近年来勒索软件的不断增长,使其成为每年安全威胁榜上居高不下的热点议题。2023年最值得被关注的勒索事件——“宇宙第一大行”被LockBit勒索并支付赎金,造成了90亿美元的未结算交易欠款,并扰乱26万亿美元的美债交易流动性。
因此,2024年仍然是备受挑战的一年,尤其是对于金融体系,自X行被高调攻击后,全球各大银行都竞相提高安全防御能力。
近年来,勒索软件采用的主要技术发生了变化,数量也随着市场变化而变化,犯罪分子不断改进勒索方法,提高勒索效果。纵览其演变趋势,犯罪分子渐渐不再依赖加密技术,转而将目光投向了勒索技术的精进。这种演变主要由于以下三点:地缘政治影响、犯罪分子的专业化和各国政府与执法机构应对威胁的态度。
01
—
地缘政治引发网络战争危机:
多年来,全球一直在发生与地缘政治相关的地下网络战争。随着俄乌战争进入白热化,网络战争也越发激烈明晰。犯罪团伙已经抢先国家一步,对对手的关键基础设施发动公开打击。
有专家称:“勒索软件攻击的增长速度看起来略有放缓,但那只是一个虚假信号。”目前,全球最强大的网络犯罪团队正在集中攻击乌克兰的关键基础设施,只要冲突一结束,所有的技术、工具和资源都会快速部署到勒索软件攻击上,这是明摆着的事情。
俄乌战争造成的负面影响之一就包括勒索软件的破坏性越来越大。大规模增加的勒索软件攻击正在瞄准所有行业,攻击者会不断尝试领先于供应商开发新的战术、技术和程序,搭载上数据删除的东风,攻击态势愈演愈烈。
犯罪分子采用这种技术的理由有两点:首先,乌克兰关键基础设施损坏引起了相关网络破坏的连锁反应,为犯罪团伙采用数据删除勒索提供了天然便利;其次,既然都是勒索,犯罪分子也倾向于采用更有效的勒索方式,数据删除勒索正是其中之一。
数据删除比加密更快,而且代码编写也容易得多,不需要进行复杂的公私钥处理,也不需要在受害者支付赎金后提供复杂的解密代码来挽回损失。如果数据被破坏,而企业又没有备份,那就只能要么付钱,要么丢失数据。而且目前执法部门的缉查能力越来越强,犯罪团伙在窃取数据后造成的破坏越大,自己的行踪就越不容易被发现。
另外,动荡的地缘政治局势还会带来其它威胁。据统计,每六到七年就会发生一次大规模、深影响的网络病毒流行,臭名昭著的WannaCry勒索软件蠕虫就曾利用EternalBlue漏洞自动传播到易受攻击的机器上。如果让勒索犯罪组织找到了覆盖率极高的漏洞,这类事情发生的概率就可能很大,而当前的全球紧张局势大大增加了发生影子经纪人式(ShadowBrokers-style)黑客泄密事件的可能性。
目前的地缘政治局势还可能带来一个意想不到的问题:勒索软件组织的分裂和再生。很多大型组织都是跨国的,不同成员有不同的地缘政治归属。这几年许多大型勒索软件集团都倒闭了,其中就包括最大的勒索软件集团Conti。俄乌战争爆发后,Conti领导层倒向俄罗斯的政治立场引发了内部纷争,乌克兰成员脱离了Conti,还泄露了内部文件,Conti只能关闭后改名。
不过,虽然旧组织倒台了,但新组织还在不断涌现。随着领导层与分支机构自立门户、隐退江湖和改弦易辙,Conti的倒台和Darkside的改名都证明改头换面能有效摆脱不必要的关注,无利不起早,如果再这样继续下去,“新生”的勒索软件组织数量将会急剧增加。
02
—
▌ 精英犯罪团伙崛起:勒索软件行业商业化
最初只是小打小闹,但经过多年演化,这些团伙的运作效率已超过许多世界500 强企业。精英犯罪团伙开发恶意软件,出租给第三方公司,收取一定的费用,在减少个人风险的同时还获取了巨大的利润,这种成功会越来越多的团伙走上同样的道路。
不过,非头部的勒索组织以及RaaS的付费机构可能在和执法机构的较量中吃瘪。就像打地鼠一样,RaaS组织会浮出水面、实施攻击、被执法机构拿下后销声匿迹,又蓄谋在未来重新浮出水面。犯罪组织内部的不稳定性也是导致不同组织此起彼伏的重要因素。
▌ 勒索软件攻击演变:新策略、小规模目标和隐蔽技术的崛起
