0226-2023年全球勒索软件攻击代表性事件回顾-8种常见又危险的特权攻击路径分析

admin 2024年2月26日13:55:58评论16 views字数 7512阅读25分2秒阅读模式

2023年全球勒索软件攻击代表性事件回顾

0226-2023年全球勒索软件攻击代表性事件回顾-8种常见又危险的特权攻击路径分析标签勒索攻击

2023年以来,全球勒索软件威胁形势持续恶化,各种类型的勒索攻击规模和破坏性均有明显增长,这严重威胁了企业组织数字化业务的稳定开展。

研究人员还发现,2023年勒索软件攻击在实施策略上相比以往也有了显著变化,攻击者不再以加密数据的方式来索要赎金,而是更倾向于盗窃数据,然后以数据公开或售卖等形式对企业进行勒索。这一变化表明勒索攻击者的犯罪手法在不断翻新,企业需要更加关注对新型勒索方式的防御,以应对不断演变的勒索软件威胁。本文梳理了2023年所发生的12起代表性勒索软件攻击事件,并对其影响进行了分析。
1、2023年1月:英国皇家邮政遭受LockBit勒索攻击
2023年1月,LockBit勒索攻击团伙对英国皇家邮政发起了攻击,并索要8000 万美元赎金。由于皇家邮政最终未满足攻击者的赎金要求,该攻击导致其国际邮件投递服务瘫痪,数百万封信件和包裹滞留在该公司的系统中。
1月12日,皇家邮政声称,网络攻击事件迫使他们停止了国际邮政服务。尽管公司聘请了专业机构帮助恢复业务,但遗憾的是,勒索攻击的影响一直在持续。国际分销服务业务(包括皇家邮政和GLS)的半年财务报告显示,截至2023年9月,公司收入同比下降6.5%,给出的原因正是工业行动和勒索软件入侵。

0226-2023年全球勒索软件攻击代表性事件回顾-8种常见又危险的特权攻击路径分析

打印机在皇家邮政分发中心大量打印的LockBit勒索提示
2、2023年2月:ESXiArgs对全球VMware ESXi服务器进行攻击
2月份,勒索软件团伙ESXiArgs通过利用VMware ESXi服务器中的RCE漏洞(CVE-2021-21974),进行了一次大规模的自动化勒索软件攻击行动,影响了全球超过3000台VMware ESXi服务器。虽然VMware公司在2021年初就发布了针对这个漏洞的补丁,但攻击仍然导致众多的服务器被加密。攻击者要求每个受害者支付约2比特币(当时约值45,000美元)。
在攻击开始几天后,黑客释放了一种新的加密恶意软件变种,使恢复被加密的虚拟机变得更加困难。为了使自己的活动更难追踪,他们还停止提供勒索钱包地址,促使受害者通过P2P通信工具Tox进行隐秘联系。

0226-2023年全球勒索软件攻击代表性事件回顾-8种常见又危险的特权攻击路径分析

ESXiArgs勒索软件攻击提出的赎金要求
3、2023年3月:Clop团伙利用GoAnywhere MFT中的零日漏洞
2023年3月,Clop勒索团伙开始广泛利用Fortra GoAnywhere MFT(托管文件传输)工具中的一个零日漏洞发起广泛性勒索攻击。这次攻击影响了100多家易受攻击的GoAnywhere MFT服务器,其中包括宝洁公司、多伦多市政府和美国最大的医疗保健提供商Community Health Systems。

0226-2023年全球勒索软件攻击代表性事件回顾-8种常见又危险的特权攻击路径分析

连接到互联网的GoAnywhere MFT服务器的地图
4、2023年4月:NCR Aloha POS终端系统因为勒索攻击瘫痪
4月份,ALPHV团伙(又名BlackCat)对美国NCR公司发起勒索攻击,该公司是一家专门从事ATM、条码阅读器、支付终端和其他零售和银行设备制造和维修的公司。这次攻击导致Aloha POS平台数据中心关闭了数天。由于该平台实质上是一个全面的餐饮运营管理系统,涵盖从支付处理、接收在线订单、厨房菜品准备和工资核算等各个方面。由于NCR遭受了勒索软件攻击,许多餐饮公司被迫回归纸笔运营方式。

