2020年,勒索软件的人气飙升,与APT一起成为最危险的网络安全威胁。针对性强、复杂性强、破坏成本高是2020年勒索病毒加速“进化”的三大特征。过去一年,业内多家安全厂商对勒索病毒进行监测发现,勒索病毒在经历了一段时间的低迷期后,已经全面恢复。潮起潮落,攻击势头和频率也在增加。JuniperNetworkThreatLabs负责人MounirHahad指出了勒索软件攻击再次激增的两个根本原因:首先,加密货币价格的波动。许多密码劫持者使用受害者的计算机来挖掘开源加密货币门罗币;在某个时候,随着Monero的价格下降,密码劫持者将意识到挖矿的利润低于勒索软件攻击。并且由于木马下载器已经植入受害者主机,加密货币劫持者很容易适时发动勒索软件攻击。推动勒索软件卷土重来的另一大趋势是企业级攻击的高盈利能力。攻击越来越多地针对托管关键任务数据的生产服务器。哈哈德说:笔记本电脑被锁了,商家不当回事。但如果与日常业务生产相关的多台服务器被劫持,勒索者讨价还价的余地就太大了。多年来,勒索软件攻击已经成熟,在技术上变得更加隐蔽和复杂,同时修复了早期迭代中的许多实施错误。与冠状病毒类似,勒索软件曾经被“免疫系统”(端点安全软件)扼杀,近年来通过与流行的数据泄露软件“载体”相结合,产生了新的“商业模式”和攻击载体,而其自身的代码和变体也在不断进化。例如,过去主要感染Windows系统,但新一代勒索病毒对MacOS系统、移动操作系统甚至工控系统都构成了威胁,“传染性”大大增强。转移目标:从个人到企业勒索软件最初是对个人消费者的安全威胁,这些攻击用于诱骗人们支付虚假罚款或购买流氓软件来解决不存在的问题。虽然早期的活动证明网络犯罪团伙有利可图,但“2C勒索软件市场”变得人满为患。随着个人防病毒公司提高勒索软件检测能力,通过网络传播勒索软件以吸引尽可能多的受害者的利润越来越低。广撒网并不能给攻击者带来多少投资回报。具有良好横向移动能力的针对性攻击将使这些攻击者获得高投资回报,并且在大多数情况下,横向移动无法通过脚本或机器人自动完成。在获得初始入侵立足点后,攻击者必须手动探测受害网络、移动文件、提升权限并获取管理员凭据,以便远程破坏另一台机器。据Malwarebytes2019年8月发布的一份报告显示,自2018年第四季度以来,针对企业端的勒索软件攻击急剧增加,而针对个人的攻击则呈下降趋势。安全公司Malw??arebytes指出:勒索软件这个曾经沉寂的危险物种,大规模地重新焕发了生机,攻击活动已经从大规模的消费者活动转变为高威胁活动,尤其是针对企业的针对性手动攻击。与EternalBlue漏洞相关。由于永恒之蓝(EternalBlue)漏洞的存在,大大降低了勒索病毒攻击企业的难度。EternalBlue是2017年3月暴露的微软服务器消息块(SMB)协议漏洞,影响所有版本。视窗。该漏洞也成为WannaCry、NotPetya和其他勒索软件蠕虫通过企业网络传播的主要方法。WannaCry和NotPetya的破坏性爆发凸显了企业安全的重要性和脆弱性。过去,人们认为这些拥有强大安全团队的公司很难被黑客攻破,但勒索病毒却轻而易举地突破了传统的安全防御,而且攻击的规模和破坏力巨大,不是因为配置不当,而是因为他们没有及时修补。勒索软件的“成功案例”掀起了“赚钱效应”,不少网络犯罪分子意识到攻击企业更有利可图。影响和损失难以评估由于并非所有私营公司都会披露勒索软件事件,因此很难从成本和流行程度方面量化勒索软件攻击对商业部门的影响。在2019年10月的警报中,FBI的互联网犯罪投诉中心(IC3)警告称,自2018年初以来,“泛攻击”勒索软件活动的频率已大幅下降,但勒索软件攻击的成本却大幅增加。根据IC3:即使攻击的总体频率保持不变,勒索软件攻击也变得更有针对性、更复杂、更具破坏性。上市公司有时会在其向美国证券交易委员会(SEC)提交的文件中发布有关勒索软件攻击影响的信息,作为其向股东披露重大网络攻击的义务的一部分,尤其是当公司需要向客户和合作伙伴报告严重的业务中断时。例如,由于2017年的NotPetya勒索软件攻击,航运巨头马士基不得不暂停17个港口码头的运营,导致等待装载的货船排起长队,以及需要数月才能恢复的后勤噩梦。该事件使公司损失超过2亿美元,但也严重影响了客户的业务。