勒索软件观察者正在寻找创造性的方法来跟踪攻击

admin 2023年5月9日10:29:12评论38 views字数 2864阅读9分32秒阅读模式

勒索软件观察者正在寻找创造性的方法来跟踪攻击

当您无法衡量问题时,就很难解决它。在过去十年中,这句格言主导了大多数关于勒索软件的讨论。

执法部门、企业和其他利益相关者大体上知道,成功攻击的节奏和数量在过去五年中变得非常糟糕,但由于缺乏标准化和受害者的报告,他们历来都在苦苦挣扎了解每年受灾的受害者人数、哪些行业,以及随着政策制定者在美国和国外实施一系列应对措施,这些数字是好是坏。

简短的回答是我们不知道,我们认为,勒索软件攻击在 2022 年略有下降之后,在 2023 年又出现了复苏。

但是如果你看看勒索网站,如果你看看 2023 年第一季度公开报道的攻击,这些攻击似乎会上升与我们去年这个时候看到的相比。

2023 年勒索软件攻击状况

随着关键基础设施实体开始遵守针对网络事件的新强制性报告要求,并且勒索软件付款将在明年完成,预计第一波实质性报告数字将出现。

与此同时,安全专家、立法者、保险公司和执法部门正在处理他们掌握的信息。随着数字勒索越来越成为围绕网络安全的政策讨论的重心,政府和私营部门的追踪者在围绕勒索软件生态系统及其目标收集或生成自己的数据方面也变得更好也更有创意。

私人研究人员正在收集他们自己的数据——在他们可以的地方

早在勒索软件高调到足以被美国总统提及之前,一些私人安全研究人员和公司就认识到受害者和攻击的可见性存在差距,并一直在寻找他们的方法来扩大影响范围,虽然可能不是决定性的,在跟踪不同部门和行业的趋势时可以提供一定程度的信心。

为遭受网络攻击的组织提供事件响应服务的大型企业通常拥有大量关于勒索软件的独特或非公开数据,他们可以使用这些数据来分析和推断趋势。其中一个组织 Mandiant 能够利用这些经验确定成功的勒索软件攻击在去年总体上似乎经历了明显的下降,然后又回升了。

基本上,我们正在研究的样本集每年大约有 1000 个 [事件响应参与],相对于我们不知道数量但相当大的更大数量的 [勒索软件事件],但是有了 1000,你可以肯定,这种规模的样本代表整个人口之间存在着非平凡的相关性。

Mandiant 的调查结果大体上与其他消息来源一致,这些消息来源也报告了去年勒索软件活动的类似停滞,但原因尚不清楚。大多数专家表示,可能有一系列促成因素,包括执法机构越来越多地针对勒索软件团体并对其进行破坏,越来越多的组织不愿意支付赎金,自2021 年殖民地管道事件、JBS 和 Kaseya 事件之后,许多组织试图低调行事。

但 Mandiant 和其他人可以根据手头的数据得出的结论仍然存在真正的局限性,而且这些数字仍然遗漏了许多未成功的勒索软件攻击尝试。

Mandiant 的首席技术官说:没有被报告为勒索软件统计数据的是所有那些发生在威胁行为者实际上没有能力窃取数据或部署解密器的情况下的入侵。有无数次我们接到电话,一家公司注意到他们的网络遭到破坏,我们能够快速帮助他们控制事件并根除威胁行为者,因此这些统计数据不会被纳入勒索软件统计数据。

其他公司已经找到了自己的方法来跟踪不同的部门或利用不同的信息来源来更清楚地了解事件。

Emsisoft 的分析师收集了他自己关于全国范围内针对学校系统和教育部门的勒索软件攻击的数据,通常是通过开源报告和个人研究相结合的方式。根据他掌握的数据,自 2019 年以来,至少有 266 个不同的学区和超过 330 万学生就读的学校受到勒索软件攻击的影响,这些攻击要么是数据被盗,要么是学校活动受到干扰。这包括今年的 24 个地区和 508 所学校。

