根据网络安全公司 Chainalysis 发布的最新报告指出,2024 年上半年勒索软件受害者向网络犯罪分子支付了 4.598 亿美元(约 32.95 亿元人民币),如果延续现有趋势,今年将再次刷新支付的赎金纪录。去年,勒索软件的赎金达到 11 亿美元,是 2022 年的两倍。
近年来,勒索攻击的频率、范围和数量都在上升,进行攻击的独立组织的数量也在上升。ReliaQuest公司高级网络威胁情报分析师Chris Morgan表示,其追踪的勒索组织比过去多了几十个。这些组织中,很多都是从最初的几次勒索攻击中迅速汲取经验,开始大范围的攻击。Morgan表示,随着越来越多的商业活动在网上进行,勒索软件的潜在受害者也越来越多。另外,在一些国家,执法部门的管辖权有限,这也为勒索软件团伙的出现提供了机会。
目前,勒索的赎金也在快速增长,超过四分之三的受害者交付的赎金金额在100万美元以上,而在2021年才仅有一半。不过,也并非所有受害者都选择交付赎金。根据 Coveware 的数据显示,在 2023 年第四季度,只有 29% 的受害者支付了赎金,创历史新低,比2019年的 85% 有所下降。同样,Corvus Insurance 的网络保险索赔数据显示,只有27%的受害者支付了赎金。
网络钓鱼仍然是勒索软件的首要攻击载体。对此,Morgan表示,勒索软件组织有多种方式进行初始访问,而社工钓鱼是最多的一种。“绝大多数都是网络钓鱼和鱼叉式网络钓鱼。”
根据IBM X-Force 威胁情报报告,在所有勒索软件攻击中,30%的初始访问载体是网络钓鱼电子邮件。被破坏的账户与其并列第一,也占30%。紧随其后的是应用程序漏洞,占 29%。
尽管进行了各种网络钓鱼模拟和安全意识培训,但用户似乎并没有提高识别网络钓鱼电子邮件的能力。根据 Fortra 发布的全球网络钓鱼基准报告,10.4% 的用户点击了网络钓鱼电子邮件,高于一年前的7%。在点击的用户中,有60%的人向恶意网站泄露了密码。
Cohesity公司的CISO兼IT主管Brian Spanswick表示:“我认为安全意识培训计划不起作用。我们每个季度都会进行网络钓鱼模拟,但勒索概率的百分比始终保持不变,而且谁点击了谁没有点击也没有规律可循。现在,人工智能让社交工程攻击变得更加聪明,我的信心就更低了。”
Spanswick表示,即使对员工进行了网络安全培训,并警告他们会有模拟钓鱼的情况发生,但仍有17%的用户中招。他表示,他们已经做了很多年,但情况始终如此。他提到,好的解决办法是建立控制措施,从一开始就防止这些邮件通过,并在邮件通过时限制其影响。例如,不让员工拥有笔记本电脑的管理权限,不让他们下载视频游戏或附加存储设备,并确保环境是分散的。
社工钓鱼的日益复杂化尤其令人担忧。Spanswick表示,他发现AI生成的网络钓鱼明显增多。或者,至少可能是AI。“他们或许聘请了英语专业较好的学生,并阅读了大量首席执行官的新闻稿,以了解他使用的语气。但更大的可能是他们使用了生成式AI。”
根据 IBM X-Force的数据显示,一封人工制作的网络钓鱼邮件平均需要16个小时。相比之下,AI可以在5分钟内生成一封具有欺骗性的网络钓鱼邮件。
Fortitude Re(一家为其他保险公司提供保险的公司)的CISO Elliott Franklin表示,曾经有一段时间,网络钓鱼电子邮件相对容易被发现。“过去,你只需寻找拼写错误的单词。现在,威胁行为者正在使用人工智能来创建这些信息,而且改进的范围远远超出了完美的语法。”
Franklin提到,威胁行为者正在使用人工智能审查 LinkedIn,以知晓某人何时换了工作。然后,他们就会向目标发送一封电子邮件,伪装成首席执行官表示欢迎。甚至,威胁行为者会发送音调完美的电子邮件,要求员工重新进行多因素身份验证,或者要求他们签署假文件。有了生成式AI,这些邮件看起来绝对真实。
另外,如果再加上所有那些被泄露的账户,那么返回的电子邮件地址也可能是完全真实的。“我们的大多数用户每天都会收到几百封邮件。”Franklin表示:“因此,不能责怪他们点击这些链接。”
人工智能不仅能让攻击者完美模仿高管的写作风格,甚至还能伪装声音和面容。今年年初,一名深度伪造的首席财务官在视频电话会议上说服香港的一名财务人员发送了一笔2500 万美元的汇款。电话会议上还有其他几名工作人员——财务人员认识的工作人员——也都是人工智能假冒的。
这让Franklin忧心忡忡,因为如今,当 Fortitude Re 的员工想要重置密码时,他们需要进行视频通话,并举起自己的身份证。Franklin表示,这在短期内还行得通,但最终,这项技术将变得足够简单和可扩展,任何黑客都能做到。
