欧盟网络安全威胁之勒索软件和恶意软件

2023年9月21日16:57:07评论4 views字数 4985阅读16分37秒阅读模式

摘要

随着网络安全问题的日渐突出，越来越多的新型网络安全问题随之涌现。网络安全问题不仅仅具有破坏性，而且越来越聚焦于系统化的非法盈利。在2022年，欧盟网络安全局详细调研了欧盟区域内国家的网络安全事件，并发布了相应的报告。本文基于上述报告，聚焦于勒索软件和恶意软件两大子问题，对报告内容做进一步分析阐述。在勒索软件上，分析了当前主流的勒索软件的类型并探究他们之间的发展脉络与联系，同时指出低成本的网络钓鱼手段已经成为勒索软件的前置步骤，最后探究了勒索软件的执法治理。在恶意软件上，总结了过去欧盟国家范围内的安全事件，数据表明恶意软件的数目在不断增长，同时总结了恶意软件的流行攻击手段。本文对上述内容做进一步分析阐述，旨在通过对勒索软件和恶意软件的分析增加人们对上述两大网络攻击手段的了解，提升人们的网络安全意识。

1、勒索软件

1.1勒索软件的定义

勒索软件在近几年常常出现在大众视野中，受害者往往被要求使用加密货币付款才能被返回自己的数据。ENISA（The European Union Agency for Cybersecurity, 欧盟网络安全局）对勒索软件攻击的定义为：威胁实施者控制目标资产并要求赎金以换取资产的可用性。该定义涵盖了勒索软件攻击中存在的三个关键要素：资产、行动和勒索。突出了勒索软件更为直接的获取经济利益的目的。相比之下，NIST（National Institute of Standards and Technology, 美国国家标准技术研究院）对勒索软件的定义为：一种恶意攻击者对组织的数据进行加密，并要求付款以恢复访问的网络攻击行为。在某些情况下，攻击者可能还窃取组织的信息，并要求支付额外费用，以换取窃取的信息不向当局、竞争对手或公众公布。突出了勒索软件对信息的非法窃取。NIST的定义同样包含勒索软件攻击资产、行动和勒索的要素。

1.2 勒索软件攻击不断增多

当今勒索软件威胁仍在不断增大。我们分析了欧盟国家范围内的勒索软件相关的安全事件报告，并对勒索软件攻击事件中对数据的破坏性做了统计，整理为图1和图2所示。可以看出，勒索软件相关的安全事件仍然随时发生，其造成的破坏力却逐渐增大，收到损害的数据一年间增长了17倍，由2021年的8TB增长至2022年的136TB。值得注意的是，这些数据仅包含报告有报告的安全事件，实际发生的勒索软件安全事件数目会更多。

图1 ENISA观察到的重大事件的时间分布（2021年7月至2022年6月）

图2 2021年5月至2022年6月勒索软件事件时间分布。红色柱状图代表勒索软件事件。蓝色柱状图代表相应被盗数据的累计数量

1.3勒索软件攻击实例

2022年6月，ALPHV（又名BlackCat，著名勒索软件团伙）开始为通过公共互联网托管的个人受害者创建一个专用泄漏站点。使用网站的功能，员工或客户可以检查他们是否存在数据泄漏。信息传播在公共互联网上，速度往往更快，被缓存，被索引，因此这可能是一种有效的方式威胁行为者利用受害者支付赎金。此外，它允许第三方受害者的数据泄露以调查他们是否受到影响。

去年，我们看到并报道了当最初的受害者遭到侵犯并拒绝支付赎金时，直接联系第三方受害者的情况。然后他们要么向第三方索要赎金，要么利用这些影响客户向公司施压。

Industrial Spy是一个暗网市场，于2022年4月左右推出。该小组此前专注于数据盗窃，但是，自2022年5月以来，它也一直在进行勒索软件操作。该组织最初的受害者只收到一份指向他们泄漏地点的通知，但数据本身并未加密。受害者被鼓励“购买”其数据在竞争对手抢先购买之前。这个威胁行为人主动破坏受害者的网站，以显示赎金。这是一种不断变化的策略，就像在典型勒索软件感染的初始阶段，在有限的时间内该攻击不会公开，以便进行谈判并说服公司支付赎金。通常只有当一家公司拒绝付款或拒绝合作时，它才会出现在泄漏现场从而直接影响公司的公共关系和声誉。