Recorded Future 雇用了两名实习生,他们每周花大约 15 个小时来筛选当地报纸和新闻台,试图找到有关企业或政府遭受网络攻击的最新报道,然后进行进一步研究以确定它们是否与勒索软件有关。

他还关注了暗网上突然出现的新团体和泄密网站的流失情况。这些数字表明问题可能变得更糟,或者至少更复杂:在 2021 年,他从大约 40 个不同的泄密地点收集了数据。两年后,这个数字激增到 150 多个。

勒索软件市场的这种分裂让我们更难追踪和识别不断增长的毒株是什么,甚至是谁攻击了。

更积极的执法策略正在产生深刻的见解

在过去的几年里,司法部和联邦调查局采取了一系列破坏性行动来关闭或夺取黑客组织的基础设施,并使用他们自己的工具来对付他们。没有比Hive 勒索软件组织网站和基础设施被关闭更明显的了,FBI 官员表示,他们能够在几个月内悄悄地从该组织窃取加密密钥,并将其传递给受害者。

但据 FBI 华盛顿特区网络部门负责人称,它还帮助确认了有关私营部门勒索软件报告的内部数字。该局使用各种来源来跟踪问题,包括刑事调查、受害者自愿报告和互联网犯罪投诉中心的数据。

基于不同数据集的一般评估得出结论,FBI 可能收到了 20%(即五分之一)勒索软件事件的通知。该局通过破坏 Hive 的基础设施获得的广泛访问权限使他们对受害者群体有了独特的洞察力,并且官员们能够使用这些洞察力来验证这个数字。

Hive 勒索软件......证实了这一点,因此当我们能够更深入地了解一个特定的勒索软件变体时,我们在 Hive 勒索软件攻击中看到的大约 20% 是受害者向我们报告的。

FBI 曾(失败)尝试与网络安全和基础设施安全局一起被列为事件报告法规中的主要报告实体,但 CISA 主任已承诺与该局分享这些报告。

但 Hive 取缔的成功让官员们相信,私营部门更高的报告率将产生更多的见解,并为未来的高影响力行动创造更多机会。该过程的一部分是缓解围绕邀请联邦调查局或其他警务组织刺探和刺激他们的业务的紧张情绪,立法者正在寻找不同的方法来鼓励受害者提高报告率并明确表示此类参与的目的仅限于网络安全。

我们希望鼓励人们去该局,因为通常情况下,该局从一次攻击中学到的东西,他们可以与其他外地办事处分享,并且......如果你知道这些攻击的风格和方法,就可以建立取回密钥的能力。

加密货币追踪器正在揭开区块链的神秘面纱

勒索软件组织传统上要求以加密货币的形式付款,因为它被认为是匿名的,但这种情况在过去几年开始发生变化。

Chainalysis 1 月份的一份报告发现,发送到全球已知勒索软件地址的总资金从 2021 年的 7.655 亿美元下降到 2022 年的 4.568 亿美元,而受害者支付率自 2019 年以来几乎减半,从 76% 降至 41% 。

调查结果表明,许多组织可能正在听取 FBI 和其他政府机构的建议,他们敦促勒索软件的受害者不要付款,因为它只会为下一轮攻击提供资金和支持。也有可能一些公司对报告攻击持谨慎态度,因为许多与民族国家有关的勒索软件组织已被列入制裁名单。

Chainalysis 与 FBI、财政部和其他机构签订了追踪赎金支付和其他形式的数字犯罪的合同,而其他追踪公司的工作已成为揭示黑客利用加密货币空间方式的重要工具和罪犯。他们的发现还有助于政策制定者更好地理解如何更好地监管近年来日益成为不当行为代名词的行业。

有很多人真正将加密货币与犯罪和犯罪行为联系在一起,至少在密歇根州是这样并将其作为支付坏人的一种方式。不了解可能非常有趣的底层区块链技术。现在,他们将它与坏事联系在一起。

原文始发于微信公众号(网络研究院):勒索软件观察者正在寻找创造性的方法来跟踪攻击

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月9日10:29:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   勒索软件观察者正在寻找创造性的方法来跟踪攻击http://cn-sec.com/archives/1719334.html

发表评论

匿名网友 填写信息