Fortitude Re 正在几个方面解决这个问题。首先是业务风险缓解流程。“我们不能拖业务合作伙伴的后腿,但我们绝对必须制定书面的强制执行政策。比如说,你必须打这个电话给这个人,并获得他们的批准——你不能只发送电子邮件或短信。或者,你必须进入我们公司的文件管理系统,而不是电子邮件、短信或 WhatsApp 上的直接消息。员工开始意识到这一点很重要,值得付出努力。”
然后是网络安全的基本屏蔽和处理。Franklin表示,这是老生常谈的话题,补丁、身份和访问管理以及漏洞管理、安全意识等。但如果做起来很容易,就不会这么多企业遭受损失。实际上,很多企业在这些基础的、简单的工作中依然存在漏洞。
最后,为了应对勒索软件的最新发展,Franklin正在以毒攻毒。如果坏人在使用人工智能,那么好人也可以。过去,企业常常使用 Mimecast 来防御网络钓鱼邮件。在近期,Fortitude Re 转而使用一个新平台,该平台使用生成式人工智能来检测假冒邮件,帮助公司抵御勒索软件。“电子邮件是勒索软件攻击的主要来源,因此,你必须拥有一个内置人工智能的优秀、可靠的电子邮件安全工具。”
对抗勒索攻击的传统方法是查看特定指标,如不良IP地址和特定关键词。但现在,这已经不够了。Franklin提到,坏人拥有电子邮件安全解决方案的拷贝,他们可以分辨出哪些被拦截,哪些没有被拦截。这意味着他们可以绕过传统的过滤。
如今,电子邮件安全工具必须能够阅读整封邮件,并理解邮件的上下文—比如发送邮件的员工正在休假,或者邮件试图让用户采取紧急、不寻常的行动。威胁行为者使用的另一个伎俩是在钓鱼邮件中加入二维码。大多数传统安全工具都无法捕捉到它。它们只会将其视为另一个无害的嵌入图片。因此,新工具需要识别 QR 代码,并查看它们是否是恶意的。
药房服务提供商 Remedi SeniorCare 的信息安全总监 Greg Pastor 预计,勒索软件攻击今年将继续增加。Pastor表示,必须以人工智能对抗人工智能。他使用人工智能驱动的安全工具来防止勒索软件攻击,而不是传统的基于签名的杀毒软件,这些工具包括托管检测和响应以及端点检测和响应。
此外,他还使用 Menlo Security 的浏览器隔离工具和 Mimecast 的电子邮件安全工具。不过,为了以防万一,他还是制定了一套计划。“我们有一个全面的事件响应计划,模拟勒索软件攻击。”Pastor 表示:“我们肯定会做好应对人工智能攻击的准备。”攻击者会将人工智能整合到他们的RaaS中。如果跟不上时代的步伐,网络犯罪分子就赚不到钱。
另一家使用人工智能防御勒索软件的公司是文档存储公司 Spectra Logic。该公司的 IT 副总裁Tony Mendoza表示,该公司现在拥有来自 Arctic Wolf 和 Sophos 的工具,可以自动检测可疑行为。他表示:“为了走在游戏的前面。他必须这样做。现在,我看到越来越多基于人工智能的攻击。威胁方正在利用人人都能使用的人工智能工具。”
2020 年,当Mendoza的公司团队第一次在大流行病期间进行远程办公时,公司遭到了社交工程攻击。有人打开了一封不该打开的电子邮件,攻击者获得了访问权限。攻击在公司网络中迅速蔓延。他表示,此前的基础设施 99% 都是内部部署的。“相互连接。没有隔离。我们所有的系统都是实时交易系统,速度快得惊人--他们可以在瞬间传播病毒。”
他们甚至破坏了备份和用于备份的软件。Mendoza表示:“他们在三天内就要 360 万美元。这是我职业生涯中压力最大的一次。幸运的是,公司还拥有数据和系统的快照,这些数据和系统都经过了空中屏蔽,不会受到攻击。因此,我们立即切断了与他们的通信。”
Mendoza表示:“我知道这种情况还会发生。没有100%的安全,尤其是基于人工智能的攻击。从那时起,Spectra Logic 就开始投资安全基础设施、网络分段、全面加密、可自动隔离设备的异常检测、事件响应框架和网络攻击恢复计划。在此之前,该公司只有针对物理灾难的恢复计划。”
异常情况每天都会出现数千次。“过去,我们必须查看异常情况并做出人为决定,如果某个人突然从朝鲜连接网络,我们可能会切断他的网络连接。但是,由于传入威胁的数量如此之大,只有人工智能才能做出足够迅速的反应。”因此,Mendoza提议企业必须拥有一个自动化工具。“虽然一开始会出现误报,但就像人工智能一样,系统也会学习。”
根据2023年 NCC 威胁监测报告,值得注意的趋势包括“三重勒索”攻击的兴起。攻击者会加密数据并将其作为“”人质。但是,由于越来越多的受害者只是简单地从勒索软件中恢复数据,因此他们也会渗出数据并威胁公开发布这些数据。攻击者还会将攻击事件直接通知监管机构和受害者,从而向企业施加额外压力,迫使其支付赎金。
