网络威胁情报公司“Cyble”最近发表了《勒索软件报告》,围绕2023年第三季度的重大发展和下一季度的情况预测展开讨论。其中重点介绍勒索软件所使用的新技术,强调潜在目标应该及时了解重大事件和发展。
越来越多的漏洞为勒索软件“开绿灯”
Cyble观察到,近几个月来,越来越多的漏洞被用作传播勒索软件和其他恶意软件。这标志着关注焦点已经从武器化管理文件传输(MFT)软件和应用程序转移向网络设备。
高危漏洞的利用让行业巨头也沦陷于此,就像MOVEit(集成化开发平台)的漏洞和供应链攻击Barracuda Networks(梭子鱼网络)的情况一样。第三季度和前几个月的所有迹象都表明,勒索软件运营商将继续将漏洞武器化,并利用零日漏洞提供勒索软件有效载荷,以破坏其目标对象。
虽然零日漏洞在被利用之前是未知的,但组织可以采取措施以提高对可利用零日漏洞的抵抗能力。同时,组织还需要确保他们的软件和产品是最新版本,并施行网络意识战略来优先识别和保护潜在的可利用漏洞。
虽然这是一个值得关注的重要发现,但Cyble研究与情报实验室(CRIL)发现了勒索软件领域的其他几个引人注意的趋势:
1.行业焦点向医疗保健方向转移
虽然今年上半年针对制造业的勒索软件攻击有所增加,但最近的趋势表明,攻击的重点转向了医疗保健行业。这使得医疗保健成为勒索软件攻击的前五大目标行业,占所有勒索软件攻击的近四分之一。这些攻击有一个特定的动机——收集医疗保健供应商和机构可以访问的受保护健康信息(PHI)和其他敏感数据,并在暗网上出售这些数据。
根据Cyble的勒索软件报告,医疗保健行业特别容易受到勒索软件攻击。因为它的可攻击面非常大,跨越了多个网站、数十亿物联网医疗设备以及庞大的供应链合作伙伴和供应商网络。因此,为了确保关键数据的安全和重要医疗保障功能的顺利运行,该行业的标准化网络安全计划势在必行。
2.高收入组织仍然是主要攻击对象
勒索软件运营商在面对目标时往往不择手段。众所周知,他们更喜欢以处理敏感数据的高收入组织为目标。这不仅有助于增强勒索软件运营商的威胁形象,同时还提高了支付赎金机会。
造成这种情况的原因有两个:高收入组织有能力支付更高的赎金,和他们也更在意自己作为知名公司在处理敏感数据方面的形象和声誉。
除医疗保健行业外,上一季度受攻击最多的是专业服务、IT & ITES和建筑行业,因为这些行业的净值高,受攻击面大。
3.美国仍然是受攻击最多的国家
虽然与勒索软件受害者和使用策略有关的趋势每季度都在变,但美国一直是勒索软件运营商最容易攻击的地区。事实证明,仅在2023年第三季度,美国面临的勒索软件攻击就比排在其后的10个国家的总和还要多。
其原因可以归结于美国作为一个高度数字化的国家,积极活跃于全球性活动和外联。由于地缘政治因素,美国也是黑客组织利用勒索软件实现目标的主要对象。
从第三季度的勒索软件攻击数量来看,排在第二位的是英国,其次是意大利和德国。
4.LOCKBIT仍然是一个强大的威胁,而新的勒索软件组织迅速崛起
虽然LOCKBIT的总攻击数量略低于上一季度(下降5%),但它们针对的受害者数量仍然最多,在2023年第三季度共确认了240名受害者。
不过,勒索软件领域的新人也没有闲着。2023第三季度,来自Cactus、INC Ransom、Metaencryptor、ThreeAM、Knight Ransom、Cyclop Group和MedusaLocker等新组织的攻击激增,表明这些组织虽然不像LOCKBIT这样具有较高的知名度和全球影响力,但仍然存在强大的威胁。
5.Rust和GoLang受到新的勒索软件变体青睐
勒索软件组织一直致力于使他们的活动难以被检测或分析。这使得受害者、网络安全专家和政府很难分析和研究勒索软件及它的感染媒介、操作模式,而后给予相应的纠正措施。
然而,我们最近观察到的情况表明,Rust和GoLang在Hive、Agenda、Luna和RansomExx等知名勒索软件组织中越来越受欢迎。原因有两个方面:Rust这种编程语言使受害者端难以分析勒索软件的活动。它们还有一个额外的好处,即更容易定制针对多个操作系统的活动,从而增加勒索软件的杀伤力和目标基数。
组织如何应对这些变化?
