ENISA 2022勒索软件攻击的威胁图景(上)

admin 2022年11月21日18:27:56评论41 views字数 8049阅读26分49秒阅读模式
写在前面:ENISA通过LEDS矩阵对勒索软件做了定义,而且更系统地介绍了勒索软件整个产业和生命周期。全篇没有细节的技术描述,但叙述清晰,结构明了,确实对整个勒索软件产业有了全面认识。
2022年7月

关于ENISA

        欧盟网络安全局(ENISA),成立于2004年,是欧盟致力于在整个欧洲共同实现高水平网络安全的机构,《欧盟网络安全法》(EU Cybersecurity Act)对其进行了强化。欧盟网络安全局使用网络安全认证计划,提高信息通讯(ICT)产品、服务和流程的可信度,对欧盟的网络政策做出贡献,和成员国及欧盟机构合作,帮助欧洲为未来网络挑战做好准备。通过知识共享、能力建设、意识提高,和关键参与方一起合作,加强对互联经济的信任,提高联盟基础设施的弹性,最终确保欧洲社会和公民数字化安全。
        关于ENISA及其工作的更多信息,请参考www.ensia.europa.eu。

总纲

       在过去的十年里,勒索软件已经成为最具破坏性的攻击类型之一,影响着全世界各种规模的组织。网络攻击者快速适应新的商业模式,利用网络犯罪生态系统来更高效地分配人力。勒索软件显著扩大了自身的影响力,没有什么生意是安全的。
       本报告通过对照和研究2021年5月至2022年6月实际发生的勒索病毒事件,带来新的见解。研究结果令人担忧,勒索软件已经适应现状和不断进化,变得更有效、造成更大的破坏性攻击。企业不仅要做好资产被勒索软件盯上的准备,还有他们最私密的信息被盗,可能会泄露或卖给网上出价最高的人。
       报告的主要亮点包括:
  • 一个新颖的LEDS矩阵(代表上锁,加密,删除,窃取),精准映射勒索软件对目标资产执行的动作;
  • 勒索软件生命周期的详细深入分析:初始访问,执行,对目标的动作,勒索和赎金谈判;
  • 收集和深入分析从2021年5月至2022年6月,623起勒索软件事件;
  • 勒索软件每月从目标组织窃取超过10TB的数据;
  • 根据分析,大约58.2%的被盗数据包含基于GDPR的个人数据;
  • 在95.3%的事件中,不清楚威胁行为者如何获得目标初始访问权限;
  • 据估计,超过60%的受影响组织可能已经支付了赎金;
  • 发现了至少47个独立的勒索软件团伙。
       报告还强调了勒索病毒事件的报告问题,以及我们对这类事件的了解和信息仍然有限的事实。这份报告的分析表明,公开披露的事件只是冰山一角。
       在受到勒索软件攻击情况下,与一般建议联系网络安全主管部门和执法机构,提出了其他几个建议,既要建立抵御此类攻击的弹性,又要减轻其影响。

