勒索软件已成为数字时代最普遍、最具经济破坏力的网络威胁之一。2024年,全球企业面临前所未有的挑战,59%的企业报告过去一年遭受过勒索软件攻击,五年内增长了13%。
这些事件的平均成本飙升至185万美元,而平均赎金金额从2023年的199,000美元飙升至 2024年中期的150万美元。
随着攻击者不断改进其策略(从三重勒索计划到利用供应链漏洞),企业必须采取主动、多层的防御策略来保护关键基础设施和数据。
攻击频率和复杂性激增
勒索软件形势愈发严峻。2025年1月,全球共报告510名勒索软件受害者,同比增长82.14%。
Akira、MORPHEUS 和 Gd Lockersec 等组织主导了这一领域,通过基于 Python 的恶意软件和VMware ESXi 服务器漏洞等先进方法瞄准制造业、医疗保健和 IT 行业。
攻击者现在优先考虑 双重和三重勒索、加密数据、窃取敏感信息以及威胁中断运营或公开泄密,以最大化收益。
例如,2024 年,一家美国医疗保健提供商在遭受数据加密的同时还遭遇了 DDoS 攻击,导致财务和声誉损失加剧。
勒索软件即服务 (RaaS) 激增
RaaS 模式使网络犯罪变得民主化,即使是低技能的攻击者也能发动复杂的攻击。像LockBit和 BlackCat 这样的组织会为成员提供现成的工具、技术支持和利润分成协议。
尽管执法部门针对 LockBit 等主要运营商采取了行动,但这种转变仍导致 2024 年勒索软件事件数量上升了 3%。预计到 2025 年,RaaS 将导致针对缺乏强大防御能力的中小企业的攻击激增。
关键基础设施成为攻击目标
能源、医疗保健和政府部门由于其社会影响和通常过时的安全框架已成为主要目标。
2021 年的殖民地输油管道攻击事件,通过一个被泄露的密码中断了美国的燃料供应,凸显了系统性的漏洞。
2024 年,攻击者利用未修补的漏洞,导致北美一家能源供应商遭遇长时间停电,凸显了全行业弹性升级的迫切需要。
殖民管道和多米诺骨牌效应
2021 年的 Colonial Pipeline 攻击事件表明,勒索软件具有破坏国家基础设施的潜力。DarkSide 攻击者通过窃取员工密码入侵网络,加密系统并勒索 440 万美元赎金。
虽然联邦调查局追回了230万美元,但该事件暴露了密码安全和第三方供应商安全方面的关键漏洞。
Kaseya 的供应链泄露事件
2021 年 7 月,REvil 利用 Kaseya 的 VSA 软件中的零日漏洞,影响了 1,500 家托管服务提供商 (MSP) 及其客户。
攻击者通过分发恶意更新,加密了17个国家的数据,并索要价值7000万美元的比特币。此次事件凸显了集中式IT管理工具的风险以及补丁优先级排序的重要性。
MOVEit 全球数据泄露
2023 年,MOVEit数据泄露事件被归咎于 Cl0p,该事件通过 SQL 注入漏洞泄露了 9330 万条记录。攻击者使用自定义 Web Shell 窃取了包括 BBC 和英国航空在内的 2700 个组织的数据。
此次漏洞凸显了文件传输系统进行严格的漏洞测试和实时入侵检测的必要性。
优先考虑补丁管理和漏洞扫描
未修补的漏洞占2024起勒索软件事件的32%。定期更新和自动漏洞扫描至关重要,尤其是对于远程桌面协议 (RDP) 等面向互联网的系统而言。
2023 年 MOVEit 漏洞本可以通过及时修补被利用的 SQL 漏洞得到缓解。各组织机构应采用 CISA 的免费漏洞扫描服务等工具来识别和修复漏洞。
实施不可变备份和网络分段
频繁、独立的备份仍然是最有效的恢复工具。为防止篡改,Astra 建议每日备份,并将其离线存储或存储在不可变的云存储库中。
网络分段进一步限制了横向移动;将网络划分为限制访问的子网,可在 2024 年减少 68% 的攻击影响。例如,Colonial Pipeline 本可以通过隔离受感染的用户帐户来遏制 DarkSide 的传播。
采用零信任框架和CIS控制
零信任原则(例如最小权限访问和持续身份验证)可防止凭证滥用,而凭证滥用占事件总数的 45%。
将其与CIS控制11(数据恢复)和控制10(恶意软件防御)相结合,可以增强对高级威胁的防御能力。例如,旧金山湾区快速交通系统通过实施严格的访问策略和端点检测,挫败了2024年的三重勒索企图。
利用威胁情报和员工培训
实时监控危害指标 (IoC),例如异常DNS查询或 PowerShell 活动,可以实现早期威胁检测。
同时,网络钓鱼模拟和网络安全意识项目减少了人为错误,导致2024年60%的违规行为。JBS在2021年支付了1100万美元的赎金,凸显了事件响应演习和跨部门协调的必要性。
集体防御的必要性
勒索软件从机会主义恶意软件演变为地缘政治武器,这要求网络安全领域进行范式转变。虽然企业必须优先考虑补丁管理、数据隔离和员工教育,但政府和技术提供商也发挥着关键作用。
CISA 的#StopRansomware 指南和针对RaaS运营商的国际工作组等举措至关重要。
随着攻击者利用人工智能和量子计算,网络防御的未来在于主动协作、自适应框架以及对弹性基础设施的投资。现在就行动起来——在下一次殖民管道或 MOVEit 危机爆发之前。
原文始发于微信公众号(河南等级保护测评):勒索软件的兴起——保护系统的策略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论