2023年底,一个名为“猎人国际”的犯罪团伙入侵了西雅图的Fred Hutchinson癌症中心,当该中心拒绝支付赎金时,攻击者威胁要“杀死”癌症患者。他们还直接通过电子邮件向患者勒索更多钱财。网络安全公司 Nuspire 的安全分析师Josh Smith表示:“猎人国际真的在努力施加压力。他们正在加倍使用勒索手段。他们已经升级到这个地步,这是非常令人震惊的。”
攻击者正在加倍利用新漏洞。Smith表示,网络钓鱼和基于漏洞的攻击策略在未来可能会继续流行。他们喜欢这种简单方便的攻击策略,不费吹灰之力。当网络钓鱼仍然有效,当漏洞仍然有效时,他们会继续这样做。
事实上,网络安全公司Black Kite对 4000 名受害者的经历进行分析后发现,利用漏洞是头号攻击媒介。Black Kite 的研究主管 Ferhat Dikbiyik表示,他们拥有大规模利用的自动化工具。
以 MoveIt 攻击为例。这是一次利用Progress Software公司MoveIt管理文件传输产品漏洞的网络攻击。勒索软件组织Cl0p从5月份开始利用这个0day漏洞,进入 MoveIt 的客户。Dikbiyik提出,这些攻击是毁灭性的。“我们发现有 600 家公司对开源工具可发现的这一漏洞持开放态度,而攻击者攻击了所有这些公司”。
今年 1 月,Black Kite 发布了一项新指标——勒索软件易感性指数,该指数利用机器学习,根据从开源情报以及面向公众的漏洞、错误配置和开放端口收集的数据,预测公司受勒索软件影响的程度。Dikbiyiks认为,在指数为0.8至1的所有公司中,有46%的公司去年遭遇了勒索软件的成功攻击。
然而,由于许多组织在修补漏洞方面仍然滞后,漏洞仍然是一个主要的攻击媒介。根据 IBM 的数据,在去年的所有网络攻击中,有 29% 的初始访问载体是面向公众的应用程序中的漏洞,而 2022 年这一比例仅为 26%。
勒索软件犯罪集团的创新步伐达到了一个新的高度。网络安全公司 Conversant Group 首席运营官兼创始人John Anthony Smith表示:“在过去两年里,我们见证了这些犯罪在复杂性、速度、复杂性和攻击性方面的曲棍球曲线。”
他们将创新战术与复杂方法相结合,入侵企业,使其陷入困境,几乎没有谈判的余地。其中一个迹象是,停留时间——首次进入数据外泄、加密、备份破坏或赎金要求之前的时间长度——已经大幅缩短。Smith表示:“过去需要数周的时间,而现在威胁行为者往往在 4 到 48 小时内就能完成攻击。”
另一种新策略是,攻击者通过使用 SIM 卡交换攻击和令牌捕获或利用员工的 MFA 疲劳来逃避多因素身份验证。一旦用户进行了身份验证,令牌就会被用来验证进一步的请求,这样他们就不必一直进行身份验证。中间人攻击可窃取令牌。攻击者还可以从浏览器中窃取会话 cookie 来达到类似目的。
通过 SIM 卡交换攻击,勒索软件团伙可以获取本应发给受害者的短信和电话。Resecurity 首席运营官Shawn Loveland认为,勒索软件攻击者继续利用面向公众的应用程序中的漏洞,使用僵尸网络,并通过在攻击中使用合法软件和操作系统功能来“苟且偷生”。
但是,去年的攻击也出现了一些新的技术手段。例如,勒索软件开发者现在越来越多地使用 Rust作为他们的主要编程语言,因为Rust具有安全特性,而且难以被逆向工程。这是这一领域的重大发展。间歇加密也是一种新趋势,它只对文件的部分内容进行加密。这使得检测更具挑战性,但加密过程更快。
每一位网络安全专家都预计,随着威胁行为者扩大行动规模,同时企业继续加强防御,勒索软件攻击将继续增长。但是,勒索软件即服务提供商可能是网络犯罪经济中的一个变化领域。
这些系统的运作方式是,提供商创建赎金软件工具集,由各个附属机构发送网络钓鱼邮件并协商赎金。这两个团体之间有一定程度的隔离,以建立弹性和与执法部门的隔离。但当局最近表示,他们将对附属组织采取行动。另外,附属公司本身也给中央赎金软件提供商带来了安全风险。
对于企业来说,保障自身不被勒索攻击是一个十分严峻的问题。但是,只要做好基础性的安全工作,建立完善的备份体系以及提高安全意识培训的力度和范围,威胁行为者自然不会将你视为目标。毕竟还有更多“待宰的羔羊”。
原文始发于微信公众号(安在):勒索软件的现状:更快、更智能、更频繁
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论