在上周四的RSA主题演讲中,两名信息安全专家透露,与民族国家攻击活动相比,现在勒索软件对全球安全构成更大威胁。
Silverado Policy Accelerator公司董事长Dmitri Alperovitch和FireEye公司执行副总裁兼全球情报主管Sandra Joyce主持了有关当前全球威胁形势的讨论,在他们的讨论中,勒索软件攻击居首位。他们说,尽管民族国家团体利用全球疫情或攻击关键基础设施引起人们恐慌,并且DNS劫持的新趋势卷土重来,但他们表示勒索软件正在影响每个人。在过去几年中,随着勒索软件团伙转向勒索和双重勒索策略,这些风险不断提高。在主题演讲中,Alperovitch和Joyce透露,勒索软件的下一步发展可能更加危险。
Alperovitch说,总体而言,威胁环境正在变得前所未有的糟糕-不仅从技术角度来看,而且从地缘政治角度来看也是如此。他在会上说:“我们面对的对手包括-俄罗斯、伊朗和朝鲜等-从西方的角度来看,我们的关系是过去至少60年以来最糟糕的。”
信息安全专家谈到导致威胁形势变严峻的多种原因,其中大部分与战术和技术的简单演变有关。Joyce将网络称为“国家力量的工具”,民族国家和攻击者试图通过发展其方法和策略来发起攻击,并且,他们这样做的时候不必担心会受到报应。
当前,勒索软件运营商会对系统进行加密,然后要求支付赎金以解锁计算机。勒索软件团伙背后的操作者经营着面向公众的数据泄漏网站,如果未支付赎金,他们就会在该网站上发布数据。Maze团伙中很喜欢采取这种做法,虽然他们已经“退休”,但这种方法仍在继续。根据Joyce的说法,攻击者可能会跳过勒索软件,而直接进行数据盗窃和暴露威胁。他们会致电竞争对手和客户,以继续利用敲诈勒索的可耻之处,这使企业处于非常艰难的境地。满足赎金要求会带来风险,例如向违反制裁法的外国资产控制办公室(OFAC)国家付款。
不仅勒索在增加,而且赎金的需求也在飞速增长。Joyce提到她最近看到的勒索金额是5000万美元,而几年前,还只是几百个比特币,而当时比特币的价值比现在低得多。本月早些时候,勒索软件团伙REvil或Sodinokibi针对PC制造商Acer提出了锁要求。
Joyce在会上说:“我们已经看到1000万美元、2000万美元、3000万美元。这简直是一发不可收拾。”
Alperovitch称勒索软件几乎是整个勒索业务的副业。而从攻击者所在的国家寻求援助似乎是不可能的。Joyce说:“受到攻击的这些企业很艰难,执法部门无法触碰位于其他国家的攻击者,那些政府也对此视而不见。”
Alperovitch补充说,大多数开发恶意软件的攻击者都在俄罗斯,或者说俄语。他说:“他们很多都被隐藏,甚至在某些情况下甚至由SVR协助。”
Alperovitch表示,尽管俄罗斯和伊朗等国家变得更具侵略性,但在美国面对的最主要的民族国家攻击者中,朝鲜是最具创新力的国家之一。朝鲜网络罪犯的技术已经达到了令人难以置信的复杂水平,其中很多都是本地制造。此外,Joyce说,它是最早通过网络犯罪为政府提供资金的民族国家之一。Joyce说:“有一次,他们同时瞄准16家不同的金融机构。”
朝鲜还是供应链黑客的先驱,这是最近威胁形势中最令人担忧的风险之一。Alperovitch说,他们已经瞄准AV供应商和加密货币软件来安装后门程序。
在2020年,另一个民族国家的活动也使这两位信息安全专家感到惊讶:伊朗。特别值得注意的是,伊朗冒充最右翼的组织“骄傲男孩”发送令人生畏的电子邮件。她说:“这让我们很惊讶,因为大家都在专注于俄罗斯。但是,我们看到的真正演变是信息操作。”
Joyce说,这些威胁攻击者不害怕后果,或者不尝试传达消息,或者两者兼而有之。我认为这就是正在发生的事情。”
他们大胆的攻击战术正在遍及各个领域。根据Alperovitch的说法,安全行业已成为每个攻击者的首要目标。Joyce说,安全研究人员现在已成为个人目标,因为他们是“获取大量重要信息的捷径”。但是,与目标企业相比,安全研究人员可能并没有总是做好准备充足并且所采取的措施很少。
他说:“让我们面对现实吧:我们这个行业存在的问题是,那些本应该部署更好的安全性并且知道更多的人并没有在做需要做的事情。”