虽然今年上半年勒索软件攻击总量有所下降,但涉及多重勒索方式的活动有所增加。勒索软件组织发现,单纯的加密数据似乎还不足以去向组织勒索钱财,近段时间以来,勒索软件运营商越来越多地在他们的攻击活动中使用双重、三重甚至四重的勒索模式。
趋势科技(Trend Micro)的研究人员最近分析了2021年前六个月的威胁数据,不出意料地发现,勒索软件是企业组织面临的最严重威胁之一,就像过去几个季度一样。
然而,不同的是,勒索软件攻击和团体使用多种勒索手段的增加,包括数据窃取、拒绝服务攻击以及直接骚扰受害者组织的客户和利益相关者。
据趋势科技统计的数据显示,截至6月中旬,至少有35个勒索软件家族采用了双重勒索方法——这是Maze勒索软件在2019年底率先采用的策略。在这些攻击事件中,攻击者不仅加密了关键数据,而且还窃取了它,并以公开泄露数据行为作为威胁,逼迫受害者支付赎金。
与此同时,勒索软件攻击还增加了分布式拒绝服务攻击。去年年底,SunCrypt和RagnarLocker家族的运营组织首先采用了这一策略,但最近包括Avaddon在内的其他组织也开始采用这一策略。与此同时,Cl0p和DarkSide的运营商也在他们发起的一些攻击中增加了另一层——通过电子邮件和呼叫中心直接联系受害组织的客户。
另一个同此前不同指出在于,攻击者在入侵受害者网络以及勒索软件攻击活动中还同APT组织加强了合作,具体体现在发起攻击所运用的相关工具和技术方面。
趋势科技负责威胁情报的副总裁乔恩•克莱表示:“多重勒索技术的应用令勒索软件团伙能够最大限度地从攻击中获利。这种双重、三重甚至四重的勒索行为会给受害者带来巨大的压力和挑战。”克莱表示,另一个令人担忧的趋势是网络犯罪团伙之间的协作攻击。“接入即服务”(Access-as-a-service)的参与者向勒索软件团伙出售他们的服务,而勒索软件即服务(RaaS)团伙自身也在改进他们的服务,以吸引更多的攻击者能够加入他们。
克莱指出,对企业来说,主要的教训是网络犯罪分子的战术转变,比如勒索软件团伙,他们在活动中采用一些国家背景的APT战术。“我们的数据显示,勒索软件检测总量有所下降,这主要是由于补丁努力消除了WannaCry感染源。”他说,大多数勒索软件家族,特别是RaaS,如REvil, Cl0p和Conti,在使用量方面与一年前相比明显增加。如果执法部门不做出重大努力来解决这个问题,那么这类勒索软件团伙将继续蓬勃发展,而不必担心会被关闭。”
2021年上半年,趋势科技在为客户屏蔽了409亿封恶意邮件、文件和url等威胁中,与勒索软件相关的活动占了相当大的比例。这一数字同比增长47%——这一点在其他的安全公司所做的相关报告中也有所体现,目前广泛认为这在一定程度上是由于疫情大流行导致工作环境转向更分散的结果。
除了勒索软件攻击之外,趋势科技还发现,涉及商业电子邮件泄露、在企业系统、网络上安装加密货币挖掘工具的攻击有所增加,关于后者的增加原因,克莱将其归于去年加密货币估值的总体上升。“由于成本问题,攻击者不会投资于自己的采矿基础设施,因此他们将继续试图利用其他国家的基础设施进行采矿工作。”
APT组织仍然一如既往地活跃,其中许多组织得到一些幕后支持,所以会发现虽然都是攻击,当攻击的动机有很大不同,包括盗窃金融信息、窃取敏感数据和安装加密货币挖掘工具。趋势科技观察到的APT组中最活跃的是Team TNT、Water Pamola、Earth Wendigo和Earth Vetala。“APT 组织正试图增加他们的目标攻击面,并定期改变他们的策略以提高他们的感染成功率以及他们在受害者网络中驻留的能力。”克莱在最后说道。