安全419盘点|2023年Q2勒索软件攻击趋势总结

网络犯罪专业化发展是调研机构认为的2023年网络安全主要趋势之一，其中又以勒索软件攻击商业模式系统化发展最具代表性，这种趋势带来的威胁也是代言网络安全的一种长期威胁。安全419长期关注安全产业的发展与网安趋势变化，现观察并总结2023年Q2期间勒索软件攻击相关事件发现如下趋势：



每天至少10起 勒索数量不减
 
根据安全机构的监测数据显示，2023年4月份共发生344起勒索软件攻击事件，进入5月份，数量再次攀升至414起，这一数量仅低于3月份创纪录的437起。需要注意的是，以上数据仅通过监测公开信息源所得，这也代表着实际发生的勒索软件攻击事件远超以上数字。
 
不同机构监测数据存在一定差异，有机构通过监测近150个网络犯罪集团发现，平均每天至少有10家企业遭受勒索软件攻击。一家安全公司在6月份发布了一份针对印度市场的安全调研报告称，在过去的一年，超过90%的印度组织成为勒索软件攻击的潜在目标。
 
英国国家网络安全中心现在每天都在处理严重网络安全事件，该部门联合数据保护部门在5月发布博文呼吁企业在发生网络安全事件之后保持更高透明度，称这将减少自身损失并降低对网络犯罪集团的变向支持。但实际上市场与监管等因素导致更多受害企业并不愿意主动披露。
 
有安全企业向安全419表示，勒索软件趋利性让其成为技术迭代最快的攻击之一，而企业数字化过程不断加快，数字化过程扩大了企业原有的攻击面，这也是勒索数量不减的两大核心原因，企业现在急需增加主动防御策略，在原有安全策略上添加补偿性安全措施。
 
赎金支付意愿降低 多重勒索盛行
 
根据一份安全报告披露，勒索软件受害者在支付赎金方面正在急剧下降，按年度统计来看，支付赎金的意愿已经从2019年的85%下降到了2022年的37%。分析下降的原因一方面是企业在安全和事件响应方面的投资正在增加，同时不同地区的政策监管要求结合支付赎金并不光彩，是赎金下降的主要因素。
 
企业应对方面的安全建设仍然被认为占主导地位，企业对勒索软件攻击带来的生存风险有了高度认知，具有针对性的安全建设有效地转移了安全风险，比如勒索软件就推动了EDR等端点安全产品的高速增长，企业也关注到了容灾备份方面的对于抵御勒索软件的有效作用。
 
尽管不同地区法律都将禁止支付赎金，或不建议企业支付赎金作为对抗勒索的根源手段，但实际实施仍存在较大执行难度。参与勒索软件事件响应的一家安全公司二季度向媒体披露，在公共部门（地方政府、学校等机构）的勒索案例中有35%支付了赎金，相比一季度下降10%。
 
企业支付赎金的意愿正在降低，但是另一方面成功的攻击在勒索方式上也在演变升级，从加密到解密，现在勒索组织正在频繁使用多重勒索、重复勒索等手段，以增加“盈利”预期。在涉及个人敏感信息时，勒索组织已将三重勒索加入谈判策略当中，裹挟企业所服务的客户向受害企业施压，否则将泄露个人敏感信息。
 
勒索遍布全行业 勒索成本持续加重
 
政府公共部门、教育医疗机构、商业组织、金融机构、关基单位、军工单位，在二季度，勒索软件组织主要光顾的仍然是上述类型机构，受影响组织达上千家。
 
安全企业告诉安全419，政府单位、教育医疗机构现在是勒索软件主要目标，主要原因还是这些机构的安全建设相较薄弱，而从总体趋势上看，几乎所有组织都在经历数字化、数智化改造，问题在于组织对更广泛的数字业务计划的资金投入远超安全投入。企业必须在数字创新、业务创新的同时，将安全投入保持一定程度的水平之内。
 
事前的安全建设将是企业客户抵御勒索软件的唯一机会，这是因为采用密码技术作为加密手段的不可恢复，以及勒索软件团体更加激进的勒索手段共同影响，当企业不在意事前的安全建设，他们必须了解如遭勒索，将付出远超安全投入的成本支出。
 
如以下我们看到了数个受到勒索之后的关于成本影响上的内容报道：
 
第二季度美国多个城市地方政府遭受勒索软件攻击，勒索软件影响了城市多个公共部门的信息系统运行，其中参考信息主要在于恢复成本方面，结合此前媒体披露信息，中大型城市恢复成本已经接近千万美元，镇一级单位的恢复成本也在数十万美元左右，这还仅限于受影响系统从灾难事件中恢复，并不涉及数据泄露带来的衍生危害影响。
 
工程公司维苏威火山最近披露了3月份经历网络安全事件后的恢复成本（媒体披露事件描述与勒索软件一致），事件响应造成了350万英镑的巨额损失。另外一家同行业企业摩根先进材料公司此前1月份同样发生网络安全事件，虽没有披露具体响应损失，但该公司在披露安全事件之后造成了超过千万英镑方面的股市损失。
 
世界水果巨头Dole在5月份同样披露了今年2月的勒索软件攻击事件造成的影响，事件造成了共计1050万美元的直接成本，其中480万美元用于受影响系统的紧急恢复上，以保持业务持续运营。英国外包巨头Capita同样披露今年3月份遭受勒索软件攻击的事后成本，事件总成本已花费2000万英镑，成本包含专家服务费，补救措施，以及新的安全投资。
 
再爆大“洞” 影响持续发酵
 
一季度，数百家组织受到了VMware ESXi、GoAnywhere MFT两起漏洞攻击利用事件影响，二季度，又一起漏洞影响爆出，MOVEIT软件漏洞可能影响了全球数百家政府机构和商业组织。该起事件目前仍在持续发酵，其影响可能会超过一季度两起漏洞事件，最新消息显示，工业巨头施耐德电气和西门子能源均受到该起漏洞事件影响成为潜在受害者。
 
受该起漏洞影响最深当属美国，有报道指出，美国航空航天局（NASA）、财政部、卫生部、国防部等众多联邦政府机构都购买了MOVEit软件。此后，美国司法部门甚至开出1000万美元悬赏，用以将背后勒索团伙能与政治因素联系起来的更多细节，虽然官方曾指出入侵具有“随机性”。
 
此前Clop公开表示为勒索事件负责时曾明确表示攻击不含政治意图，他们只对金钱感兴趣。另外值得注意的是系列攻击始于5月27日美国阵亡将士纪念日假期期间，通常而言，勒索组织都会选择在假期期间进行攻击，以避免涉事组织的技术人员巡检干预。
 
小结.
 
种种迹象表明，2023年将是勒索软件组织疯狂作案的一年，从几起重大软件漏洞的利用上来看，结合数字化新技术趋势不断增强新的攻击面，我们预计今年总体的勒索数量可能会创下历史新高。对于防守一方以及安全机构来说，都需要高度关注，需要从类似的方法论中去总结。对于企业而言，需重点关注漏洞管理、供应链安全、数据安全等方面的安全建设。