0226-2023年全球勒索软件攻击代表性事件回顾-8种常见又危险的特权攻击路径分析

ALPHV/BlackCat团伙使NCR Aloha POS平台瘫痪
5、2023年5月:达拉斯市遭受勒索软件攻击
2023年5月初,美国德克萨斯州达拉斯市遭受了来自Royal皇家勒索团伙的勒索攻击,导致其多项市政服务中断。据官方确认,达拉斯市许多应用系统服务器被勒索软件破坏,影响了多个功能区域,包括达拉斯警察局网站。由于此次攻击,26212名德州居民和共计30253名个人的私人信息被曝光。根据德州总检察长网站信息显示,泄露的信息包括姓名、地址、社会保障信息、健康信息、健康保险信息等内容。

0226-2023年全球勒索软件攻击代表性事件回顾-8种常见又危险的特权攻击路径分析

通过达拉斯市网络打印机输出的攻击勒索信息
6、2023年6月:Clop组织利用MOVEit Transfer漏洞发动大规模攻击
毫无疑问,Clop组织利用MOVEit中的零日漏洞所发起的勒索攻击是2023年最受关注的勒索攻击事件之一。该漏洞自 5 月 27 日左右开始被利用,并在接下来的几周内导致了多波数据泄露事件。攻击所涉及的受害者名单约有600 个组织,另有数据统计显示,最终有近4000 万人受到此次攻击的影响。研究人士认为,此次攻击具有“高度随机性”,既没有专注于“特定的高价值信息”,也没有像之前针对美国政府机构的网络攻击那样具有破坏性。

0226-2023年全球勒索软件攻击代表性事件回顾-8种常见又危险的特权攻击路径分析

Clop组织网站指示受影响的公司与他们进行谈判
7、2023年7月:夏威夷大学向NoEscape组织支付赎金
2023年7月,夏威夷大学承认向NoEscape勒索软件攻击组织支付了赎金。据了解,NoEscape是一个相对较新的勒索攻击组织,它们感染了夏威夷大学的社区学院,并窃取了65GB的隐私数据,并威胁将这些数据公开。为了保护28000名学生的个人信息不被泄露,夏威夷大学决定向勒索者支付赎金。
值得注意的是,为了阻止勒索软件的传播,夏威夷大学工作还临时关闭了信息技术系统,其IT基础设施在两个月后才完全恢复正常。

0226-2023年全球勒索软件攻击代表性事件回顾-8种常见又危险的特权攻击路径分析

NoEscape宣布对夏威夷大学的黑客攻击
8、2023年8月:Rhysida组织攻击医疗行业
2023年8月,Rhysida勒索软件组织对美国多个州的医院和诊所发动了一系列勒索攻击。该组织声称已窃取了1TB的机密文件和1.3TB的SQL数据库,其中包含了约50GB的病人隐私数据。Rhysida勒索软件组织要求医疗信息系统服务商Prospect Medical Holdings支付赎金以恢复数据,并威胁将泄露受窃数据。
然而,Prospect Medical Holdings公司拒绝支付赎金,并与执法机构合作进行调查。为了应对此次攻击,他们采取了紧急措施,包括隔离受感染的系统和从备份恢复数据。虽然恢复过程非常耗时和复杂,但最终成功地恢复了受影响系统的功能,并没有向攻击者支付赎金。

0226-2023年全球勒索软件攻击代表性事件回顾-8种常见又危险的特权攻击路径分析

来自 Rhysida 集团的赎金要求
9、2023年9月:BlackCat攻击了凯撒和MGM赌场
2023年9月,勒索组织BlackCat 对拉斯维加斯两个知名赌场集团发起了勒索软件攻击。米高梅度假村报告称,由于勒索软件攻击,导致服务中断 36 小时,造成巨大的停机成本和财务损失。直到事件发生十天后,米高梅才宣布酒店和赌场恢复“正常运营”。米高梅度假村袭击事件爆发几天后,凯撒娱乐公司也成为勒索袭击的受害者。据凯撒公司的披露显示,攻击者非法访问了“凯撒奖励”忠诚度数据库,攻击者最初要求支付 3000 万美元的赎金,但凯撒通过谈判最终将金额降至 1500 万美元。

0226-2023年全球勒索软件攻击代表性事件回顾-8种常见又危险的特权攻击路径分析

凯撒和米高梅拥有拉斯维加斯一半以上的赌场
10、2023年10月:BianLian勒索组织攻击加拿大航空公司
2023年10月,BianLian勒索组织针对加拿大航空公司展开了勒索攻击,并声称窃取了超过210GB的各种信息,包括员工/供应商数据和机密文件。令人关注的是,攻击者在本次攻击中还意外窃取了航空公司的技术违规和现有安全问题等信息,这些信息的泄露可能对加拿大航空造成进一步危害。