1. 介绍

       在过去几年中,勒索软件的威胁一直排在ENISA威胁图景的首位,特别是在2021年,它被评估为整个欧盟主要的网络安全威胁。对金钱的贪婪,推动勒索软件商业模式在过去十年里呈指数级增长,预计到2025年将耗资超过10万亿美元。                            
       借助网络犯罪即服务的新方法,勒索软件商业模式向更专业化和更有组织的劳动分工演变,已经变成了一种商品。如今,对于任何具备基本技术技能的人来说,快速执行勒索软件攻击似乎都更简单了。加密货币的引入、受影响公司支付的赎金、以及更有效的分工,都极大地推动了勒索软件的增长,产生了灾难性的全球影响。
       尽管勒索软件并不新鲜,但技术不断发展的背景下,攻击和漏洞也随之增加,迫使组织始终为勒索软件攻击做好准备。许多情况下,维持运营需要做出艰难的决定,例如支付或不支付赎金,因为这笔钱最终助长了勒索软件活动。尽管一年来,一直建议不要满足赎金要求,并与相关网络安全主管部门联系协助处理此类事件。
       本报告通过对2021年5月至2022年6月期间发生623起勒索软件事件的仔细研究,为我们带来了勒索软件威胁新的角度,对这些事件进行了深入分析,识别他们的核心要素,对一些重要问题提供答案,如攻击如何发生,支付赎金了吗?哪些部门受到的影响最大?报告的重点是勒索软件事件,而不是威胁行为者或工具,旨在分析实际发生过的勒索软件攻击,而不是勒索软件能带来什么。本勒索软件威胁图景是根据最近出版的ENISA网络安全威胁图景方法论开发而成的。
       报告首先明确定义了什么是勒索软件,因为它跨越各个维度、包括不同阶段,已被证明难以说清。通过对勒索软件类型的新颖描述,打破了传统的分类,关注勒索软件执行的四种操作,即上锁、加密、删除和窃取(LEDS),以及这些动作所针对的资产。通过定义勒索软件的类型,这样就有可能研究勒索软件的生命周期及其商业模式。利用对623起事件及其精确统计的总结,这些勒索软件的特征引出了本报告的核心。报告最后强调给读者的建议和关键结论。
       报告的结构如下:
第一章,绪论,简要介绍了勒索软件攻击的问题和专门的ENISA勒索软件威胁情况报告;
第二章,重点在勒索软件自身,讨论了什么是勒索软件及其关键元素,以及提出LEDS矩阵,基于执行的操作和目标资产以对照勒索软件的能力;
第三章,勒索软件生命周期,给出了勒索软件攻击详细的概述;
第四章,勒索软件商业模式,讨论勒索软件商业模式的演变,以及信任如何成为勒索软件业务的关键;
第五章,勒索软件事件分析,详细研究2021年5月至2022年6月的勒索软件事件,包括事件的时间线;
第六章,建议,对更好地保护勒索软件事件,提供了高水平的建议;
第七章,结论,强调了本研究最重要的结论,它们如何潜在地影响未来的威胁格局。

2. 勒索软件详述

2.1 定义勒索软件
       勒索软件的定义一直模糊不清,不相称的描述随着勒索软件的演变而被不断修改。在前人工作的基础上,本报告中勒索软件的定义如下:
       勒索软件是一种攻击,威胁行为者控制目标的资产和要求赎金以换取资产的可用性和机密性。
       每一次勒索软件攻击都有三个关键因素:资产、动作和勒索。资产和动作将在下一节中讨论。勒索是勒索软件攻击最后一个关键元素,威胁者通过使用威胁来胁迫目标要求以资产的可用性作为回报。许多要挟手段被用来强迫目标满足赎金要求:公开攻击、泄露部分或全部数据、针对目标基础设施和其他设施的分布式拒绝服务(DDoS)攻击。虽然勒索更常见是经济动机,勒索软件威胁者也会优先要求其他东西作为交换,例如改变公司政策,获取新软件功能或者让目标感染他们的社交圈。
       注意,此定义不依赖于所执行的操作,如加密或窃取;或要求赎金的类型,钱或其他,都具有本质上普遍性。

2.2 勒索软件的类型
       定义勒索软件的类型非常困难,因为勒索软件的概念已经进化,勒索软件的技术能力与其他恶意软件相似。直到2010年代中期,勒索软件通常只关注一两个动作,比如加密或锁住文件。这可以很容易将勒索软件分成加密和锁屏勒索软件。然而勒索软件不再局限于这样的描述,它的发展已经使这样简单的分类不再足以表示它。
       由于在命名勒索软件时缺乏同质性,在网络安全行业情况变得更加复杂,以及相信各种类型相互排斥的传统,加密勒索软件只被期望加密文件,而不做其他任何事情。因此,我们建议不要从勒索软件的类型、而是从它们针对目标资产执行的动作来讨论。
       勒索软件可以执行四种核心动作:上锁、加密、删除和窃取。我们将这四个核心动作称为LEDS(上锁、加密、删除、窃取)。勒索软件可以阻止对资产的访问,例如锁定屏幕,或阻止对特定应用程序的访问;它可以加密资产,使其不可用;它可以窃取资产,损害它的可用性以及最终的保密性;最后,它可以删除资产,使其永久不可用。
       资产是对业务或组织有价值的任何东西。勒索软件最常见的目标资产是文件和文件夹。在大部分操作系统中,大多数资产在技术上都是一个文件,因此,需要清楚差异,例如,勒索软件加密目标组织中的所有文件,或勒索软件只加密运行web服务器的部分代码文件。然而,这可能误导好像这些是唯一的目标资产。其他目标资产可能包括数据库、web服务、内容管理系统、屏幕、主引导记录(MBR)、主文件表(MFT)等。
       使用动作和资产允许我们在表1中表示当前勒索软件的能力。这张表只显示了当前勒索软件被分析的能力,很明显,很多组合都缺失了,随着勒索软件的发展,还有变化的空间。因此,ENISA将在这项工作的未来更新中对此进行监测。
ENISA 2022勒索软件攻击的威胁图景(上)
表1:根据执行的动作和针对的资产,当前勒索软件具有能力

