勒索软件攻击的主要趋势包括:钓鱼邮件、RDP凭证破解、漏洞利用成三大主要突破口,网络犯罪服务租赁市场持续升温,彼此分享受害者信息等;
新技术特点包括:针对云端、托管服务供应商、工业流程、软件供应链等针对性目标进行攻击,挑选节假日和周末下手。
2021年,美国、澳大利亚、以及英国的政府网络安全当局观察到,全球范围内以关键基础设施相关组织为目标的高复杂度、高影响力勒索软件攻击正在持续增加。
这份由美国、澳大利亚及英国网络安全当局撰写的联合网络安全咨询报告,列举了观察到的行为与趋势,同时也提出了缓解建议,希望帮助网络防御方降低遭受勒索软件入侵的风险。
2021年威胁态势
美国联邦调查局(FBI)、网络安全与基础设施安全局(CISA)与国家安全局(NSA)观察到,全美16个关键基础设施部门中有14个曾经遭遇勒索软件事件,具体涵盖国防工业基地、紧急服务、食品与农业、政府设施与信息技术等多个部门。
澳大利亚网络安全中心(ACSC)则观察到,勒索软件正持续将矛头指向澳大利亚国内各关键基础设施实体,包括医疗保健、金融服务与市场、高等教育与研究、外加能源部门。
英国国家网络安全中心(NCSC)则将勒索软件视为英国面临的最大网络威胁,表示教育领域成为勒索软件攻击者的主要目标之一,同时发现针对地方各级政府及卫生部门内各企业、慈善机构、法律界乃至公共服务机构的攻击也是不一而足。
2021年,勒索软件攻击在策略与技术层面仍在继续发展,这表明勒索软件威胁攻击者的业务水平正日益纯熟,也由此令全球组织身陷更为可怕的威胁阴影。
勒索软件攻击的主要行为与趋势
美国、澳大利亚与英国的各网络安全部门在2021年内观察到网络犯罪分子存在以下行为与趋势:
通过网络钓鱼、被盗的远程桌面协议(RDP)凭证/暴力破解以及利用漏洞等方式访问目标网络
网络钓鱼电子邮件、利用RDP以及利用软件漏洞在2021继续成为勒索软件活动中的三大初始感染手段。一旦勒索软件攻击者在对方设备或网络中获得代码执行权限,即可进一步部署勒索软件。请注意:这些感染手段从2020年初步兴起到2021年持续蔓延,而且很可能在远程办公与学校远程教学的大背景下继续保持流行。新冠疫情催生出的远程办公/教育趋势极大扩展了远程攻击面,导致网络防御方很难用传统软件修复方法跟上安全需求的节奏。
网络犯罪服务租赁市场持续升温
勒索软件市场在2021年内正变得愈发“专业”,勒索软件的犯罪商业模式也已全面成熟。除了勒索软件即服务(RaaS)的广泛普及之外,勒索软件攻击者还开始借助独立服务进行款项协商、受害者赎金支付引导、甚至对各方网络犯罪分子之间的利益纠葛开展仲裁。英国网络安全中心观察到,部分勒索软件攻击者甚至向受害者提供24/7全天候帮助中心服务,用以加快对方支付赎金以及系统或数据的恢复速度。
注意:美国、澳大利亚及英国的网络安全当局评估认为,如果勒索软件犯罪商业模式能够持续为攻击一方带来经济回报,那么勒索软件事件将变得更加频繁。受害者的每一次就范、他们付出的每一笔赎金,都会让犯罪分子对于勒索软件商业模式的可行性与财务吸引力再增添一份信心。此外,美国、澳大利亚和英国的网络安全当局还指出,这种犯罪商业模式的出现往往令归因工作复杂化——由于参与攻击的开发者、附属组织及自由职业人士等成分太过复杂,调查一方往往很难确定勒索软件事件背后的实际操纵者。
分享受害者信息
欧洲和亚洲的各勒索软件组织会彼此分享受害者信息,进而形成更为多样的勒索攻击威胁态势。例如,在宣布正式关闭之后,BlackMatter勒索软件团伙就将原有受害者信息转移到另一团伙Lockbit 2.0的基础设施当中。2021年10月,Conti勒索软件团伙甚至直接出售受害者网络的访问权限,以供其他恶意攻击者实施后续攻击。
