深信服發布《2020年網絡安全態勢洞察報告》,“雙重勒索”模式成趨勢
2021年5月,美國最大成品油管道運營公司遭勒索軟件攻擊停擺數日,黑客索要500萬美金;
2021年5月,美國最大保險公司遭勒索軟件攻擊,黑客索要贖金 2.57 億元;
2021年5月,全球最大保險公司遭勒索軟件攻擊,該勒索團伙聲稱已經獲得了該集團亞洲業務 3TB 的數據;
2021年5月,愛爾蘭全國醫療系統遭勒索軟件攻擊,黑客索要1.29億元贖金。
自2017年WannaCry勒索病毒在全球范圍爆發,此后四年勒索病毒加速演進,越發猖狂,根據Cybersecurity Ventures的預測,到2021年全球勒索軟件破壞成本將達到200億美元。如今,勒索病毒因危害性極強,已成為全球最大的網絡安全威脅之一,備受業內關注。
在不斷“進化”的過程中,勒索病毒有什么新的特點?
據深信服千里目安全實驗室發布的《2020年網絡安全態勢洞察報告》(以下簡稱“報告”),勒索軟件犯罪團伙逐漸專注大型機構,采用數據泄露結合加密勒索的方式,進行精確的攻擊行動,持續潛伏、制造嚴重破壞,并索要大額贖金。
【特點1】攻擊目標:逐步轉向對政企機構的精準攻擊
近年來,勒索軟件犯罪組織意識到使用廣撒網式的戰術并不能為其帶來更多的投資回報,于是他們開始逐漸采用復雜性和針對性都比較強的交付技術和機制,并瞄準高端市場及更大的公司針對性發起大型“狩獵”活動,要求的贖金也大大增加。根據Coveware的數據顯示,與2019年相比,2020年第三季度的贖金要求同比增加約5倍。
勒索軟件犯罪組織的攻擊目標從個人用戶轉向了大型企業用戶、政府單位、醫療行業以及公共機構等,不是因為這些部門和機構沒有安全防護,而是因為他們在日常運營中非常依賴于關鍵業務數據,一旦業務受到影響,造成的損失不可估量,由此增加了受害者支付贖金的概率。
【特點你2】運作模式:逐漸形成規模化、高度專業化的商業運作模式
如今,勒索病毒攻擊已經從個人行為演變至團隊產業,從病毒制作,到入侵攻擊,再到解密溝通,都有不同的人負責運營,即分布式團伙作案,每個人各司其職,高效運作,勒索病毒的產業運作模式可概括如下:
隨著勒索病毒攻擊發起者逐步向規模化、高度專業化轉變,在針對一些高價值目標(大型企業用戶、政府單位、醫療行業以及公共機構等)的攻擊中,攻擊者不再“淺嘗輒止”,在發起勒索攻擊之前,已經控制目標網絡相當長一段時間,并通過橫向滲透不斷擴展攻擊范圍和竊取更多數據,直到掌握足夠設備和數據之后,才會發起最后的攻擊,這也讓受害者的損失更加慘重。
從2020年的勒索軟件家族來看,活躍家族TOP5分別為Crysis、GlobeImposter、Sodinokibi、Phobos和Cerber,他們的大部分攻擊主要是利用RDP爆破、釣魚郵件作為攻擊入口。從2020年深信服處理的勒索應急事件來看,將近70%的勒索軟件攻擊是由Crysis、GlobeImposter、Sodinokibi和Phobos這四種常見的勒索軟件變種進行的。除此之外,還有幾種新的RaaS變體,例如VegaLocker、MedusaLocker等,這些新進入者以較低的前期成本和技術知識門檻吸引了網絡犯罪初學者。
【特點3】攻擊手段:對數據進行加密和竊取,“雙重勒索”模式成趨勢
根據《報告》顯示,為避免勒索失敗,勒索病毒團伙還采取了新的勒索策略:對數據進行加密和竊取雙重攻擊。在對受害者的數據庫進行加密之前,攻擊者會提取大量敏感的商業信息,并威脅不支付贖金就發布這些信息,使得機構不僅要面臨破壞性的數據泄露,還有相關的法規、財務和聲譽影響。面對這種以泄露數據為手段的勒索攻擊,就算機構有數據備份,為了避免數據泄露帶來的負面影響,只能被迫選擇支付贖金。
比如在全球最大的保險集團設在泰國,馬來西亞、香港和菲律賓的分支機構遭到了勒索軟件網絡攻擊的事件中,Avaddon 勒索軟件組織在其泄漏網站上聲稱,他們從安盛的亞洲業務中竊取了包括客戶醫療報告、身份證復印件、付款記錄等敏感信息在內的3TB敏感數據。根據BleepingComputer報道,Avaddon于5月15日開始在其泄漏站點上公布了安盛一些被竊取的數據, 并威脅安盛,如果十天之內安盛不予他們進行溝通和合作,他們將泄露安盛的重要文件。
對數據進行加密和竊取的雙重攻擊或將成為勒索病毒日后發展的大趨勢,此外,根據Anchain.ai提供的數據,2020年三大勒索軟件組織的贖金賬戶平均資金駐留時間縮短了近十倍,同時隨著勒索軟件攻擊的復雜性不斷增長,勒索軟件的事件響應和溯源難度急劇增加。
為何勒索病毒能越演越烈,如野草般肆虐全球?