每过一段时间似乎都有至少一个大厂或行业领导者成为勒索软件的受害者,最近发生的Caesar's Palace和MGM Casino被BlackCat/ALPHV勒索软件入侵就是最好的例子。
这甚至引起了全球政府和监管机构的注意,他们已经推行措施来帮助减轻勒索软件攻击的影响和发生率。一些公司也已经采取措施,以此来预防风险并减轻勒索软件攻击的影响。我们观察到的一些值得注意的操作:
1.重视员工培训
一个组织的员工通常是抵御任何攻击的第一道防线,勒索软件也不例外。公司相应地加强他们的网络安全和意识培训,推出强制性的网络安全培训课程,培养网络意识文化。这方面的例子主要包括如何识别网络钓鱼企图、处理可疑附件和识别社会工程企图。
2.事件响应流程
尽管努力预防,但在各种因素的加持下勒索软件攻击仍然可能发生。组织已经考虑到这一点,并增加了对此类事件的综合响应关注。这些措施包括通知当局的法律协议、内部安全的后续步骤、信息安全团队的响应以及受影响的系统或产品的隔离。
3.强化恢复和备份
勒索软件攻击有两个主要目的:获得对敏感数据的访问权限,加密数据使其无法被使用。为了解决这一风险,组织已经开始着重关注敏感数据的备份,并为敏感数据创建全面的恢复流程。安全419观察到,美创科技已建立基于全业务视角的容灾备份产品矩阵,支持本地、云端等混合IT环境部署,读写分离,弹性适配业务,保障业务系统、数据库等的安全性和连续性。
4.实现零信任架构与多因素身份验证
勒索软件组织之前已经利用人为因素,通过初始访问代理、网络钓鱼攻击等方式来启用或增强攻击。作为回应,公司已经在所有关键平台和数据上实施了零信任架构和MFA,需要多个级别的身份验证来授予对敏感数据的访问权限。
5.与执法部门共享情报和合作
同一行业的组织已经创建了信息共享和分析中心(ISACs)来汇集资源和情报,以帮助打击未来的勒索软件。他们还与执法部门和监管机构密切合作,报告勒索软件企图,并帮助诊断安全缺陷。
6.采用威胁情报平台
鉴于他们在这一领域的特殊能力,包括先进的AI和机器学习能力,组织越来越多地使用威胁情报平台来获得专业知识、实现异常检测和行为分析,并以此获得实时威胁情报,帮助减轻勒索软件攻击。例如微步在线建立的威胁情报感知平台,通过5大自研威胁情报生产模型,打造情报共享体系,准确率达99.99%,并提供威胁情报检测与分析接口API,让云端情报多场景赋能企业安全运营。
7.关注漏洞管理
在过去几年的重大事件中,漏洞已经成为人们关注的焦点,比如最近的MoveIT和PaperCut漏洞,这些漏洞可以利用并进行网络攻击。以华云安-灵鉴为代表的漏洞及弱点检测与风险评估系统,基于精准识别与优先级评估技术(VPT),能够精准发现系统中存在的漏洞弱点并进行自动化验证,协助企业完成事先“主动防御”。同时,通过实时更新和检测漏洞库,捕获一手价值信息,实现漏洞快速闭环管理。
8.确保供应链和供应商风险管理
如果勒索软件运营商无法入侵一个组织,那么他们通常会通过供应商、合作伙伴和第三方来攻击其供应链,而这些供应商、合作伙伴和第三方可能不那么安全。因此,组织已经推出了供应商风险评估,以确保他们的整个供应链是无懈可击的,并统一保护其免受潜在的勒索软件攻击。