当勒索软件袭击市政、医院、学校或警察局等公共机构时,社会影响更大,获得的统计数据也令人担忧。根据安全公司Emsisoft在2019年12月发布的勒索软件攻击损失报告显示:2019年全年,勒索软件攻击了美国113个政府机构、市政当局和州政府。影响764名医疗保健提供者和89所大学、学院和学区,包括多达1,233所学校。由于预算有限和IT基础设施过时,公共机构不如大公司安全,更容易成为攻击者的目标。勒索软件是一种不亚于APT的新威胁,是为数不多的可以同时攻击财富500强公司和邻居的网络威胁之一。因此,尽管最新趋势表明公共机构更容易成为攻击目标,但对于私营公司而言,勒索软件感染的风险并不低。在过去几年中,勒索软件犯罪集团采用了复杂的技术,包括有针对性的交付机制,以及采用高级持续威胁(APT)技术(例如SamSam)的“手动攻击”。SamSam是一个可追溯到2016年的勒索软件程序,以其“高效手动攻击”部署而闻名,但在过去一年中,Ryuk、RobinHood和Sodinokibi等新的勒索软件组织也采用了类似的攻击方式。战略。此外,有迹象表明勒索软件正在演变为一种新型威胁,网络犯罪分子不仅会加密数据,还会窃取数据并威胁将其发布到互联网上。这使组织面临破坏性的公共数据泄露以及相关的监管、财务和声誉影响。2019年12月,一个名为Maze的黑客组织威胁说,如果该组织拒绝支付赎金,就会公布通过勒索软件窃取的数据。受害者包括佛罗里达州彭萨科拉市,该市于12月7日遭到攻击,其电话、市政热线、电子邮件服务器和账单支付系统遭到破坏。其他黑客组织已将数据泄露用作勒索技术。2015年,针对消费者的勒索软件Chimera威胁要发布从受害者那里窃取的私人信息。但这只是一种虚假的恐慌,Chimera实际上并没有从受感染的系统中窃取任何数据。多年来,网络犯罪分子披露窃取信息的许多威胁都被证明是错误的,因为窃取大量数据并非易事,黑客需要能够接收和存储数百TB数据的庞大基础设施。然而,随着云基础设施的兴起,这些攻击变得更加可行,云基础设施更容易维护,存储和数据流量成本更低。2019年12月下旬,Maze组织公布了他们声称被盗的一些数据,以证明他们确实拥有从受害者那里窃取的潜在敏感信息。他们在爱尔兰的ISP上托管的第一个网站被关闭,但此后不久他们重新启动了另一个位于新加坡的网站。根据安全专家Kujawa的说法:这是勒索软件威胁的意外演变。可以肯定的是,它确实更多地暴露了罪犯,但这也是一种施加压力的有效方式。它利用媒体的力量。Kujawa认为,勒索软件团伙可能会越来越多地采用这种策略,因为随着越来越多的组织了解如何处理勒索软件并制定可靠的数据恢复计划,犯罪分子可能会发现仅仅锁定文件从他们那里获取资金变得更加困难。新的攻击方法勒索软件的主要分发渠道和方法仍然是鱼叉式网络钓鱼和不安全的远程桌面协议(RDP)连接。但值得注意的是,勒索软件攻击者还可以通过与其他恶意软件或攻击者的“业务合作”获得对感染其他恶意软件的系统的访问权限。勒索软件攻击者可以从地下黑市(暗网市场)购买被黑客入侵的计算机和服务器的访问权限,而僵尸网络也提供付费“掉线”服务。例如,Emotet垃圾邮件僵尸网络、TrickBot凭据窃取木马和Ryuk勒索软件之间的“合作共生”关系众所周知。“Ryuk勒索软件事件的最初损害几乎总是通过主流恶意软件造成的,”托管安全服务提供商Secureworks的安全研究员ChrisYule在11月的DefCamp会议上的一次演讲中说。我们看到Emotet导致TrickBot感染,随着时间的推移,我们看到其中一些TrickBot感染导致Ryuk的传播。根据Yule的说法,Trickbot正在执行其自动凭证盗窃的正常活动,但一旦Ryuk操作员接管,这一切都改变了。该活动变得更加“手动”,涉及使用系统管理工具、网络扫描、使用PowerShellEmpire等常见攻击框架来禁用端点恶意软件检测等。攻击者需要花时间了解环境,识别域控制器等重要目标,为大规模勒索软件攻击做准备,同时尽量不被发现,这实际上是APT组织的常用策略。好消息是,在最初的Emotet感染和Ryuk的部署之间,公司通常可以在很长一段时间内检测和处理感染。在Yule给出的案例中,该期限为48天。坏消息是,如果没有更先进的网络和系统监控工具,很难根据常规安全策略检测到此类手动黑客攻击和横向移动。