受害者数据在泄露网站上发布的另一个新趋势是不提及公司名称。这种方法被Midas、Lorenz、Cheerscrypt和Everest等较小的RaaS（Ransomware as a Service, 勒索软件即服务，勒索软件攻击的一种商业模式，允许任何人注册并使用工具进行勒索软件攻击）群体采用，以便受害者在姓名公布前支付赎金。同时，这也给这些公司争取了更多时间来计划。

在2022年2月，Conti-RaaS集团的内部聊天记录被泄露，这发生在该集团明显公开退休之前。这些记录揭示了该集团的内部组织、业务运作以及团队结构，类似于其他企业一样，该集团由中层管理人员、人力资源经理、不同技术团队以及员工福利等组成。该团队主要工作是为员工提供带薪休假等福利。这些日志主要是俄语，并且除了聊天记录之外，还有其他类型的文件泄露了，例如文档、内部软件和屏幕截图等。

1.4 勒索软件的反制

在2022年1月，联邦安全局逮捕了REvil勒索软件集团的八名成员，其中包括俄罗斯联邦安全局（FSB）。该组织是2021年第二活跃的组织，以其对Colonial管道和Kaseya供应链的攻击而闻名。但是，由于目前的地缘政治局势，审判不太可能导致刑事判决。

此外，2022年2月，加拿大公民中的一名活跃于NetWalker勒索软件集团的人被判处七年监禁。该人在2021年被捕，当时NetWalker仍是一个非常活跃的勒索软件组织。尽管在2021年，我们看到执法部门采取了大量行动对抗勒索软件行为者，但今年执法部门对勒索软件威胁行为者的公开行动大大减少。

除了直接抓捕攻击行为有关人员外，有关禁止勒索软件的支付手段的立法也在讨论之中。在2021年，关于禁止勒索软件支付的立法一直在进行辩论。然而到2022年5月之前，这方面并没有任何变化或进展。但是，北卡罗来纳州随后宣布禁止公共实体支付赎金。自2022年6月以来，佛罗里达州也一直禁止机构支付赎金，并强制要求通知任何此类事件。此外，《网络事件报告法》规定在遭遇网络攻击后72小时内通知，并且不得支付勒索软件赎金。这些承诺是否有效仍有待观察，因为RaaS集团不会因为当地立法而限制自己。只有在更加全球化的背景下，这些法律措施才能变得更加有效。

2.恶意软件

2.1什么是恶意软件

恶意软件（也称为恶意代码或恶意逻辑）是一种软件或固件，旨在执行未经授权的过程，从而对系统的机密性、完整性或可用性产生不利影响。这些不良影响可能包括病毒、蠕虫、特洛伊木马、感染宿主的其他基于代码的实体、间谍软件和某些形式的广告软件等。

恶意行为者通常使用恶意软件来进行活动，以获得和保持对资产的控制、逃避和欺骗辩护，并执行妥协后的行动。病毒、蠕虫和特洛伊木马在感染媒介、复制、分布和传播以及攻击者控制等方面各不相同。从技术角度来看，我们还可以区分具有不同类型功能的组件，例如有效载荷、滴管、妥协后工具、后门和包装器等。攻击中使用的恶意软件组件取决于威胁行为者的目标。这可以通过控制系统和网络（如初始访问代理、僵尸网络）或通过数据（如勒索软件威胁参与者、信息窃取）使其不可用。总体而言，勒索软件被视为一种顶级冲击威胁。

