在采访中,WithSecure的威胁情报与外联总监Tim West讨论了勒索软件即服务(RaaS),重点分析了这些网络犯罪活动如何适应日益激烈的竞争、结构变化以及分散的生态系统。
West探讨了这些变化对受影响行业,特别是工程和制造业的影响,并深入分析了勒索软件行为者日益依赖“双重用途”工具的趋势。
勒索软件即服务(RaaS)的格局如何演变?我们是否看到这些运营的结构或吸引的附属群体发生了变化?
我们确实看到了竞争的加剧,特别是在知名品牌为了吸引附属成员而展开激烈竞争。随着 LockBit和 ALPHV等著名团伙的倒台,许多附属群体变得“游牧化”,寻求新的RaaS组织来结盟,这使得生态系统内的竞争加剧,不同的RaaS品牌通过提供更有吸引力的条件、更好的工具和更可靠的支付来吸引这些有经验的操作员。
较小的团伙如 Medusa和 Cloak提供了具有吸引力的激励措施,吸引解散组织的附属成员。例如,Medusa向 LockBit和 ALPHV的附属成员提供高达90%的利润分成,而 Cloak则允许附属成员免费加入,不需任何初始支付。
从结构上看,许多勒索软件运营已经转向了更模块化和分散化的模式。现在,许多成功的RaaS模型可以被视为松散关联的网络,而不是一个单一的垂直整合的团伙处理整个攻击链。
不同的团伙专注于攻击的特定阶段,例如初始访问、横向移动或勒索,这种角色的分离使归因变得更加复杂,并增强了生态系统在面对执法行动等干扰时的恢复能力。
在RaaS生态系统中,初始访问经纪人(IAB)的角色也发生了变化,这些IAB资金雄厚,能力强大,通过提供可靠且可扩展的访问权限来支持各种恶意行为者。
这些行为者将全球范围的漏洞利用过程工业化,降低了勒索软件运营者的进入门槛。IAB专注于发现、武器化和出售对易受攻击系统的访问权限,他们处理漏洞利用的复杂性,绕过过滤器,并管理大规模的扫描和漏洞利用操作,这种服务模式现在使勒索软件的附属成员无需深厚的技术知识就能购买现成的访问权限。
针对工程和制造业的勒索软件似乎在增加。这对这些行业意味着什么?为什么它们会成为特别有吸引力的目标?
我们最新的研究显示,在2024年上半年,工程和制造业是受影响最严重的行业,占观察到的所有受害者的20.59%,这些行业在遭受干扰时的高运营影响使它们成为有吸引力的目标。停机时间会导致巨大的财务损失、错过的截止日期,甚至是合同处罚。时间紧迫的生产计划增加了他们迅速支付赎金以恢复运营的压力。
虽然大多数RaaS行为者倾向于利用漏洞和机会,而不是针对特定行业,但复杂的供应链使得这些行业的网络安全运营变得更加困难。工程和制造业与多个供应商、合作伙伴和客户紧密相连。对单一实体的成功攻击可能会对整个供应链产生连锁反应,放大攻击的影响,这种互联性增加了勒索软件团伙在谈判时的筹码,因为长期停机的后果远远超出了直接受害者。
专有数据和知识产权(IP),包括设计、蓝图和商业机密,对保持竞争优势至关重要,因此也是极具价值的盗窃或出售资产。
我们还发现,勒索软件团伙正逐渐放弃之前避免攻击关键行业(如医疗保健)的做法。从社会影响的角度来看,这些攻击通常更加严重。过去,勒索软件团伙大多避免针对那些可能引发严厉政府或执法机构反应的行业。虽然2024年整体医疗保健行业遭受的攻击数量与总受害者比例保持一致。
勒索软件团伙将无差别地攻击任何被认为有能力支付赎金的组织,此外,这些行业在网络安全方面的历史性投入相对较少,尤其是与金融或技术行业相比,使它们成为有吸引力的目标。
勒索软件行为者之间的信任似乎正在减弱。这样的不信任会如何影响勒索软件生态系统,是否会导致更多的碎片化或去中心化运营?