随着对勒索软件的防御能力越来越强,攻击者会不断改变他们的策略。许多攻击者会选择更简单、更边缘的途径来获取同样的关键数据。越来越多的勒索软件会使用各种行之有效的方法避开执法部门,利用常用应用程序(如Microsoft Exchange、防火墙设备和其他广泛使用的应用程序)中的关键漏洞发展其业务。
勒索软件犯罪攻击的重点将覆盖到规模较小、防御能力较弱的机构。一方面,大型组织的防御能力更强,另一方面,便捷操作的勒索软件不断诞生。
未来,勒索软件攻击的规模会更小,金额会更低,但目标群体会更广泛。而且,专业化的攻击者会采用新的攻击技术。一些攻击者能够将物理入侵和网络入侵结合,利用无人机进行近距离黑客攻击,比如在无人机上安装大量的工具,收集离线破解Wi-Fi密码的WPA匹配,甚至在禁区投放恶意USB密钥,等待路人捡到它们,插入电脑。
专家认为,勒索软件集团会更加瞄准云目标。随着云技术的使用和依赖程度继续激增,第三方供应链为那些怀有犯罪意图的人提供了更多藏身之处,针对云提供商会让攻击者获得不小的收益,如HEAT(高度规避自适应威胁)攻击等规避典型安全堆栈的技术的不断涌现,不仅能在传统的企业安全措施下瞒天过海,而且还能引诱员工进入其陷阱。
勒索软件的顽固性也将增加。犯罪分子开始利用更隐蔽的技术来牟利。象甲虫(Elephant Beetle)这样的犯罪组织已经证明,网络犯罪分子可以潜入企业关键业务应用,并在数月甚至数年内不被发现,同时悄无声息地吸走数千万美元。
一个威胁组织可能在世界500强公司的网络中潜伏数月甚至数年,悄无声息地窃取电子邮件和访问关键数据,只有当犯罪组织威胁将敏感信息转移到暗网时,这些公司才会发现他们的数据已被窃取走了。
03
—
除了现有的犯罪团伙日益复杂之外,还有一个需要关注的威胁:全球范围内日益恶化的经济形势。
首先,随着企业不断降低成本,大量IT技术人员被解雇,可能会有越来越多原本遵纪守法的人受到RaaS的诱惑,仅凭这点就可能导致新的潜在犯罪分子开展更多的勒索软件攻击。
其次,公司会受经济形势影响,减少人员编制,削减安全预算。对于高层来说,网络安全支出可能是额外开支,而不是维护公司的基本支出。这些公司会减少对网络安全工具或人才的预算来削减开支,但这实际上降低了公司检测和预防数据泄露的能力,让危机在不知不觉中潜滋暗长。
而且,仅靠执法机构是不够的,需要在政府层面上对勒索软件组织进行有力打击。因为执法机构或许能摧毁犯罪基础设施,但犯罪团伙只会转移到新的基础设施继续实施犯罪。唯一能阻止勒索的办法就是阻断牟利——如果犯罪分子无利可图,他们就会停止作案并尝试其他方法,但这很不容易。随着勒索软件的破坏性越来越大,支付不支付赎金都可能成为重大问题。如果公司拒绝满足犯罪分子的要求,让被盗PII(个人身份信息)的受害者面临未知的风险,那任何一个禁止支付赎金的部门都会成为众矢之的。
04
—
说到底,战胜勒索软件更多取决于各大公司自身的网络防御能力,但即便是安全防御能力最强的公司也难以保证能够100%抵抗勒索软件团伙的渗透。
因此我们通常建议企业尽早开始主动防御,主动防御的目的是抢占先机。
一方面,企业要与攻击者争分夺秒,尽可能在成为攻击目标之前就做好防御准备,验证自身是否能够抵御最热门或是最新的攻击手段。
另一方面则是与其他可能被攻击的企业赛跑,率先做好安全有效性验证,就能在勒索团伙无孔不入的攻势中抢先上岸。
在当前烈火烹油的安全形势下,企业提升安全防御能力更要有的放矢,针对自身薄弱之处加以完善和强化。塞讯验证从攻击者视角出发,以真实的攻击手段去验证企业的防御能力,精准定位安全防御短板。用户可在塞讯安全验证平台上筛选勒索软件相关攻击手法,验证自身是否能够抵御。
需要格外注意的是,即便是那些看起来并不严重的防御失效点,也需要被及时发现和修复,迟钝的响应相当于给攻击者亮绿灯,使得企业更容易成为犯罪团伙屡次攻击的对象。