2.3 LEDS动作
2.3.1 加锁
       锁住资产的操作可能意味着非常不同的事情。就手机屏幕而言,可以很简单,改变手机密码和锁定屏幕。在应用程序例子中,它可以通过更改凭证来访问它,硬件也是如此。特别说明,我们不认为加密行为是上锁,因为它包含在加密动作中。

2.3.2 加密
       加密指的是使用加密算法使文件、文件夹或文本的内容,只提供给那些知道使用的加密算法和拥有解密密钥的人。加密可以使用不同类型的加密算法,可以部分加密资产,不同的加密类型,根据加密发生的地点:只在客户机中进行,或者在客户机和服务器中进行。

2.3.3 删除
       删除行为是指通过命令操作系统删除文件的行为。可以是官方的操作步骤(大多数操作系统中,它只删除文件夹结构中文件的引用)或通过重写其字节来删除文件。在内存数据库的情况下,删除是要求数据库删除文件的动作。删除可以也可以使用官方仪表板对云环境中的虚拟机进行操作,不涉及到操作系统。删除文件并不意味着该文件被加密或偷取。

2.3.4 窃取
       窃取行为是指将资产复制到攻击者的控制之下。它可以通过将数据外泄到互联网,或将数据复制到不为资产所有者所知的秘密本地文件夹。特别注意,窃取并不意味着删除或加密。

2.4 被勒索软件攻击的资产
       以下资产是我们研究汇总,最常见的勒索软件攻击目标。随着勒索软件入侵有漏洞系统,这个名单未来可能会扩大。
ENISA 2022勒索软件攻击的威胁图景(上)
表2:勒索软件事件中常见资产

3. 勒索软件生命周期

       勒索软件的生命周期一直没有改变,直到2018年左右勒索软件开始增加更多成熟的勒索技术。我们可以确定勒索软件攻击的五个阶段:初始访问,执行,对目标的行动,勒索和赎金谈判。这些阶段并不遵循严格的顺序,可能会有所不同。
       我们需要澄清和强调的是,对于勒索软件攻击的受害者,不推荐赎金谈判。联系网络安全主管部门和执法机构是处理这类事件的建议方法。但在描述典型的勒索软件事件的生命周期时,我们选择包括这一阶段,因为在一些情况下,这一阶段确实发生了。
       图1描述了勒索软件攻击的生命周期,遵循典型的事件流程,从初始访问到赎金谈判,包括行动和资产,以及什么构成了勒索。下面的小节将进一步讨论每个阶段。
ENISA 2022勒索软件攻击的威胁图景(上)
图1:勒索软件生命周期的五个阶段

3.1 初始访问
       勒索软件攻击的第一阶段是对目标的初始访问。勒索软件使用其他攻击可能使用的同样入侵技术,包括利用软件漏洞、通过窃取的凭证访问、网络钓鱼等。在这份报告中,我们不会介绍这些技术是如何演变的。
       找出勒索软件针对目标当前使用的初始访问技术是非常具有挑战性。问题是被入侵组织由于缺乏事件报告,导致减少信息共享和学到的相关经验。报道这些事件的公开声明很罕见,在少数报道的情况下,它们没有包括攻击如何发生的细节,勒索软件攻击了他们什么目标,他们可能拿走了什么,要求多少赎金。很多时候,信息没有分享是因为它可能不为人知或因为受害者害怕进一步的对抗行动,或者最常见的,因为他们希望避免声誉受损。

3.2 执行
       在初始访问后,威胁行为者可能研究目标,横向移动到其他计算机和使用攻击技术以确保发现更多的资产被利用。这个活动可能需要几周的时间,这取决于威胁行为者和规模,以及目标部署的防御措施。这种移动通常在勒索软件开始工作之前完成,当然勒索软件启动时,它仍可以在受害者的网络中横向移动。
       一旦资产被定位,在勒索软件被执行之前,通常会有一次清理行动,其中采取了一些动作,以确保勒索软件的正确工作,如:关掉安全软件、停止像数据库这样会干扰写操作的程序、停止系统、影子副本、日志等的恢复特性。
       下一步就是部署勒索软件。勒索软件可以直接部署或者它可以由第三方使用基于僵尸网络的恶意软件进行部署,就像在Ryuk这个案例中,使用了TrickBot和Emotet作为传递机制。

