在最近一段时间里,勒索软件生态发生了巨大的变化。据统计,去年全球勒索攻击次数近5000起,相比同期增长近一倍。制造业、服务业和建筑业是最主要的勒索软件攻击目标。此外,LockBit的勒索软件主页被多国联合机构取缔,BlackCat宣布退出生态系统,同时还出现了更多的小型勒索软件组织。
当前的勒索攻击正在发生变化,想要对抗他们,我们需要了解作为生态系统重要推动力的联盟竞争、勒索攻击在2024年的变化以及下一步可能出现的情况。
随着网络犯罪生态系统的发展,勒索攻击变得越来越复杂,许多不同的参与者充斥在这个复杂供应链中的各个环节。目前,勒索软件即服务(RaaS)已成为大型勒索软件集团的主流业务模式。在这种模式下,集团作为开发者,专注于开发新型勒索软件代码并吸引附属公司,附属公司则是执行者,利用集团下发的勒索软件针对目标进行攻击。在获取赎金后,集团与附属公司通常会协商分成。此外,部分附属公司会与更广泛的集团合作,获得更多勒索或是破坏IT基础设施的能力。
这种模式分工明确,规模庞大,使勒索攻击变得简单且泛滥。LockBit 和 BlackCat 都采用了这种模式,这两个最大的集团在2023年的勒索软件攻击中占据了多数。
LockBit 会员规则页面
将执行攻击的“攻坚”工作交给附属公司,可使勒索组织以更快的速度扩大规模,并使更多受害者受到攻击,同时还可推动这些组织继续对其勒索软件代码进行创新。
附属公司有时也会依赖其他供应链来有效实施攻击。在许多情况下,附属公司会从另一类暗网威胁行为者——初始访问代理(IAB)来获取勒索目标的访问权限。
争夺“优质”的附属公司是一项艰难而复杂的工作,这意味着勒索集团之间需要竞争。它们需要附属公司促使模式运作,并且必须在价格和质量上展开竞争,以吸引最好的附属公司。
这造成了一个高度竞争的生态系统,在这个生态系统中,最大的勒索软件集团试图为潜在的附属公司提供比其他集团更大的赎金份额和更少的限制,以此来赢得最“成熟、优质”的附属公司。事实上,LockBit 甚至会从其他威胁行为者那里购买企业 IT 环境的访问权限,以便分发给附属公司,尽管这会大大降低 LockBit 的潜在回报。
在 LockBit 对话中,威胁行为者
从最近的 XSS 线程中为附属公司购买访问权限
在过去的四个月中,勒索软件生态系统发生了巨大变化。首先,BlackCat 的“官方”博客于 2023 年 12 月被关闭,这导致 BlackCat 建立了一个新博客,并宣布他们将支付给附属会员的赎金份额提高到90%,这一大幅调整很可能反映出他们对留住顶级附属会员的能力缺乏安全感。
随后,LockBit 的博客于 2024 年 2 月被删除。虽然其基础设施遭到破坏,但这些组织本身仍然逍遥法外。执法部门虽然无法完全阻止这些组织运营的能力,但取缔行动依然对联盟生态系统有重大影响。
作为一个大型集团有利有弊,一方面,大型集团往往拥有更为良好的勒索软件代码和更具优势的赎金分成,这会吸引大量的附属公司参与其中,从而推动马太效应的形成。另一方面,大型集团也会成为执法者的首要目标,一旦遭受打击很可能会失去大量的附属公司。前段时间,LockBit 和 BlackCat被执法部门制裁,这导致这两个组织的附属会员数量骤减。
据称,BlackCat 在成功向美国一家大型医疗保健实体索要2200万美元赎金后,拒绝向附属成员支付赎金,从而失去了附属公司的信任。业内人士推断这可能是导致BlackCat 退出勒索软件生态系统的原因之一。
勒索软件组织靠信誉生存,这看起来很怪,但事实确实如此。在网络犯罪世界中,信任是很罕见的,而骗局却非常普遍。勒索软件集团要想拥有技术精湛的“优质”附属公司,就需要长期建立信任,并将这种信任与他们的“品牌”联系起来。
勒索软件集团需要信誉才能成功开展业务,这在黑灰产环境中显得尤为困难。对于成员来说,加入勒索集团意味着潜在的风险,即执法部门可能会获得足够的信息来识别他们的真实身份。同样,对于受害者来说,如果执法部门可以有效制裁勒索组织,并提供解密密钥,他们就会失去支付赎金的积极性,从而进一步打击勒索软件集团以及关联公司。
