理员的疏忽在面对此类网络威胁时可能产生的严重后果。
魔鬼
REvil,也称为 Sodin 或 Sodinokibi,在传播勒索软件的勒索软件即服务 (RaaS) 模型的普及方面发挥了重要作用。这种方法允许其他网络犯罪分子访问并利用 REvil 勒索软件进行自己的恶意活动。 REvil 因其参与大型狩猎攻击和双重勒索策略而臭名昭著。
2021 年,REvil 对 JBS USA 和 Kaseya Limited 发起了重大攻击。美国著名的牛肉加工企业 JBS 遭遇中断,导致支付 11 万美元的赎金。这次袭击影响了 JBS 在整个美国的牛肉加工业务。软件提供商 Kaseya Limited 发现,由于此次攻击造成的严重停机,有超过 XNUMX 名客户受到影响。
2022 年初,俄罗斯联邦安全局表示,他们已解散 REvil,并开始对其几名成员过去的罪行提出指控。
Ryuk
Ryuk 勒索软件于 2018 年首次被观察到,它率先发起了专门针对高价值实体的“大型勒索软件”攻击;他们的赎金要求经常超过一百万美元。 Ryuk 凭借其识别和禁用备份文件和系统恢复功能的强大能力,能够瞄准此类成功的组织。 2021年,鉴定出一种具有隐虫能力的Ryuk新毒株,进一步增强了其快速、广泛感染的能力。
阴暗面
DarkSide 是一种勒索软件变种,据信是由一个疑似位于俄罗斯的组织运营的。 7年2021月45日,DarkSide对美国殖民地管道进行了重大网络攻击,这被认为是迄今为止对美国关键基础设施最严重的网络攻击。由于这次袭击,负责向美国东海岸供应约 XNUMX% 燃料的管道被暂时关闭。
DarkSide 组织不仅进行直接勒索软件攻击,还向其他网络犯罪分支机构许可其勒索软件,从而使该组织能够扩大其影响范围和利润。
如何防范勒索软件
彻底调查勒索软件攻击的来源并采取适当措施解决问题至关重要。如果攻击源自员工点击有风险的链接,则加强员工培训非常重要 识别网络钓鱼攻击 并强调维护安全、唯一密码(例如密码短语)的重要性。为所有设备和员工实施双因素身份验证软件可以提供额外的保护层。
定期更新软件和硬件对于减少潜在漏洞至关重要。为了跟上攻击者不断演变的策略,必须加强网络安全基础设施。定期配置网络有助于拦截恶意流量,并使犯罪分子更难瞄准您的组织。
识别任何安全漏洞并及时解决它们至关重要。每个安全事件都应被视为深入了解基础设施漏洞和增强整体安全态势的机会。安全是一个持续的过程,需要不断的测试和改进才能领先于潜在的威胁。
LayerX 如何防范勒索软件
随着勒索软件策略的不断发展,为攻击者铺平道路的漏洞也发生了变化。与此同时,浏览器已成为现代工作空间的核心组件,从托管应用程序到完全未经批准的应用程序也是如此。位于受保护端点的安全环境和万维网之间是这些应用程序的独特交集,也是许多组织的弱点。
LayerX 通过引入深度粒度来保护企业安全团队无法控制的资产。这会挑出任何可能引入勒索软件或 RAT 下载风险的活动。由于注重实地保护,LayerX 可以在用户配置文件级别使用快速安装的浏览器扩展进行部署。用户至上的可见性与 LayerX 威胁情报云最前沿的行业领先分析相结合。在主动识别高风险元素后,LayerX 的执行者元素会果断地采取行动,消除任何广泛加密的威胁,而不会造成用户中断的威胁。借助 LayerX,组织可以在用户访问网络的任何地方部署全面保护。