2024年2月27日14:55:41评论9 views字数 7287阅读24分17秒阅读模式

回复“240221”获取“网络洞察2023”翻译版

2024 年网络安全洞察：供应链安全

勒索软件是恶意软件的一种。敲诈勒索一直是一种受欢迎的获取资金的方法，而且永远如此。如今，它在网络世界中可能比在物理世界中更为普遍。

我们可以从它的历史中汲取教训。它一直存在于国家层面（丹麦）、帮派层面（保护费）和个人层面（欺凌）。这种做法现在已成为网络世界的一部分，并且仍然涉及民族国家、犯罪团伙和个人黑客。敲诈勒索永远不会消失，只是手段会改变。犯罪分子会微调现有的盈利方法以获得更大的利润，或者对其进行调整以适应新的情况。

这同样适用于网络勒索软件，它从根本上来说是通过加密或渗透或两者兼而有之来窃取受害者数据。加密和/或被盗的数据是网络勒索的杠杆。

勒索软件足够有效且有利可图，可以持续增长。但会进行微调，扩大利润成分，探索新的敲诈勒索手段。一些公司已经在使用更通用的术语 Cy-X（网络勒索）来涵盖围绕勒索软件这一术语不断发展的一系列威胁。勒索是威胁；勒索软件只是一种（尽管目前是主要的）方法。

“犯罪团伙将继续加大赌注，对受害者施加更大压力——这包括更多‘信息行动’行动——在社交媒体和开放网站上进行更多公开羞辱，直接联系高管、员工和客户以施加压力，安永咨询网络安全医学博士基思·穆拉斯基 (Keith Mularski) 警告称，“暴力威胁——包括家庭成员”。

Veritas Technologies 数据保护高级副总裁兼总经理 Matt Waxman 举了一个具体例子，说明勒索软件勒索可能会持续演变。“到 2024 年，我们预计黑客将转向有针对性的单元级数据损坏攻击，即秘密植入受害者数据库深处的代码，如果目标拒绝支付赎金，这些代码就会秘密地更改或损坏特定但未公开的数据。”

韦克斯曼继续说道，“真正的威胁是，受害者不会知道哪些数据（如果有的话）——黑客可能是在虚张声势——已经被更改或损坏，直到产生影响，从而有效地使他们的所有数据变得不可信。对于受害者来说，唯一的解决方案是确保他们拥有数据的安全副本，并且 100% 确定这些数据未损坏并且可以快速恢复。” 2024 年网络安全洞察：勒索软件

2024 年的发展

免加密勒索

无加密勒索并不是什么新鲜事，但将会继续扩大。它是从早期的双重勒索概念发展而来的——首先是数据泄露，其次是数据加密。如果加密不会引发勒索费用，那么随后泄露敏感数据可能会导致品牌损害和潜在的合规罚款。

随着支付加密赎金的公司越来越少（通过政府压力、更好的解密可能性和网络保险限制），犯罪分子有时会放弃敲诈勒索的这一方面。

2024 年网络安全洞察：勒索软件 — Rik Ferguson，Forescout 安全情报副总裁

Forescout 安全情报副总裁Rik Ferguson表示：“由于传统勒索软件操作耗时且无意义的开销，威胁行为者更喜欢通过泄密站点‘拒绝保密’，而不是通过加密‘拒绝访问’。” “数据盗窃和勒索对他们来说同样有效，但没有重大管理开销，没有令人沮丧的备份恢复，也没有加密模块编码。”

它还允许攻击者更好地隐藏攻击。Malwarebytes 网络安全传播者 Mark Stockley 解释说：“勒索软件攻击将从‘恶意软件加密’演变为‘无恶意软件数据盗窃’。” “窃取数据而不是加密数据，使得犯罪分子能够通过‘靠山为生’而隐藏在众目睽睽之下——使用他们在所攻击的网络上找到的合法管理工具，这些工具不会触发安全软件检测到恶意软件。没有恶意软件的攻击将检测的负担从恶意软件发现软件转移到了异常发现人员身上。”

2023 年底出现了一种新的敲诈勒索变体——可与加密或数据泄露一起使用：ALPHV/BlackCat 向 SEC 报告了 MeridianLink。Semperis 北美首席技术专家 Sean Deuby 评论道：“随着新的 SEC 披露裁决于 [2023 年 12 月 15 日]生效，要求公司在四天内报告‘重大’网络安全事件，预计这种策略将成为常态在勒索软件攻击中。SEC 将拥有一支由不那么无私的助手组成的军队。”

