【编者按】随着勒索软件的成功运营,现在公然在地下论坛上宣传他们的服务。随之而来的是,攻击方法也变得越来越复杂。攻击者现在以压倒性的优势,进行双重勒索及三重勒索要求,从而增加了受害者支付赎金的压力。Venafi的一项最新调查显示,83%成功的勒索软件攻击具有双重或三重勒索特征。勒索软件行为者缺乏可信度,在已支付了赎金的情况下,勒索仍在继续。尤其令受访者担忧的是,攻击方法的发展速度快于防范攻击所需的安全控制。 

勒索软件不再仅仅通过相对简单的加密方式运行,而是首先加密文件,然后要求支付赎金来解密文件,从而阻止对组织数据的访问。网络犯罪分子在攻击中增加了额外的特征或阶段,最常见的表现为双重和三重勒索。

根据Check Point的研究表明,双重勒索在2020年第一季度成为一种趋势,在加密受害者数据库之前提取敏感商业数据,然后威胁要公布私人数据,以加大压力。三重勒索是随后很快就出现的一种趋势,以组织的和客户或供应商为攻击目标,威胁要暴露从受害组织收集的数据。

一、新型勒索手段呈上升趋势

过去一年,83%成功的勒索软件攻击都是双重/三重勒索,71%的IT决策者认为这种做法比12个月前更加普遍。Venafi的调查数据显示,这些新形式的勒索软件正变得越来越普遍。被勒索软件攻击的组织经历了以下威胁:

  • 38%威胁要用被盗的客户数据勒索客户;
  • 35%威胁要在暗网上公开数据;
  • 32%威胁要通知客户数据被盗。

尤其令人不安的是,有些即使组织支付了赎金,数据仍然被泄露。虽然拒绝支付赎金的组织中有16%的数据暴露在暗网上,但支付赎金的公司中有18%的数据仍然暴露在暗网上。在支付赎金的受害者中,35%无法找回数据。

公司面临的一个严峻挑战是,勒索软件攻击方法的发展速度快于安全控制,这推高了勒索软件控制方面的支出。而双重/三重勒索所施加的额外压力使组织更难拒绝要求。

  • 72%的受访者认为,勒索软件攻击的发展速度快于防范它们所需的安全控制;
  • 因此,由于双重/三重勒索的威胁,76%的公司计划在2022年在针对勒索软件的控制上投入更多资金;
  • 65%的受访者认为,双重/三重勒索要求使得拒绝支付勒索赎金变得更加困难。

但尽管压力越来越大,75%的受访者认为,支付赎金的公司是未来攻击的目标。74%的受访者认为,为任何攻击支付赎金对每个人都不利,因为这会助长勒索软件生态系统。

同时,Proofpoint近日发布的《2022网络钓鱼态势报告》显示,70%的受访者声称其组织在2021年至少遭受过一次勒索软件攻击,近60%的受访者选择与攻击者谈判,并且许多人最终多次支付了赎金。美国17%的受访者经历了勒索软件攻击,并支付了赎金,以重新获得个人设备或数据的访问权限。法国81%的受访者组织在2021年经历过勒索软件攻击,但只有44%的组织在安全意识培训计划中涉及勒索软件。英国82%遭受勒索软件攻击的组织选择了支付赎金,比全球平均水平41%高出很多。

Venafi的威胁情报分析师Yana Blachman表示,“勒索软件开发人员可以非常简单快捷地在恶意软件中添加新漏洞或新功能。勒索软件开发人员可以在几天内利用网上暴露的漏洞进行攻击。另一方面,对于防御者来说,实施安全控制要困难得多,因为可能需要数周或数月的时间才能通过补丁和新的控制措施做出回应。”

二、缺乏可信度

勒索软件组织对受害者的承诺缺乏可信度基于以下原因。首先,大多数勒索软件即服务(RaaS)运营都是短期的,因此他们只是希望在尽可能短的时间内实现利润最大化,并不关心长期声誉。其次,许多叛变的附属机构不遵守核心勒索软件运营商制定的规则,执行这些规则很少被视为这些组织的优先事项。第三,即使数据没有立即泄露,数据泄露的残余可能会在多个威胁行为者系统中保留很长时间,并且几乎总是迟早会进入更广泛的网络犯罪社区。