这意味着尚未部署APT防御措施的组织可能更容易受到勒索软件和其他复杂的网络犯罪攻击。一些勒索软件组织在过去一年中使用的另一个有趣的感染媒介是托管服务提供商(MSP),这些提供商凭借其提供的服务可以访问其许多企业的网络和系统。这带来了一个问题,因为中小型组织将他们的网络和安全管理外包给专业供应商,因此,对于中小型企业,需要采取措施评估和限制受信任的第三方企业或工具来防止这种情况.(编者按:试想一下,微盟删库事件的主角是勒索黑客组织,而不是情绪不稳定的运维人员)。此外,针对企业和部署勒索软件的Web漏洞利用工具包再次兴起,尤其是RIG漏洞利用工具包。这些是通过受感染网站发起的水坑攻击,攻击者知道这些网站与某些业务部门相关,或者目标员工有可能访问这些网站。难以破解的勒索软件加密安全公司一直在努力寻找勒索软件程序的文件加密实现中的漏洞,以帮助受害者在不支付赎金的情况下恢复加密文件。这些解密工具通常免费分发,可在欧洲刑警组织维护的网站NoMoreRansom.org上获取。然而,勒索软件团伙使用的勒索软件程序技术进步很快,攻击者从过去的错误或其他勒索软件开发者的错误中吸取教训,纠正了实施错误。一些勒索软件程序的代码已经在线泄露,可以被复制和改进。该操作系统还提供加密API,并且有经过严格审查的开源加密框架和库。所有这一切都意味着最流行的勒索软件程序也是最危险的,因为它们使用强大的加密算法并且没有解决方案。组织有一个备份计划和一个定期测试的数据恢复计划是至关重要的,通过异地备份或离线存储来防止它被攻击者删除或加密。勒索软件防御常规的勒索软件防御措施一般有以下几点:1.安全加固首先,组织应进行内部和外部渗透测试,并识别任何可能存在漏洞的系统、服务器和网络远程连接(如VPN或RDP)。启用高熵密码(消除弱密码)和双因素身份验证(2FA)。在网络内部,公司应确保他们在端点和服务器上运行的软件的操作系统和补丁是最新的。网络应根据最小权限原则进行分段,这样一个部门的工作站就不会轻易导致整个网络的接管。在Windows网络上,应仔细监视域控制器以防止异常访问。2.供应链安全依赖MSP或托管安全服务提供商(MSSP)的组织应确保来自这些第三方的连接受到监控和记录,并启用双因素身份验证。提供给第三方的网络和系统访问权限应限于执行其工作所需的内容(最小权限策略)。3.资产发现企业应尽快建立对业务运营至关重要的数据资产的完整清单,并严格控制资产清单存储制度。4.端点保护由于许多勒索软件感染都是从受感染的工作站开始的,因此使用端点反恶意软件非常重要。这同样适用于从浏览器中删除不需要的插件和扩展、使软件保持最新以及确保员工帐户具有有限的权限。5.意识培训培训员工如何发现网络钓鱼电子邮件以及如何询问要求他们打开文件或单击链接的未经请求的消息。创建一个由安全团队监控的特殊电子邮件地址,员工可以在其中转发他们认为可疑的电子邮件。6.事件响应最后,起草一个事件响应计划,并确保所有相关人员都知道他们的角色以及在发生违规事件时需要做什么,包括如何与您的安全供应商或MSSP和执法部门进行沟通。不要对常规的恶意软件感染掉以轻心,尽可能彻底地调查它们,它们通常是更严重威胁(如勒索软件)的入侵媒介。7.最佳实践框架2020年2月,美国国家标准与技术研究院(NIST)发布了两份处理勒索软件最佳实践的指南草案。指南草案的标题为“数据完整性:识别和保护资产免受勒索软件和其他破坏性事件的侵害”和“数据完整性:检测和响应勒索软件和其他破坏性事件”。该草案预计将于2020年下半年完成。相关材料和工具:勒索软件解密工具网站(NoMoreRamsom):https://www.nomoreransom.org/en/decryption-tools.html美国网络安全和基础设施安全局勒索软件预防建议:https://www.us-cert.gov/RansomwareNIST勒索软件检测和响应指南:https://www.nccoe.nist.gov/projects/building-blocks/data-integrity/detect-回复【本文为专栏作者“安全牛”原创文章,转载请通过阿牛安牛(微信公众号id:gooann-sectv)获取授权】点此阅读作者更多好文