由人工智能涡轮驱动

人工智能勒索的最初危险在恶意软件中较小（尽管它最终会被用来发现可利用的漏洞），但在为传播恶意软件奠定基础方面更是如此。“生成式人工智能肯定会成为勒索软件的一个因素。这些原则相当简单：给定一个目标，您可以从 LinkedIn 上抓取员工列表，抓取他们的个人资料和帖子，并通过搜索引擎搜索同一个人的社交网络以及公开数据。”首席执行官 Philippe Humeau 解释道和 CrowdSec 的联合创始人。

“一旦您掌握了大多数员工的所有网络，以及他们的声音（播客）、图片（X、Instagram、LinkedIn、Meta）和视频（YouTube、TikTok）样本，您就拥有了生成极其令人信服的网络钓鱼电子邮件所需的一切。接下来你就会知道，受害者会收到精心设计的水滴式网络钓鱼活动。” 简而言之，人工智能可能会加剧网络钓鱼，而这种增加和改进的网络钓鱼可能会加剧勒索软件。

这不是一个确定的事情。其他人则认为，犯罪分子现有的方法已经足够成功，不需要额外的人工智能开发成本。但未来可能会出现一个拐点，即现有方法的失败率越来越高，而人工智能成本的下降将被抵消。

勒索软件直接使用人工智能的途径可能是缓慢且渐进的——也许是通过 MPV（最有希望的受害者）的概念。该理论认为，必须不间断运行并有资金支付不间断运行费用的组织将成为最有希望的受害者。

“我预测勒索软件作者会找到方法来自动确定‘MPV’，让勒索软件能够自主确定是否满足 MPV 标准；例如，“我是否到达医院了”、“我可以访问电子病历吗？”，HCL BigFix 高级总监兼产品管理主管 Robert Leong 建议。

“原因是向指挥和控制发送消息是检测勒索软件的主要方式之一。因此，如果勒索软件能够自主确定它所在的位置、所在的组织类型以及要加密的内容，那么勒索软件就会更成功，”他继续说道。可以引入人工智能来提供和改进这种无声的自动化。

地缘政治和行动主义

从历史上看，黑客行动主义一直与本土思想家抗议道德问题联系在一起。Tenable OT Security 负责人 Amir Hirsh 认为这种情况将在 2024 年持续下去，黑客活动分子会利用勒索软件来增加宣传效果。他评论道：“黑客活动团体尤其会根据其意识形态将工厂化农业和能源生产商作为目标，以获得最大程度的曝光度和恶名。”

与此同时，乌克兰和加沙战争造成的极端地缘政治紧张局势将增加黑客行动主义的国际因素，而不是国内因素。ImmuniWeb 首席架构师伊利亚·科洛琴科 (Ilia Kolochenko) 表示：“明年，我们应该预料到，出于政治动机的黑客活动分子会对特定国家或地区的无辜公司和组织发起大规模且不可预测的攻击。”

这些攻击可能具有高度破坏性，旨在瘫痪与所在国政治进程关系不大或没有关系的企业的运营。“医院、学校甚至 CNI 的网络基础设施（例如供水设施）可能会遭受长期且无法修复的损害。”

雨刮器

雨刮器可能但不一定与勒索软件有关。考虑一下没有任何解密手段的勒索软件的数据加密版本——它是一个基本的擦除器。

对于出于地缘政治动机的攻击者（尤其是那些可能被标记为民族国家附属的攻击者）来说，这是一个有吸引力的选择。它可以伪装成失败的勒索软件，即出于经济动机的犯罪攻击。很难将犯罪攻击归类为网络战（网络战除了具有破坏性之外，还必须表现出政府对政府的因素）。请参阅什么是网络战？进行更详细的讨论，并考虑保险公司未能通过 NotPetya 向默克公司支付赔付。

WannaCry 和 NotPetya 就是很好的例子。WannaCry 没有解密能力，NotPetya 在全世界造成了大规模破坏。但两者都被“伪装”为勒索软件，虽然归因于俄罗斯，但不能归因于政府的明确指示。危险在于未来发生事故。Leong 警告说：“随着敌对民族国家继续对其他民族国家发动战争，我们绝对会看到像 WannaCry 和 NotPetya 这样的事情再次发生。” “预计敌对民族国家将继续将其纳入其工具箱中，特别是在地区热战扩大的情况下。”