3.3 目标动作
       一旦部署,勒索软件就会通过一系列操作,攻击目标资产的可用性和/或机密性。这个阶段传统上被称为“目标行动”,在表1中对勒索软件的全部功能进行了讨论和映射。勒索软件行动不是立即发生,可以发生在最初感染系统数周后,攻击者能够有更多时间,访问更多内部系统。
       不能保证加密一定正确,也不能保证付款完成后文件正确解密。这是不推荐支付赎金的一个原因,因为不能保证它将是有效的。

3.4 勒索
       在资产的可用性被破坏后,威胁行为者接着勒索目标,以获取赎金换取资产可用。勒索的三个主要组成部分是沟通、威胁和要求。沟通是通知目标正在发生什么,例如,资产不再可用。威胁是如果不满足要求将会发生的损失或损坏。需求就是威胁行为者期望从中所获。
       赎金要求的沟通方式在过去十年里发生了变化,从私人沟通转向更多的公开沟通。早些时候,在受影响的系统中显示勒索声明,指示如何支付赎金和获取数据,以及如何与威胁行为者私下沟通进行协商。现在威胁行为者很常见公开展示勒索事件,包括资产受影响的信息,索要赎金,还经常公开诋毁目标。现在也很常见一些威胁行为者不仅胁迫目标,而且胁迫他们的客户、合作伙伴和利益相关方,以此对目标施加压力。
       勒索赎金的形式也在演变,出现了新的要挟形式。目标组织被威胁泄露部分和全部资产、删除资产、并将数据转售给出价最高的投标人(通常是目标的竞争对手)。目标还受到基础设施遭到分布式拒绝服务攻击(DDoS)的威胁,只有在赎金谈判成功后才会停止。
       勒索软件的需求也在进化,但比例较小。主要需求仍然是金钱,试图从赎金中获得经济利益。当目标付钱,威胁没有实现,威胁行为者获得声誉,允许他们继续行动。然而,需求并不总是金钱方面,有勒索软件要求公司增加或删除他们产品的软件功能,或要求目标感染他人以获得免费的勒索软件解密密钥。

3.5 赎金谈判
       勒索软件协商通常是威胁行为者和目标之间私人通信。我们需要再次强调,这不是一个建议的步骤,然而,从事件生命周期的角度来看,我们需要检查它,因为在一些事件中它已经发生了。谈判有两种结果:目标支付赎金或不付钱。很少听到目标组织或个人和威胁分子协商降低赎金要求获得成功的消息。
       不幸的是,很难确定谁支付了赎金,还是没有支付赎金,以及在哪一种情况达成了更低赎金的要求。这些信息通常不会公开。通常在报告中,报道了威胁行为者的总收入,但不是在单个威胁者层面上。还有一些威胁行为者,在成功付款后,从他们的公共网站会移除被泄露的目标名字。然而,一概而论是不全面的,假设所有不再出现在网页上的目标都支付了赎金,就像许多目标一样勒索软件网站漏洞百出,不稳定。此外,基于网络罪犯的声明来评估并不可靠。

4.勒索软件业务模型

       自从1989年观察到的第一个勒索软件事件以来,无论是技术上还是组织上,勒索软件都有了显著的发展。市场已经成熟到这样的程度,勒索软件已成为一种商品。在勒索软件即服务新的商业模式下,几乎任何人都可以进行勒索软件攻击。你可以把它买下来作为你大生意的一部分。一个勒索病毒家族和另一个勒索病毒家族之间没有明显的区别。然而,勒索软件组织和其他地下恶意软件一样复杂,有多个参与者、角色、问题、解决方案和文化。我们对勒索软件商业模式的探索,从更高角度俯瞰了威胁行为者从勒索软件攻击中如何创造、组织和获取价值。

4.1 个人攻击者
       最初,勒索软件攻击是由个人或非常小的团伙进行的。这些勒索软件攻击不像今天的攻击那么复杂,通常集中在自动化加密,不需要复杂操作配合。袭击者的目标是开发和传播勒索软件。很难知道哪个团伙作为单独个体开始行动,以及他们保持这种状态的时间。许多威胁行为者开始成为小的团伙,因为看起来这一行动需要大量的工作和协调,所以最终所有的攻击者都需要一个小团伙的组织。

