根据云计算安全供应商Akamai公司日前发布的一份研究报告,零日漏洞和单日漏洞的使用导致勒索软件受害者总数在2022年第一季度至2023年第一季度增加了143%。该公司发布的这份名为《移动中的勒索软件:利用技术和对零日漏洞的积极追踪》报告基于从大约90个不同的勒索软件组织的泄露网站收集的数据,概述了勒索软件威胁行为者不断演变的策略。
除了强调漏洞滥用的显著增长之外,该报告还发现,勒索软件组织越来越多地以文件泄露为目标,即未经授权提取或传输敏感信息,这已经成为勒索攻击赎金的主要来源。更重要的是,根据该报告,多次勒索软件攻击的受害者在第一次攻击后的三个月内遭受第二次攻击的可能性几乎是遭受第一次攻击的六倍,小型企业被勒索软件攻击的风险更高。
勒索软件仍然是企业面临的最大、最危险的攻击威胁之一。在2023年第二季度,思科Talos事件响应(IR)团队对一年多来发生最多的勒索软件事件做出了回应。同样,最新的ReliaQuest勒索软件和数据泄露勒索报告表明,今年第二季度勒索软件活动大幅增加。该研究报告表明,今年第二季度被勒索软件数据泄露网站命名的受害者数量创下历史新高,与上一季度相比增加了540名受害者。
勒索软件组织转向零日攻击
一些勒索软件组织正在将他们的攻击技术从网络钓鱼转向更加重视的漏洞滥用,这在范围和复杂程度上都有了相当大的增长。报告补充说,黑客组织利用漏洞的方法也变得更加激进,例如通过内部开发零日攻击和漏洞赏金计划。有证据表明,越来越多的人愿意为利用漏洞的机会支付费用,无论是付费给其他黑客寻找可用于攻击的漏洞,还是通过初始访问代理(IAB)获得对目标的访问权。Akamai公司表示,尽管利用零日漏洞并不是什么新鲜事,但值得注意的是,勒索软件组织正在寻找或研究漏洞,并大规模地滥用它们来危害数百甚至数千个企业。
该报告称,臭名昭著的勒索软件组织CL0P最近表现出积极追求内部零日漏洞的实现和开发。事实证明,这是一个成功的策略,CL0P的受害者数量在12个月内增长了9倍。
LockBit在勒索软件攻击领域占据主导地位
研究表明,LockBit在勒索软件攻击领域占据主导地位,占受害者总数的39%(1091名受害者)。这是排名第二的勒索软件组织ALPHV受害者数量的三倍多。报告称,在勒索软件领域领先者Conti缺席的情况下,LockBit的攻击数量大幅增长。LockBit获得的成功是由于其功能的增强,包括在最新的3.0版本中引入了新技术,例如漏洞赏金计划和使用Zcash加密货币作为支付模式。
Akamai公司在研究中发现,为了对受害者施加更大的压力,LockBit背后的攻击者开始联系受害者的客户,向他们通报攻击事件,并采用三重勒索策略,包括分布式拒绝服务(DDoS)攻击。
勒索软件组织优先考虑文件泄露
勒索软件组织越来越多地针对文件泄露,而这是勒索赎金的主要来源。正如最近对GoAnywhere和MOVEit的利用所表明的那样。勒索软件攻击者试图最大限度地获得赎金,同时最大限度地减少和现代化他们的努力,采用许多不同的勒索策略来恐吓受害者支付赎金。报告称,勒索软件攻击者在数据盗窃勒索方面取得了更大的成功,而不仅仅是对目标文件进行加密。Akamai公司表示,这凸显了一个事实,也就是文件备份解决方案虽然对文件加密有效,但已不再是一种有效的策略。
勒索软件受害者可能很快面临后续攻击
根据Akamai公司发布的这份研究报告,一旦受到勒索软件的攻击,企业很快就会面临第二次攻击的更高风险。报告称,事实上,被多个勒索软件组织攻击的受害者在前三个月内遭受后续攻击的可能性几乎是遭遇第一次攻击之后的六倍。该公司表示,当受害的一家企业忙于修复最初的攻击时,其他勒索软件组织(可能会扫描潜在目标并监控竞争对手的活动)也可能利用这一机会攻击这家公司。
Akamai公司警告说,遭受勒索软攻击并支付赎金也不能保证企业的安全,与其相反,它增加了被同一个或多个勒索软件组织再次攻击的可能性。如果受害企业没有关闭其外围的漏洞/修复攻击者第一次破坏其网络时滥用的漏洞,那么很可能会再次被利用。此外,如果受害者选择支付赎金,他们可能会被同一组织和其他人视为潜在的目标。
规模较小的企业面临更高的勒索软件风险
报告指出,企业的规模和收入在当前的勒索软件攻击趋势中也起着一定的作用。有一种假设认为,收入更高的大型企业比其他企业更有可能成为目标,因为它们提供更高的回报,因此是更诱人的目标。然而,Akamai公司对受害者收入的分析表明了不同的情况。报告称,收入在5000万美元以下的企业最容易成为勒索软件攻击的目标(65%),而收入在5亿美元以上的企业仅占受害者总数的12%。
Akamai公司推测,收入较低的企业更容易受到勒索软件攻击,是因为他们的运营环境更容易渗透,而对抗勒索软件危害的安全资源有限。与此同时,他们更有可能支付赎金,以避免业务中断和可能的收入损失。
制造业受影响最大,金融服务业遭受的攻击增加
该报告将制造业列为受勒索软件攻击影响最多的垂直行业(20%),其次是商业服务(11%)和零售业(9%)。然而,金融服务机构受影响的业务总数同比增长了50%。虽然这些调查发现并不一定表明制造业遭受的勒索软件攻击比其他行业更多,但勒索软件攻击者显然在针对该行业方面取得了成功。与此同时,商业服务在勒索软件受害者名单中排名第二,凸显了供应链攻击的可能性。
勒索软件的缓解措施必须像攻击一样多样化
如今的勒索软件攻击是多方面的,其中包括许多阶段和战术。Akamai公司因此表示,勒索软件的预防和缓解必须跨越几种不同的方法和产品。为有效减轻勒索软件的威胁,企业应该:
- 采用多层网络安全方法,在不同的勒索软件攻击阶段和各种威胁环境中应对威胁。
- 使用网络映射和分段来识别和隔离关键系统,并限制对这些系统的网络访问。这限制了任何恶意软件的横向移动。
- 更新所有软件、固件和操作系统的最新安全补丁。这有助于减少勒索软件可能利用的已知漏洞。
- 维护关键数据的定期离线备份,建立有效的灾难恢复计划。这确保了快速恢复运营的能力,并将勒索软件事件的影响降至最低。
- 制定并定期测试事件响应计划,概述在发生勒索软件攻击时应采取的步骤。该计划应包括明确的沟通渠道、角色和责任,以及让执法部门和网络安全专家参与的流程。
- 定期开展网络安全意识培训,教育员工了解网络钓鱼攻击、社交工程和勒索软件威胁行为者使用的其他常见载体。企业应该鼓励员工及时报告可疑活动。这种网络安全意识培训应该扩展到与现场供应商合作以及与企业系统远程交互的政策和程序。所有厂商和供应商在进入站点或系统之前也应该接受这一培训。