尽管如此，大多数敌对国家都谨慎使用雨刷。它们可能引发全面的网络战争——在当今的网络世界中，绝对威慑的原则仍然存在。全面的网络战争将导致相互的、彻底的网络破坏：因此，世界大国（北约、俄罗斯等）使用的雨刷器都被精确地瞄准了热战地区或避免了。（中东是一个例外，因为它主要是区域性的，而不是全球性的。）

休莫对大国使用雨刷的行为表示怀疑还有另一个理由。“大多数时候，我不确定它们对一个民族国家是否真的有用。只有当你需要利用自己的优势对抗对手时，你才会暴露自己的伪装。最好留在家里，保持低调，并在需要时使用最初的访问权限。休眠特工不是过去的事情，而是未来的事情。”

然而，犯罪团伙并没有因为网络战争的担忧而却步。非国家黑客活动分子日益增加的攻击性很容易导致 2024 年擦拭器的增加。“我们还见证了新的数据销毁策略的发展，包括定制数据盗窃工具和时间激活擦拭器，这增加了额外的压力Malwarebytes 的高级恶意软件研究工程师 Marcelo Rivero 评论道。

2024 年会有更多雨刷器吗？“可能，”穆拉斯基说。“意图是驱动力，也是最不可预测的因素。” 当然，从技术上讲，纯粹的擦除器（即使伪装成勒索软件）不是勒索软件：其目的不是勒索，而是破坏。

RaaS 民主化

勒索软件即服务 (RaaS) 是网络犯罪黑社会日益专业化的一部分。严重且技术娴熟的犯罪分子已经形成了角色分离。该团伙由单独的恶意软件编码者、访问查找者（使用单独的访问代理）、金融运营商和营销人员组成。这些结合起来向附属公司提供勒索软件服务，出售或出租完整的勒索软件包。它有几个作用：它有助于使真正的犯罪分子远离研究人员和执法部门，并且允许更多技术水平较低的犯罪分子发动具有潜在破坏性的勒索软件攻击。它被称为勒索软件的“民主化”。

“这将取决于勒索软件威胁行为者围绕建立附属计划和降低入职流程摩擦所做的营销努力，”Citadel（南卡罗来纳州军事学院）顾问兼兼职教授杰拉尔德·奥格 (Gerald Auger) 表示。“可悲的是，顶级勒索软件威胁参与者（Lockbit、Blackcat、Conti，在解散之前）就像拥有许多员工的专业企业一样运作。例如，Conti 有 100 多个部门，其中包括人力资源部门，因此，如果他们为自己的 RaaS 附属计划找到营销方案，这将成为 CISO（以及整个信息安全行业）相当关注的问题。”

Logpoint 首席技术官 Christian Have 警告说：“RaaS 将变得更加普遍，为具有最少技术专业知识的个人提供执行勒索软件攻击的手段。” “自动化将使初始访问经纪人能够识别并提供更多的防泄露环境。因此，攻击频率将会激增，影响各种规模的组织，特别是网络安全措施不足的小型组织。”

RaaS 可能会越来越受欢迎。Leong 评论说：“它将继续扩大，特别是如果世界经济衰退，正如许多人预测的那样。” “原因是许多人将失去工作，而那些不那么谨慎的人将把 RaaS 视为继续支持他们生活方式的一种方式。由于 RaaS 通常只需要脚本小子级别的技能，这对于那些失业并希望轻松赚钱的人来说很有吸引力，特别是如果他们想‘报复’前雇主的话。”

Ontinue 首席创新官 Drew Perry 指出 Scattered Spider 是 RaaS 的一个实际例子。该组织被认为是 Alphv 的附属机构，是2023 年 9 月发现的米高梅黑客事件的幕后黑手。其他人会效仿，”佩里警告说。

“从我们的角度来看，”Mularski 说道，“RaaS 代表了勒索威胁的大部分——运营纯粹封闭/私人运营的组织似乎较少。” 他指出 LockBit 是最普遍的 RaaS 操作——仅 2023 年 11 月就有 110 名受害者。

RaaS 本身只是不断扩大且更为普遍的犯罪即服务 (CaaS) 犯罪活动的一部分。Ferguson 相信这可能会带来一种新的 X 即服务：受害者分析即服务。“勒索软件附属机构在选择受害者方面变得更加挑剔，这可以从各种流行技术中看出——从重新定位已知支付赎金的组织到仅选择拥有网络事件保险的受害者，”他说。“因此，潜在受害者的数据将受到高度追捧，并为此类市场创造更大的需求。”