4.2 团伙威胁行为者
       在现在被认为是传统勒索软件商业模式的情况下,单个团伙威胁行为者由多个个体组成,他们分享、分工和协调所有的操作的阶段:选择目标,分析目标的漏洞、执行攻击、生成恶意软件和感染、协调文件加密密钥、赎金谈判、然后拿到收入。同一团伙也通常开发所有的工具,设置支付系统,购买漏洞或执行成功的攻击所需的信息。这个商业模型仍然是主要的选择,虽然新的机会已经出现,如勒索软件即服务。

4.3 勒索软件即服务
       勒索软件即服务(RaaS)是威胁行为者组织提供的一种商业模式,他们向外部附属分支提供软件平台进行攻击。附属分支市场在网络犯罪组织中众所周知。分支项目是由一个威胁行为者集团操作(RaaS运营者),它合并了使用恶意软件和支付平台的外部附属机构。这种RaaS模型的出现可能是由于团伙威胁行动者类型的商业模式的成功,在赚了大量的钱后,出现了分享所开发恶意软件平台、获得数据、感染目标、以及在领域专业知识的机会。
       RaaS运营者开发勒索软件,并为附属分支提供软件平台去实施。RaaS附属机构进行勒索软件攻击,付款谈判,收取赎金和购买额外的漏洞或攻击需要的信息。这种类型的业务模型允许RaaS运营者获得多种收入流。收入来源之一通常是支付给附属机构的赎金比例,10-20%或更多,其他的收入来源可以是每月出售目标组织的数据,附属机构为访问该平台而支付的订阅费用,或为其他威胁行为者提供咨询。
       RaaS降低了进行勒索软件攻击的门槛。攻击者现在不需要知道如何编写自己的勒索软件。他们只需要知道如何进行攻击,RaaS运营者将提供勒索软件和操作平台。任何人都可以攻击,任何人都可以成为目标。RaaS平台还在网络犯罪平台引入了新的匿名水平,因为作为下属机构操作时,很少有人知道攻击者的真实身份。现在,以会员身份进入勒索软件比以往任何时候都要容易,获利后迅速退出,这一点已经在一些威胁行为者身上得到了证明。

4.4 数据经纪
       也称为数据掮客,勒索软件威胁者正在转向一种被称为数据经纪的新业务模式。在这个模型中,威胁行为者进一步利用窃取的数据,将其出售给出价最高的人。这还包括将获得的对目标的访问权转售给其他威胁行动者,实现进一步利用。

4.5 名誉是勒索软件业务成功的关键
       勒索软件的需求大多是出于经济动机。为了在业务上取得成功,勒索软件需要证明解密能够正常工作。通常,威胁行为者有机制来证明解密效果,例如解密示例文件。
       勒索软件操作者需要保持一定的恶名,否则,受害者不会支付赎金。勒索软件团伙的声誉还取决于它们的遵守诺言的情况。许多攻击者承诺,一旦付费,他们就会从他们的网站上删除这些公司,删除窃取的数据,不向公众泄露数据。一份报告显示18%的支付了赎金的公司的数据仍然被泄露,35%的支付了勒索软件的受害者无法恢复他们的数据。
       名誉很难衡量。2021年的一份报告表明,勒索软件事件的受访者中,有60%的人确实与他们的攻击者谈判,这表明受害者认为威胁行为者是值得对话的对象。
       尽管勒索软件威胁者似乎在某些情况下遵守了他们的诺言,但人们需要认识到,并不能保证支付赎金就能解决问题。不建议与网络罪犯谈判,在勒索软件事件中,联系执法部门和国家网络安全机构是被推荐的行动方针。
       此外,还有一些操作问题直接影响到勒索软件参与者的信任以及整个生态系统。勒索软件威胁者需要基础设施才能发挥作用,但这基础设施已经变得非常不可靠,网站没有更新、公共泄露链接过期、数据不可用、网站瘫痪。这种不稳定性产生了受害者之间的不确定性,因为很难确定是否勒索软件攻击真的发生,文件是否真的被盗,因此应再次联系有关部门。
(完)

原文始发于微信公众号(安全行者老霍):ENISA 2022勒索软件攻击的威胁图景(上)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月21日18:27:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ENISA 2022勒索软件攻击的威胁图景(上)https://cn-sec.com/archives/1420386.html

发表评论

匿名网友 填写信息