2.2恶意软件的安全事件数量

开发包含恶意软件的组件需要特定的专业知识。随着时间的推移，恶意代码经常处于不断开发中，以适应受害者环境的不断变化。这些代码被出售、共享、窃取和重新使用，使得正确确定恶意软件活动中的威胁行为人成为了对研究人员和执法部门的挑战。恶意代码很流行，新的恶意软件家族和菌株也经常出现。因此，抵御攻击和威慑威胁行为体是一场持续而不平衡的战斗。图3显示了2021年7月至2022年6月期间有关恶意软件安全事件的报告数目。可以看出，恶意软件安全事件数目相对勒索软件更加多。

图3 ENISA观察到的重大事件时间分布（2021年7月至2022年6月）

2.3恶意软件安全事件趋势

新冠肺炎疫情下降后，恶意软件报告数量再次上升。2020年和2021年初，全球恶意软件数量出现了下降趋势。这一现象可以归因于新冠肺炎大流行和员工在家工作的事实，从而限制了恶意软件感染的可见性，通常在公司基础设施中发现。然而，随着更多的人开始返回办公室，到2021年底，恶意软件数量急剧上升。尽管有更多的恶意软件出现，但数据表明，增长并不是线性的。目前，恶意软件主要是加密劫持和物联网恶意软件。

针对物联网的恶意软件数目几乎翻倍。物联网恶意软件在2021年有所增加，并且2022年上半年的变化表明物联网目标的普遍性恶意软件几乎翻倍。在2022年的前6个月中，攻击量已经高于记录过去4年。研究表明，2022年前几个月，Mirai僵尸网络承担了大部分攻击，数量超过700万次。另一个大型僵尸网络Mozi自2021年第三季度以来略有增长，检测到超过500万次。

针对开源框架的供应链攻击也在兴起。恶意软件也可以通过所谓的供应链攻击进行分发。开源框架经常被克隆并使用受感染的恶意软件进行目标感染，以将其作为工具或软件包包含在项目中。由于任何人都可以在开源平台上发布软件包，因此恶意软件注入通常会在很长一段时间内处于警戒状态。

Python库遭到恶意攻击。攻击者在这样的存储库中引入新的包名称，与流行的包非常相似，以增加其被引用的可能性，或者攻击者通过公关方式出现，而不是作为攻击者。在2021年8月，研究人员追踪了大约8个恶意Python库，当时已下载超过30000次。另一个用例是使用流氓Python库窃取凭据等信息。在2022年6月，发现了pygrata和loglib提取AWS密钥。在2022年8月，研究人员发现了10多个类似的包裹。AsciI2text是这类恶意软件的一个例子，它将查找本地密码并将其上传回攻击者的基础设施。这些攻击可以在常见和流行的存储库（如NPM、Python和RubyGems）中找到。

2.4国际背景下的针对性目标攻击

据一份报告显示，2022年6月，广告软件木马下载量约为1000万次。谷歌一直在快速删除恶意应用程序，但它们通常会在很长一段时间内被忽视。广告软件将出现侵入性广告，并试图向用户订阅优质和昂贵的服务。此外，在整个2021和2022年，目标移动恶意软件仍然是一个重要威胁。在上一个在报告所述期间，我们讨论了NSO间谍软件Pegasus。我们还看到了来自其他国家的更多针对性袭击组织，如间谍软件开发商Cytrox350的捕食者公开报告显示袭击者通常是政治反对派、记者和活动家的成员。

乌克兰背景下的恶意软件问题暗流涌动。2022年1月，确定了一种入侵活动，即主引导记录（MBR）擦除器活动，该恶意软件袭击了乌克兰的多个组织。尽管该恶意软件与勒索软件相似，但它不包含任何恢复功能。它的主要目的是破坏数据和系统，使其不可用。自那以后，发现了许多针对乌克兰的破坏性恶意软件，包括WhisperGate、HermeticWiper、IsaacWiper、Hermetic Wizard和CaddyWiper。此外，还发现了恶意软件垃圾邮件活动（Tesla代理和Remcos），这些活动是在乌克兰-俄罗斯重新利用升级引诱受害者开启恶意攻击的冲突中发现的。

3.防护方法