我们经常听到“盗贼之间没有诚信”这个说法,最近的一些勒索软件事件确实显示了这一点。我们最近看到ALPHV发生了“跑路骗局”(exit scam),据称其附属成员的收益被欺诈事件剥夺了。因此,类似的事件和对LockBit等大团伙的打击,可能正在引发网络犯罪社区中的不信任感和紧张局势加剧。
随着信任的瓦解,我们可能会看到勒索软件生态系统的进一步碎片化。忠诚的附属成员可能会分裂出来,创建自己的品牌,或转向他们认为更可靠的其他团伙,这种分裂可能导致出现规模较小、不太可预测的勒索软件集体。
我们可能会看到直接的1对1品牌重塑,就像DarkSide在2021年对Colonial Pipeline攻击后重塑为BlackMatter一样,然而,我们也在看到1对多的重塑变得更为突出,即一个变种的附属成员可能衍生出多个新品牌。例如,8base和Faust勒索软件变种可能都源于同一个变种。
无论是哪种形式的分裂和去中心化,这都使得执法机构更难以针对特定团伙,因为传统的层级模型正让位于更灵活、分散的行为者网络。同时,从防御者的角度来看,网络犯罪分子之间的不信任实际上是有利的,因为这可能使他们的效率和效果下降,从而更容易进行防御。
勒索软件行为者越来越多地使用“双重用途”工具,这使得检测和应对变得更加复杂。安全团队应如何调整策略,更好地识别和缓解这些工具带来的威胁?
我们发现RaaS行为者常用的工具包括PDQ Connect、Action1、AnyDesk和TeamViewer等用于远程访问的工具,以及rclone、rsync、Megaupload和FileZilla等用于数据外泄的工具,这些都是在IT操作中常用的合法软件,因此其双重用途性质使得它们能够规避传统的反恶意软件控制,并轻松融入正常的网络活动中,增加了检测和应对的难度。传统的基于签名的检测方法对这些双重用途工具的效果较差。
安全团队应转向行为分析,专注于识别异常或可疑的行为模式,而不仅仅依赖于已知的恶意软件签名。例如,如果TeamViewer这类通常无害的工具在非工作时间或从异常IP地址进行使用,这可能表明存在恶意活动。
为组织中的双重用途工具建立正常活动基线至关重要。通过了解这些工具的典型使用模式,安全团队可以更有效地发现可能表明工具被滥用的偏差。例如,如果rclone工具突然被用于将大量数据传输到一个不熟悉的外部服务器,尽管该工具本身是合法的,但这仍然应触发警报。
暴露管理解决方案也可以发挥关键作用,这些技术为安全团队提供了跨越其扩展网络的全面可视性,帮助识别易受攻击的系统、配置错误或可能通过合法工具被利用的高风险资产。
勒索软件行为者优先考虑数据盗窃而非传统的加密攻击的趋势日益明显,这种变化对组织的风险格局有何影响?他们的防御措施应关注哪些方面?
高价值数据(如知识产权、财务记录和客户信息)的盗窃为网络犯罪分子在勒索谈判中提供了强大的优势。组织还可能面临因客户信任丧失、监管处罚和声誉受损而带来的长期损害。
网络犯罪分子发现,专注于数据盗窃比在整个组织范围内部署全面加密所需的时间和资源要少,这种“快攻速取”方式让攻击者能够迅速执行攻击并转向下一个目标,从而提高了他们的整体效率。
要防御这些策略,必须紧急关注数据保护。关键优先事项包括识别并保护敏感数据、实施严格的访问控制,以及持续监控可疑的数据访问和外泄活动。
此外,为静态和传输中的数据实施加密可以降低被盗数据的价值。如果勒索软件行为者设法窃取了数据,已加密的数据在没有相应的解密密钥的情况下仍然是不可读且无法使用的。
同时,传统的勒索软件加密防御措施(如备份策略和网络分段)依然重要。
企业还应确保其事件响应计划能够应对数据盗窃带来的独特挑战,这包括为潜在的双重勒索场景做好准备,并能够妥善应对与客户和其他利益相关者的沟通和管理。
总体而言,企业必须加强对数据安全的关注,并为更复杂的勒索场景做好准备。那些具备强大暴露管理和成熟安全工具、专注于遏制漏洞的企业,将能够更好地应对这些不断演变的威胁。