“大型猎物”攻击浪潮正远离美国
2021年上半年,美国和澳大利亚网络安全当局曾通过多起引人注目的网络安全事件发现,勒索软件攻击者正展开一波针对“大猎物”(即被认定为高价值的组织及/或提供关键服务的机构)的入侵浪潮。此番攻势的受害者包括科洛尼尔管道运输公司、JBS Foods以及软件商Kaseya。但勒索软件攻击一方还没有得意多久,就在同年年中遭到美国当局的打压。随后,FBI观察到部分勒索软件攻击者开始将目标从“大猎物”转向中等体量的受害者,希望借此转移审查压力。
澳大利亚网络安全中心观察到,2021年内澳大利亚本土的勒索软件攻势继续不分体量、持续肆虐,所以这里的关键服务机构与“大猎物”们还没法像美国同行们那样稍稍松口气。
英国网络安全中心则观察到,2021年英国本土不同规模的各类组织都未能幸免于难,其中也包括不少“大猎物”级别的受害者。过去一年,英国的勒索软件受害者涵盖教育、地方各级政府与卫生部门企业、慈善机构、法律界及公共服务等多个领域。
攻击方勒索金钱的方式也是多种多样
在对受害者网络完成加密锁定之后,如今的勒索软件攻击者开始更多运用“三重勒索”手段,即威胁要
(1)公开发布被盗的敏感信息;
(2)破坏受害者的互联网访问功能;及/或
(3)将攻击事件通报给受害者的合作伙伴、股东或供应商。
当然,澳大利亚网络安全中心也观察到不少更为老派的“双重勒索”事件,即攻击一方以加密系统加威胁泄露数据的组合迫使受害者支付赎金。
勒索软件攻击的新技术特点
勒索软件团伙还通过以下方式进一步增加了自身影响力:
瞄准云端。勒索软件开发者开始以云基础设施为目标,利用云应用程序、虚拟机软件及虚拟机编排工具中的已知漏洞。勒索软件攻击者还将矛头指向云账户、云应用程序编程接口(API)以及数据备份与存储系统,阻断指向云资源的访问请求并加密数据内容。除了利用漏洞直接获取访问权限之外,恶意攻击者有时还会入侵本地设备、进而横向移动至云系统以完成对云存储系统的渗透。再有,勒索软件攻击者也会尝试攻击云服务供应商以加密海量客户数据。
针对托管服务供应商。勒索软件攻击者当然不会放过托管服务供应商(MSP),因为他们手中掌握着广泛且受到信任的客户组织访问权限。通过入侵托管服务商,勒索软件攻击者可以一次渗透就攻陷多位受害者。美国、澳大利亚及英国的网络安全当局评估称,未来这类以托管服务商为跳板、以入侵托管服务客户为最终目的的勒索软件攻击事件还将持续增加。
攻击工业流程。尽管针对关键基础设施的大多数勒索软件事件总会影响到商业信息与技术系统,但FBI也观察到一部分勒索软件团伙正在开发专门打击关键基础设施或工业流程的恶意代码。
攻击软件供应链。2021年,勒索软件攻击者开始在全球范围内破坏软件供应链实体,并借此损害并勒索供应链客户。这种从供应链下手的攻击方式能够让威胁方一次行动就拿下多位受害者,从而有效扩大其攻击规模。
挑节假日和周末下手。FBI和CISA都观察到,网络犯罪分子开始在2021年的各个节假日和周末向美国实体发动攻击,并由此获得了更大的威胁影响力。勒索软件攻击者意识到节假日和周末期间组织机构往往无人值守,网络防御方的松懈与IT支持人员的休假自然成为提升攻击成功率的大好机会。
该报告的缓解措施、应对建议等后半部分内容比较冗长,安全内参读者如有兴趣可自行阅读。
参考来源:https://www.cisa.gov/uscert/ncas/alerts/aa22-040a
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。