自上世纪80年代末以来,勒索软件便成为网络犯罪生态系统的重要一环,时至今日,它仍然是网络环境的主要威胁。随着威胁行为者利用漏洞、社会工程和内部威胁等手段,勒索软件攻击的形式不断演变,变得越来越复杂。面对充满未知的未来,我们可以通过回顾过去和最近的趋势来预测未来。
2005年至2020年:快速变化的格局
虽然第一起勒索软件事件发生在 1989 年,但勒索软件攻击在 2005 年迅速升级。
2005年,Archiveus木马是第一个使用RSA并对“我的文档”文件夹中的所有文件进行非对称加密的勒索软件。
2009年,出现了一种名为Vundo的病毒,它可以对计算机进行加密并出售解密器,从而使组织能够获得更多利润。
2012 年,出现了一种被称为“恐吓软件”的新策略,其中包含自称是执法部门的信息,并建议受害者需要付费才能避免被起诉。恐吓软件导致向威胁行为者支付的费用增加。
2013 年至 2016 年间,勒索软件通过僵尸网络在全球范围内变得更加普遍。此外,第一个真正的 Mac 勒索软件增加了更多受害者的机会。
2016 年,观察到第一个勒索软件即服务(RaaS) 变体。RaaS 的发展消除了威胁行为者开发自己的恶意软件的需要,允许缺乏经验的组织成功地攻击组织。这导致勒索软件攻击增加。
2019年至2020年间,勒索软件组织创建了专门的泄密网站,向受害者施加更大压力,要求他们支付赎金,以避免被盗数据公开的潜在威胁,从而给受害者带来进一步的经济损失。这种威胁行为者的策略通常被称为“双重勒索”。
2021 年至今:更多攻击,更复杂
在当今环境中,勒索软件仍然是一个相关威胁。2021年以来,勒索软件组织通过更新策略、组建新组织、寻找新目标以及利用外部因素变得更加复杂。这些变化对于勒索软件组织保持领先于安全措施并帮助确保支付更多赎金非常重要。
策略、技术和程序 (TTP) 变更
团体仍然采用双重勒索策略;然而,某些团体现在使用“三重勒索”和“四重勒索”策略来说服受害者支付赎金。三重勒索增加了受害者支付赎金的可能性,特别是对于关键基础设施组织而言。在三重勒索中,威胁行为者除了对系统进行加密和在不支付赎金的情况下暴露数据之外,还威胁进行分布式拒绝服务 (DDoS) 攻击,这可能会导致政府、医疗保健或公用事业等公私相互依赖的部门长时间停机。与三重勒索相比,四重勒索通过联系客户和业务合作伙伴,告知他们敏感信息已被盗,向受害者施加压力。这给受害者增加了另一层支付压力。
为了获得对受害者的初始访问权限,勒索软件组织采用各种方法,包括联系目标组织内的工作人员(内部威胁)、发布广告请求对特定目标的初始访问权限以及与出售对各种目标的现有访问权限的初始访问经纪人合作。
据 CrowdStrike 称,2022 年初始访问经纪商产品有所增加,超过 2,500 个职位提供初始访问,以及这些职位的顶级行业产品,包括学术界和科技公司。与 2021 年相比增加了 112%,这清楚地表明勒索软件团体有兴趣购买初始访问权限,而不是自行购买。
更多新的勒索软件组织
许多因素可能导致新勒索软件团体的增加,包括为多个团体工作的附属机构和代码泄漏。自 2021 年以来,许多观察到的勒索软件源代码和构建器泄漏使得几乎没有经验的组织能够创建或修改勒索软件。包括 Babuk、Conti、Lockbit3.0 和 Chaos 在内的代码泄露使得新组织能够产生更频繁的攻击,从而改变威胁格局。然而,研究人员观察到,使用这些泄露的构建器的团体往往会要求较低的赎金。这可能表明这些组织在测试新变体时试图避免引起注意。
针对 Linux 和 ESXi 计算机
勒索软件团体继续针对Linux 或 ESXi 计算机等操作系统和平台。这些是主要目标,因为它们通常托管文件服务器、数据库和 Web 服务器。组织还将创建 Linux 加密,专门加密 ESXi 虚拟机。Linux 仍然是制造和能源等关键基础设施行业使用的嵌入式、受限和物联网设备最流行的操作系统。此外,2022 年针对 Linux 系统的攻击增加了 75%,并且可能在 2023 年下半年继续增加。
全球和地缘政治因素的影响
最近的全球和地缘政治因素也影响了勒索软件攻击的增加。包括 COVID-19 在内的全球因素使医疗保健部门成为有吸引力的目标,无论是为了获取疫苗信息,还是为了机会主义攻击(在这种攻击中,不堪重负的医院更有可能支付赎金)。地缘政治紧张局势和制裁也继续影响勒索软件攻击。与俄罗斯、朝鲜政府有联系的 APT 组织利用勒索软件获取经济利益并造成破坏。
勒索软件将如何继续发展?
勒索软件攻击将继续发展,变得更加复杂、先进和有针对性。威胁行为者正在掌握一种新技术,攻击者可以利用供应链中的漏洞发起大规模勒索活动。例如,今年,Cl0p 勒索软件渗透了MOVEit(一种安全的托管文件传输应用程序),该应用程序继续影响数百家公司。为了获得更大的回报,威胁行为者可能会继续寻找许多组织所依赖的公司的初始访问权限。
由于公司继续将关键数据转移到云存储中,云感知勒索软件可能会增加。勒索软件组织可以利用云服务、应用程序和基础设施来获得初始访问权限。对于威胁行为者来说,这是一个有吸引力的机会,因为有大量关键信息可用于锁定目标并勒索赎金。
群组将继续使用间歇性加密,即仅对部分文件进行加密的过程。加密能够避免端点安全以及扩展检测和响应等产品,这使得安全系统更难检测到它。通过仅加密特定的数据行,间歇性加密还可以实现更快的解密过程,这可能会诱使受害者支付赎金。
无加密勒索攻击也将持续;这些被称为勒索或数据盗窃攻击。这些攻击已经使用了很多年,并且根据需求和威胁行为者的复杂程度继续呈上升和下降趋势。在这些攻击中,团体窃取数据并威胁公开数据而不是对其进行加密。
随着人工智能 (AI) 和 ChatGPT 等 AI 模型的发展,勒索软件组织可能会顺应趋势并利用聊天机器人、AI 开发的恶意软件、自动化流程和机器学习算法等AI 工具。人工智能可能会帮助组织开发更先进和复杂的技术来逃避当前的勒索软件预防和指导。我们可以预期所有类型的勒索软件威胁行为者都会利用人工智能来帮助他们成功完成攻击。
向过去学习
后记:我们在整理学习网络安全知识时,还是保持着比较谨慎的态度的,因为我们知道美国在网络领域用友绝对的霸权,凭借其强大的信息技术实力和网络话语权,通过网络舆论的强大攻势,让目标在短时间内陷入被动局面。在这种认知战的背后,是美国对全球话语权的掌控和垄断。试图通过掌控全球舆论的方式,达到操控世界的目的。
因此,我们应该保持清醒的头脑,理性看待各种来自美国的舆论导向。在面对各种舆论时,我们需要有自己独立的思考和判断。只有这样,我们才能保持自己的立场和态度。
>>>错与罚<<<