據深信服千里目安全實驗室發布的《2020年勒索病毒年度報告》,制作成本低、犯罪成本低以及攻擊方式簡單,是勒索病毒盛行的主要因素。
【原因1】制作成本持續降低,代碼在暗網公開售賣
隨著勒索病毒技術細節的公開,部分勒索軟件代碼被放在暗網上售賣,勒索病毒的制作成本持續降低。2012年,國外安全廠商確認了大約16種不同的勒索軟件家族,這些家族在被不同的犯罪團伙使用。但是所有勒索病毒程序都可以追溯到同一個人,該人顯然是全職的勒索病毒程序創造者,根據要求為犯罪團伙編寫勒索軟件。
【原因2】犯罪成本低,不易被追蹤
作為一種犯罪活動,傳播勒索病毒是低風險的。勒索病毒運營團伙利用了本已繁榮的比特幣轉移服務和惡意軟件即服務運營商的市場,借助數字貨幣和暗網的特性,可以讓攻擊者直接獲得付款而不被警方追蹤,有時犯罪分子甚至居住在一些不與國際社會合作的國家和地區。
【原因3】攻擊方式簡單,技術能力要求較低
勒索病毒的感染方式具有多樣性,可通過暴力破解、魚叉郵件、漏洞利用、僵尸網絡等方式進行攻擊。其中應用最為廣泛的是RDP暴力破解,攻擊者登錄成功后利用黑客工具卸載安全軟件,內網橫向擴散,然后投放運行勒索病毒進行加密,每個步驟都有專業的黑客工具輔助完成,對技術能力要求較低。
面對勒索病毒的威脅,用戶又將如何預防?
從2017年WannaCry勒索病毒在全球范圍爆發至今,勒索病毒的攻擊形式隨著技術發展不斷變化,為了獲取高額贖金,勒索病毒犯罪團伙將攻擊目標從個人用戶轉向了大型企業用戶、政府單位、醫療行業以及公共機構等,在對數據進行加密和竊取的“雙重勒索”模式下,受害者被推向不得不向罪犯低頭的處境。
由于目前大部分勒索病毒加密后的文件都無法解密,因此,勒索病毒以防為主,用戶可通過以下措施進行日常防范:
1、及時給系統和應用打補丁,修復常見高危漏洞;
2、對重要的數據文件定期進行非本地備份;
3、不要點擊來源不明的郵件附件,不從不明網站下載軟件;
4、盡量關閉不必要的文件共享權限;
5、更改主機賬戶和數據庫密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃;
6、如果業務上無需使用RDP的,建議關閉RDP功能,并盡量不要對外網映射RDP端口和數據庫端口。
此外,深信服基于近1000個用戶的最佳實踐總結出勒索病毒的防護思路:在云網端的多層架構下,針對勒索病毒在突破邊界、病毒投放、加密勒索、橫向傳播等各個環節,實現實時攔截、快速查殺、多重監測和有效處置,為客戶提供全方位的勒索防護能力。
完整報告可前往深信服官網首頁下載