0226-2023年全球勒索软件攻击代表性事件回顾-8种常见又危险的特权攻击路径分析

BianLian组织通过网站向加拿大航空勒索赎金
11、2023年11月:LockBit组织利用Citrix Bleed漏洞发起攻击
11月份,LockBit组织利用Citrix Bleed漏洞进行了一次大规模的勒索软件攻击。尽管该漏洞的补丁已经提前发布,但仍有超过10,000个公开可访问的服务器上存在漏洞。LockBit勒索软件利用此漏洞入侵了数十家大型公司的系统,窃取数据并加密文件。而波音公司是其中一家知名受害者,攻击者在未等待赎金支付的情况下公开了窃取的数据。
这一事件还严重影响了总部位于迪拜的重要物流公司DP World。DP World 澳洲分公司的业务信息系统遭到破坏,严重干扰了其物流运营,导致约30,000个集装箱滞留在澳大利亚港口。

0226-2023年全球勒索软件攻击代表性事件回顾-8种常见又危险的特权攻击路径分析

LockBit勒索软件的网站向波音公司勒索赎金
12、2023年12月:多国执法部门联合打击ALPHV/BlackCat基础设施
2023年,由FBI、美国司法部、欧洲警察组织(Europol)等多国执法机构展开联合行动,成功打击了ALPHV/BlackCat勒索软件组织对其基础设施的控制权。通过这次行动,成功帮助了全球500多家组织免受了勒索威胁,预计节省了约6,800万美元的潜在赎金损失。
此外,有关该勒索软件组织活动的各种统计数据也被公之于众。根据FBI公布的数据显示,在该组织近两年的活动期间,成功侵入了1000多个企业组织,并向受害企业勒索了总计超过5亿美元赎金,并实际收到了大约3亿美元的赎金支付。

0226-2023年全球勒索软件攻击代表性事件回顾-8种常见又危险的特权攻击路径分析

执法机构成功打击了ALPHV/BlackCat勒索组织的基础设施系统

信源:https://usa.kaspersky.com/blog/ransowmare-attacks-in-2023/29781/

安全资讯

8种常见又危险的特权攻击路径分析

0226-2023年全球勒索软件攻击代表性事件回顾-8种常见又危险的特权攻击路径分析

标签:网络防护,安全运营
对于各类数字化应用系统而言,都需要依靠访问权限来限制用户和设备对系统进行设置和应用。因此,访问权限是一个非常重要的安全特性,它们决定了用户可以与应用系统及其相关资源进行交互的程度。而那些具有广泛系统控制能力的管理员账号或根权限账号,则被称为特权访问账号。随着网络威胁态势的不断发展,企业的特权账号正在成为攻击者的重点攻击目标。
为了远离恶意特权攻击,企业首先有必要了解攻击者会使用什么策略来实现特权攻击。实际上这很困难,因为攻击者常常结合不同的技术来逃避安全检测,并在受害企业的网络中横向移动。以下收集整理了8种较常见却又很危险的特权攻击路径,并给出了相应的防护建议可供参考。
1、恶意软件
恶意软件是一个统称,指攻击者可能试图安装到系统上的众多感染和病毒,包括间谍软件、广告软件、病毒和勒索软件等。在大多数的情况下,安装恶意软件需要更高的权限,这就是特权账户存在如此大风险的关键原因。
当前,恶意软件攻击最典型的例子是勒索软件。获取赎金通常是勒索软件攻击的最终目标。但是攻击者首先需要使用本文介绍的其他策略和方法来获得成功安装勒索软件所需的特权。恶意软件的其他事例还包括监视或侦察软件,这帮助黑客识别安全弱点,比如未修补的漏洞或活动内存中的密码。
防护建议
• 定期安装防病毒软件和软件更新。
• 实施最小特权原则,缩小可能的攻击面。
• 使用持续监控工具检测可疑的特权账号活动。
2、系统漏洞
漏洞是攻击者最广泛使用的策略之一。他们可以利用这些代码错误来获得访问权限、提升特权或执行攻击。这也是攻击闯入组织系统的初始立足点。漏洞有多种形式,包括错误配置、不安全代码、糟糕的API或其他各种安全性问题。为了利用漏洞,黑客必须使用漏洞利用代码或工具。一旦得逞,就可以实施SQL注入、特权提升、远程代码执行、拒绝服务和信息泄露等攻击。
防护建议
• 使用漏洞扫描器识别未修补的漏洞。
• 使用CVSS分数和组织的内部定性数据,按严重程度对漏洞分类。
• 尽快修补最严重的漏洞。组织通常不会有足够的资源来修补所有漏洞,所以合理利用资源很重要。