最令人不安的趋势之一涉及已被泄露的敏感数据。正如网络安全和基础设施安全局(CISA)在一份咨询报告中指出的那样,这种攻击武器避开了典型的防御,并加大了支付压力。这些数据对威胁者来说更具杠杆作用,越来越多的客户数据是其中的一部分。

Palo Alto的Unit 42威胁情报副主任Jen Miller Osborn在接受采访时表示,在联系第三方时,有些威胁行为者会非常激进。他们会说,“嘿,你知道这是怎么回事吗?这涉及你的数据,包括银行信息和私人照片。”

此时,针对勒索软件的典型防御措施并不适用,例如系统和数据的备份和恢复。Blachman表示,“攻击者可能获得了整个业务都依赖的敏感和私有数据。现在勒索软件几乎无处不在,企业已经实施了恢复系统和备份,这是威胁者让目标支付费用的最佳途径。”

支付赎金只会促使攻击者索要更多的赎金,因为这发出了一个信号,即受害者认为这是摆脱麻烦的最简单方法,但实际上这只不过是一种幻觉。

Venafi副总裁Kevin Bocek表示,“组织没有准备好防御泄露数据的勒索软件,因此支付了赎金,但这只会促使攻击者寻求更多。即使在支付了赎金之后,攻击者仍在实施勒索威胁。这意味着CISO承受着更大的压力,因为成功的攻击更有可能造成影响客户的全面服务中断。”

三、缓解措施

超过四分之三的受访者表示,政府需要介入,帮助企业打击勒索软件,企业和政府需要共同努力。67%的受访者认为,公开报告勒索软件攻击和勒索支付会减缓勒索软件增长。74%的受访者认为,勒索软件应该被视为国家安全问题。77%的受访者认为,政府需要采取更多措施,帮助私营企业抵御勒索软件。76%的受访者认为,在未来,公司和政府需要更紧密地合作,以应对勒索软件的威胁。

到2021年底,每11秒就会有一个组织遭受勒索软件攻击。美国政府在打击勒索软件方面变得更加积极主动。CISA有一个名为Stop Ransomware的网站,致力于提供减少勒索软件攻击机会的最佳实践,该网站包括网络安全评估工具(CSET)及勒索软件就绪评估(RRA)模块。

但这并不意味着勒索软件会轻易消失。Venafi高级产品营销经理Eddie Glenn表示,“应对勒索软件没有单一的方法。防止点击电子邮件中的链接、发送电子邮件附件、或在电子表格中运行宏等方法都没有效果。公司可要求所有宏都使用已颁发给个人的公司安全政策批准的代码签名证书进行签名,从而接收宏的人可以确保宏源于受信任的员工,而不是恶意外部第三方。采用代码签名宏或零信任安全模型等更现代的安全实践,可以最低的效率影响来解决这些威胁。”

对此,Check Point建议实施以下缓解措施:

更新补丁。著名的WannaCry攻击使用的永恒之蓝漏洞在攻击发生之前一个月就已修复,然而许多组织和个人没有及时应用补丁,导致勒索软件爆发,三天内感染了超过20万台计算机。使计算机保持最新状态并应用安全补丁,尤其是严重漏洞的补丁,可以帮助限制组织遭受勒索软件攻击的脆弱性。

员工教育。培训用户如何识别和避免潜在的勒索软件攻击至关重要。当前的许多网络攻击都始于一封甚至不包含恶意软件的有针对性的电子邮件,而是一个鼓励用户点击恶意链接的社会工程信息。用户教育通常被认为是组织可以部署的最重要的防御措施之一。

关注恶意软件。勒索软件会购买目标组织的入侵点。安全专业人员应该关注其网络中的Trickbot、Emotet、Dridex和CobaltStrik感染,并将其删除,因为这些恶意软件会为勒索软件渗透到组织打开大门。

在周末和节假日提高警惕。大多数勒索软件攻击都发生在人们不太可能注意的周末和节假日。

 

参考资源:

【1】https://www.venafi.com/blog/venafi-survey-ransomware-evolves-double-and-triple-extortion-now-features-over-80-ransom

【2】https://www.bleepingcomputer.com/news/security/ransomware-extortion-doesnt-stop-after-paying-the-ransom/

【3】https://www.proofpoint.com/us/blog/security-awareness-training/2022-state-phish-explores-increasingly-active-threat-landscape

【4】https://blog.checkpoint.com/2021/05/12/the-new-ransomware-threat-triple-extortion/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。