勒索软件不会在短期内消失,但其生态系统将发生重大变化。摧毁勒索软件基础架构肯定会对受影响的群体造成暂时性的破坏,但不会对由成百上千的附属成员驱动的生态系统造成永久性的影响。
2022 年,Raid Forums 被执法部门取缔,这导致许多新的小型暗网论坛出现,因为逃离的用户形成了自己的社区。所以说,随着对勒索软件集团的进一步制裁,我们很有可能会看到包括 LockBit 、BlackCat等大型勒索社区的覆灭,但也有可能看到更多的小型勒索团伙的出现。
从短期来看,随着生态系统向新模式转变,勒索软件的威胁短期内可能会有所减弱。无论生态系统如何变化,帮助企业降低风险的方式依然有效。
建议企业对窃取日志和泄露的凭证进行广泛监控:基于身份的攻击是威胁组织用来入侵企业 IT 环境的主要手段之一。确保组织对数百个网络犯罪社区进行广泛的暗网监控,在这些社区中,窃取者日志和泄露的凭证被出售和共享。
修补已知漏洞:许多勒索软件附属成员通过已知漏洞获得初始访问权限,而企业却延迟修补这些漏洞。在补丁管理计划中,优先处理对外资产上已被利用的漏洞。
在所有企业应用程序中使用 MFA/2FA:建议企业在所有内部 SaaS 和企业应用程序上实施 2FA 控制。由于 SIM 卡交换的风险始终存在,因此验证应用程序比短信更有效。
某电商公司安全管理杨文斌表示,随着新技术的发展,勒索攻击的手段持续升级,不仅攻击手法的恶劣,攻击对象范围持续扩大。勒索攻击已成为网络安全威胁最大的安全隐患之一,更是数据安全最大的风险因素。攻击方式不再是加密数据,已经发展为窃取数据、业务瘫痪等更加恶劣的攻击目的。特别是随着大模型的发展,数据价值表现出来,数据的经济利益更加凸显,利益驱使攻击性活动更加猖獗。
对于防范勒索攻击在当下尤为重要,他提出了几点建议:
1.员工的安全意识是最大的安全隐患,持续提升不同岗位部门的安全意识,降低被勒索概率;
2.制定防勒索攻击预案,定期开展预案培训演练;
3.关键业务核心数据做好备份,定期开展备份数据测试;
4.借助外部力量进行勒索病毒监测识别,提前规划应急策略。
某安全从业者表示,勒索软件的危害性主要体现在以下几点:
首先,勒索软件会极大地干扰企业或者个人的正常工作。勒索软件通过加密用户的重要文件和数据,使得用户无法访问或处理这些信息,严重影响了日常工作和生活。
其次,勒索软件会导致重要信息的泄露。在使用勒索软件的攻击中,攻击者会胁迫用户支付赎金,否则就威胁泄露受害者的重要数据和私人信息。
第三,勒索软件对于企业而言会造成重大经济损失。一旦企业遭受勒索软件攻击,其生产系统、财务数据等重要信息可能会被加密,导致企业无法正常运营,也可能会面临付出高额赎金的威胁。此外,支付勒索会引起其他黑客团伙的注意,并可能导致更多的攻击行为。
知乎用户IT新鲜事表示,2015年,RaaS这种新型运营模式诞生,攻击者的技术门槛越来越低。2017年,WannaCry席卷全球,勒索攻击大规模爆发。2021年,双重勒索(数据加密+数据窃取)成为主流,比如英伟达被勒索,数据泄露。到了2022年,全球平均每12秒就会受到一次勒索攻击。RaaS的兴起意味着勒索攻击的成本越来越低了,哪怕中小企业都不愿放过!
勒索软件生态的变化一方面来自日渐成熟的RaaS模式,另一方面也与相关部门的制裁有关,但是,无论生态环境如何变化,勒索攻击由于其多样性和破坏性,依然是当下实现安全的重要挑战。因此,对于企业来说,如何防范勒索是一个长久不衰的话题,在持续对其保持警惕的同时,也要在技术层面提高安全水平,减少事后损失。
https://www.bleepingcomputer.com/news/security/ransomware-as-a-service-and-the-strange-economics-of-the-dark-web/
原文始发于微信公众号(安在):勒索软件即服务(RaaS)与暗网的「奇异经济学」
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论