零日漏洞

民主化的反面是勒索软件团伙在不使用 RaaS 方法的情况下进行特定的大型游戏狩猎。这通常集中于零日漏洞的利用。一般来说，零日漏洞是一种一次性武器，其价值太高，无法通过附属机构消散。

Rapid 7 高级副总裁兼首席科学家 Raj Samani 评论道：“我们观察到越来越多的零日漏洞被勒索软件组织利用，而且这种趋势不太可能减弱。”

斯托克利同意。“随着零日攻击的转变，勒索软件攻击将大幅增加，”他说。但他也指出，自动化（可能会从 2024 年开始得到人工智能的帮助）将允许各个团体在不减少通过使用附属公司的利润回报的情况下扩大规模。

“在今年的两波攻击中，Cl0p 勒索软件团伙表明，通过使用基于零日的自动攻击，可以摆脱附属模型的可扩展性束缚，”他解释道。“以前人们认为零日对于勒索软件团伙来说要么太复杂，要么太复杂。虽然勒索软件团伙广泛使用零日漏洞会遇到重大障碍，但不能排除这种情况。”

政府（行动）

除了鼓励更好的网络防御、摧毁犯罪基础设施和寻求个人逮捕之外，政府对防止网络勒索几乎无能为力。唯一能阻止敲诈勒索的就是削减其盈利能力，而这是不可能的。对于当前勒索软件的主要形式，有两种可能的方法：使赎金支付非法，以及使支付过程（通过数字货币）无效。

第一个几乎是不可能的。休莫解释了其中的困难之一：“像法国这样的国家完美地搬起了石头砸自己的脚，”他说。“十年来，人们一直在说‘不，没有人应该付钱，不要喂怪物’，现在，一条模糊的界限是保险公司看到了销售保单的绝佳机会，但他们知道自己实际上不会这么做。”由于他们已经融入了特定的例外情况，因此必须满足。但是，对于确实支付的保单，网络犯罪分子知道保险公司愿意报销的确切金额，而这就是他们现在试图勒索的金额远离他们的目标。”

然而，并非所有人都对政府针对勒索软件的行动感到悲观。Orange Cyberdefense 首席技术官 Jose Araujo 持乐观态度。“我们预计，由联合政府政策驱动的网络勒索活动可能会出现转折点……国际反勒索软件倡议的 40 多个成员国已同意一项联合政策，宣布成员国政府不应支付网络犯罪团体索要的赎金。他们还商定了勒索软件参与者使用的钱包的共享黑名单、追究责任者的承诺等举措。我们尚未看到其对 Cy-X 统计数据的影响，但预计这种合作可能会削弱 Cy-X 生态系统未来的生存能力。”

其他人则不太乐观。Symmetry Systems 首席布道师克劳德·曼迪 (Claude Mandy) 认为：“到 2024 年，美国将不会再颁布任何州或联邦全面立法来禁止支付赎金。相反，我们将继续大力鼓励组织不要支付赎金，执法部门和联邦机构将继续针对那些通过制裁和类似措施促进向网络犯罪分子支付赎金的交易所和组织，并通过对受害者提出更高的要求来促进这一点。披露勒索软件付款。”

当前的全球地缘政治对政府的努力没有帮助。“执法机构和检察机关[无法]合作对有组织的网络犯罪进行复杂的跨境调查，”科洛琴科指出。“最终，网络团伙在不可引渡的司法管辖区平静地运作而不受惩罚，并享受绝望受害者支付的稳定增长的收入。鉴于从经济角度来看，勒索软件是一项可扩展且高利润的业务，明年我们很可能会看到它在全球范围内像九头蛇一样扩散。”

他警告说，结果是，再加上即用即付的 RaaS，“好的旧勒索软件很可能会在 2024 年成为全球网络流行病。”

然而，虽然政府可能无法消除通过数字货币进行的勒索支付，但市场力量可能会成功。斯托克利提出了网络犯罪“奇点”的可能性：比特币崩溃至零破坏勒索软件。他说：“网络犯罪可能发生的最严重的事情就是比特币的消失，这可能不太可能，但并非不可能。维持比特币的运转需要付出巨大的努力，而加密货币泡沫已经彻底破裂。”

他继续说道：“如果比特币开始大幅下跌，维持其所依赖的大规模基础设施运行的激励措施可能会崩溃，这可能会导致人们对其他加密货币失去信心。尽管有大量的数字货币，但勒索软件与比特币紧密相连，如果没有比特币或非常类似的替代品，勒索软件可能就无法存在。网络犯罪不会消失，但随着它围绕新的商业模式进行重组，它将进入一个高度不可预测的阶段。”