3、网络钓鱼和社会工程
网络钓鱼指诱骗最终用户泄露敏感信息(通常是登录凭据)的一系列策略。攻击者通常已经获得了电子邮件地址或电话号码,然后他们向目标发送看似正规的信息,诱使他们点击链接或填写资料。
网络钓鱼常用作闯入IT环境的渠道。成功的网络钓鱼攻击通常不会被最终用户及其组织发现,这为黑客分析系统和横向移动创造了条件。在某些情况下,攻击的目的也可能是为了布置更复杂的网络钓鱼骗局,尤其是当黑客企图窃取敏感信息、个人资料或知识产权时。
防护建议
• 加强用户培训,以便员工发现警告信号。
• 使用最新的网络安全工具(比如SIEM平台)来检测异常行为,如可疑的电子邮件和链接。
• 打上最新的安全补丁,因为黑客可能利用过时的安全补丁执行成功的网络钓鱼攻击。
• 安装多因素身份验证机制,以加强防御。
4、供应链攻击
供应链攻击正成为一种越来越普遍的手法。攻击者通过利用第三方供应商、合作伙伴或供应商来攻击组织,这其中也需要借助某种形式的特权访问来实现。现代企业对自身的安全性建设已经高度重视,但对第三方的安全性常常缺乏了解和控制,因此这成为备受黑客关注的一个安全防护薄弱环节。黑客们可以通过各种商业软件产品获得被泄露的特权访问权限,随后进而伺机闯入受害者客户的IT环境。
防护建议
• 对第三方账户和服务账户以及内部员工运用最小权限。
• 签署协议为所有第三方供应商、合作伙伴和供货商明确具体的安全要求。
5、错误配置
错误配置往往很难定义,因为它们涉及一系列不同的问题和挑战。从本质上讲,使黑客更容易攻击和访问组织IT环境的现有IT策略和配置实践都可以被认为是错误配置。下面是几种典型的错误配置及相应的解决办法:
1、出现在软件、服务器、物联网设备等系统的代码中的硬编码凭据。
防护建议
使用现代PAM软件来识别硬编码凭据,然后将它们换成可以加密、保存、转换的密码。
2、使用空白或默认密码,因而更容易被蛮力破解方法猜中。
防护建议
实施严格的策略,要求密码具有独特性、复杂性、定期轮换。
3、特权过高的用户和服务账户为黑客创建了广泛的攻击面,便于攻击和横向移动。
防护建议
实施最小权限原则,并定期检查用户账户和服务账户中是否存在不必要的权限。
4、缺乏密码轮换或即时访问使密码更容易被猜中,一旦黑客成功登录,毫无屏障可言。
防护建议
实施密码轮换和及时访问机制,这样被盗的密码变得无用,仍可以锁定泄密的账户。
5、账户共享使黑客更容易获得访问权限,因为密码常存储在消息、邮件或其他不安全的介质中
防护建议
• 严格限制账户共享使用;
• 如果使用共享账户,应通过安全的数字令牌或密码库授予访问权限;
• 共享账户密码对最终用户应该是不可见的。
6、对特权账户缺乏多因素身份验证也会使黑客更方便,因为他们在获得访问权限之前要克服的障碍更少。
防护建议
对所有特权账户统一实施MFA,最好对所有其他账户也实施MFA。这确保了组织在密码泄露后拥有多一层防御。
7、针对文件、文件夹和本地设备的松散或薄弱的访问控制也会加大攻击面。这是由于糟糕的访问策略实际上创建了更多的账户,攻击者可以通过这些账户访问敏感信息。
防护建议
实施可靠的身份和访问管理(IAM)策略,以便只能由尽可能少的人查看敏感信息。
8、不安全的协议(比如HTTP或SSL)也会使组织易受攻击。黑客可以利用这些协议的详细信息来捕获、分析、修改或窃取数据,常常是在数据从客户端传输到服务器时。这有时可能包括未加密的登录信息。
防护建议
始终使用最新的协议,避免与未做到这点的第三方软件供应商合作。
9、缺乏实时监控也会使渗入到环境中的黑客更容易逃避检测。实时监控技术可以帮助组织通过异常分析来发现可疑活动,因为黑客的活动往往非常特殊。
防护建议
实施实时监控机制,以便在造成危害之前发现并阻止可疑行为。
10、服务账户缺少PAM控制会给黑客提供进一步的访问渠道。机器身份(比如RPA工作流、物联网设备和应用程序)常常需要访问权限,才能执行自动化功能。黑客可以利用这些账户获得访问权限。
防护建议
部署合适的特权账号管理解决方案,并实施最小特权原则。
6、凭据利用
凭据利用是指黑客用来获取登录凭据的一系列手法和策略。登录凭据可能包括明文密码、密码散列、数字令牌、API密钥、SSH密钥或更多信息。
• 暴力猜测:黑客不断猜测,直到猜中为止。在这种情况下,密码通常容易猜到,比如“Password1”、“1234”或用户的出生日期。糟糕的密码轮换和密码强度策略让黑客更容易猜中密码。
• 密码喷洒:类似暴力猜测,但攻击面更广。攻击者可能企图通过在多个账户中尝试几个常用密码来获得访问权限。许多攻击者使用机器人程序快速自动地完成这项工作。
• 传递哈希:哈希是一串加密的字符,可以代替实际的密码对用户进行身份验证。黑客常可以从活动内存中提取这些哈希,无需知道它替代的明文密码即可获得访问权限。
• 密码抓取:与传递哈希相似,攻击者扫描IT环境以获取明文密码。这些密码可能存储在活动内存中,也可能存在于应用程序的源代码中。
• 击键记录:攻击者还可能使用击键记录软件来记录用户键入的内容,包括密码。攻击者可以安装这种恶意软件,为横向移动提供便利。
• 数据泄露:有时可以在暗网上买到明文密码,让黑客直接访问账户。
• 中间人攻击:当数据在服务器和客户端设备之间移动时,黑客通常利用不安全的连接来访问数据。不安全协议就是一个常见的例子。
在几乎所有上述情况下,黑客通常先试图访问网络环境,或者在获得访问权限后横向移动。这些技术可以用来渗入并获取特权账户。
防护建议
• 创建可靠的策略,以确保密码是独特的、强大的,并定期更换。
• 实施多因素认证技术,那样黑客需要克服另一道屏障才能获得访问权限。
• 尽可能使用无密码技术,包括单点登录、密码保管和加密。这可以确保最终用户不需要看到明文密码,而是可以通过MFA、单点登录、数字令牌或密码库进行身份验证。
7、SQL注入
当黑客将恶意SQL代码注入数据库或服务器时,就会发生SQL攻击,黑客因此能够查看、修改或删除数据库中的信息,或者在某些情况下在服务器上执行命令。SQL注入既可能是攻击的最终目的,也可能是用于帮助更广泛的攻击策略的一种方法。黑客常通过网页或应用程序中的漏洞实现SQL注入。
防护建议
• 运用最小权限以缩小攻击面。
• 使用能够实时阻止SQL注入的防火墙。
• 使用数据库加密,这样信息不容易被访问和窃取。
• 用参数化查询和预定义语句替换SQL查询。
8、拒绝服务攻击
拒绝服务攻击(DoS)旨在通过向攻击目标发送大量互联网流量来关闭正常运营的系统、服务或网络。攻击目标常常可能是某个网站、服务器、客户应用程序或其他关键任务系统。分布式拒绝服务(DDoS)攻击的目的一样,但黑客会从不同的系统或地方发动统一协调的攻击,以掩盖攻击,尽量造成最大的潜在损害。
防护建议
• 可以通过限制来自任何端点、设备或IP地址的流量来避免DoS攻击。
• 实施速率限制措施拒绝无法处理的流量。
• 实施网络分段,并安装防火墙,阻止攻击范围扩大。
• 结合使用现代技术和实时异常检测,以识别和动态阻止可疑活动。

信源:http://heimdalsecurity.com/blog/privileged-attack-vectors/

原文始发于微信公众号(网络盾牌):0226-2023年全球勒索软件攻击代表性事件回顾-8种常见又危险的特权攻击路径分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月26日13:55:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   0226-2023年全球勒索软件攻击代表性事件回顾-8种常见又危险的特权攻击路径分析http://cn-sec.com/archives/2526181.html

发表评论

匿名网友 填写信息