2020年,熱度飆升的勒索軟件已經(jīng)成為與APT并列的最危險(xiǎn)的網(wǎng)絡(luò)安全威脅。針對性、復(fù)雜化和高傷害成本是2020年勒索軟件加速“進(jìn)化”的三大特征。
重裝上陣
過去一年中業(yè)界多家安全廠商對勒索軟件監(jiān)測發(fā)現(xiàn):勒索軟件在陷入一段時(shí)間低潮后,已經(jīng)全面恢復(fù)活力,攻擊勢頭上升,頻率也在增加。
Juniper Network威脅實(shí)驗(yàn)室負(fù)責(zé)人Mounir Hahad指出了勒索軟件攻擊再次激增的兩大深層原因:首先,加密貨幣價(jià)格的變化無常。很多加密貨幣劫持者都利用受害者電腦挖掘開源加密貨幣門羅幣(Monero);隨著門羅幣價(jià)格的下跌,某個(gè)時(shí)候,加密貨幣劫持者就會意識到挖礦還不如勒索軟件攻擊賺錢。而由于已經(jīng)在受害者主機(jī)上植入了木馬下載器,加密貨幣劫持者就很容易在時(shí)機(jī)合適的時(shí)候發(fā)起勒索軟件攻擊。
刺激勒索軟件卷土重來的另一大趨勢就是企業(yè)級攻擊的高收益。越來越多的攻擊針對載有任務(wù)關(guān)鍵數(shù)據(jù)的生產(chǎn)服務(wù)器。
Hahad稱:
一臺筆記本被鎖定,企業(yè)不會太過重視。但如果是關(guān)系到日常業(yè)務(wù)生產(chǎn)的多臺服務(wù)器被劫持,勒索者的議價(jià)空間就太大了。
多年來,勒索軟件攻擊已經(jīng)日趨成熟,技術(shù)上日趨隱蔽和復(fù)雜,同時(shí)修復(fù)了早期迭代所存在的許多實(shí)現(xiàn)錯(cuò)誤。與冠狀病毒類似,一度被“免疫系統(tǒng)”(端點(diǎn)安全軟件)扼制的勒索軟件近年來通過與流行的數(shù)據(jù)泄露軟件“載體”結(jié)合產(chǎn)生了新的“商業(yè)模式”和攻擊矢量,與此同時(shí)自身代碼和變體也在不斷進(jìn)化,例如過去主要感染W(wǎng)indows系統(tǒng),而新一代勒索軟件對Mac OS系統(tǒng)、移動(dòng)操作系統(tǒng)甚至工控系統(tǒng)都形成威脅,“傳染性”大大提升。
目標(biāo)轉(zhuǎn)移:從個(gè)人轉(zhuǎn)向企業(yè)
勒索軟件最初是作為一種面向個(gè)人消費(fèi)者的安全威脅,這些攻擊曾經(jīng)誘使人們支付虛假罰款或購買流氓軟件來解決不存在的問題。盡管早期的攻擊活動(dòng)對網(wǎng)絡(luò)犯罪團(tuán)伙證明是有利可圖的,但“2C勒索軟件市場”變得過于擁擠。而且隨著個(gè)人防病毒軟件公司提高了勒索軟件的檢測能力,通過網(wǎng)絡(luò)傳播以吸引盡可能多的受害者的方法收益越來越差。
廣撒網(wǎng)式戰(zhàn)術(shù)無法給攻擊者帶來太多投資回報(bào)。具備良好橫向移動(dòng)能力的針對性攻擊才能滿足此類攻擊者的高投資回報(bào)需求,而大多數(shù)情況下,橫向移動(dòng)可不是能夠靠腳本或機(jī)器人程序自動(dòng)實(shí)施的。奪取最初的入侵立足點(diǎn)之后,攻擊者得人工探查受害網(wǎng)絡(luò),移動(dòng)文件,提升權(quán)限,獲取管理員憑證,以便遠(yuǎn)程入侵另一臺機(jī)器。
Malwarebytes2019年8月發(fā)布的報(bào)告顯示,2018年第四季度開始,企業(yè)端的勒索軟件攻擊暴增,而面向個(gè)人的攻擊則呈下降趨勢。安全公司Malwarebytes指出:
勒索軟件這個(gè)一度休眠的危險(xiǎn)物種,已經(jīng)大范圍地恢復(fù)了生命力,攻擊活動(dòng)從大規(guī)模的消費(fèi)者活動(dòng)轉(zhuǎn)變?yōu)楦叨韧{的活動(dòng),尤其是面向企業(yè)的針對性手工攻擊,該趨勢與永恒之藍(lán)漏洞利用有關(guān)。
由于永恒之藍(lán)(EternalBlue)漏洞的存在,如今勒索軟件攻擊一家企業(yè)的難度已經(jīng)極大降低,永恒之藍(lán)是2017年3月曝出的微軟服務(wù)器消息塊(SMB)協(xié)議漏洞,影響了所有版本的Windows。該漏洞也成了WannaCry、NotPetya和其他勒索軟件蠕蟲通過公司網(wǎng)絡(luò)傳播的主要方法。
WannaCry和NotPetya的破壞性爆發(fā)凸顯了企業(yè)安全的重要性和脆弱性。過去,人們認(rèn)為這些擁有強(qiáng)大安全團(tuán)隊(duì)的公司黑客很難闖入,但是勒索軟件輕松就突破了傳統(tǒng)安全防線,攻擊規(guī)模和破壞力巨大,不是因?yàn)榕渲缅e(cuò)誤,而是因?yàn)闆]有及時(shí)打補(bǔ)丁。
勒索軟件的“成功案例”掀起一股“掙錢效應(yīng)”,很多網(wǎng)絡(luò)犯罪分子意識到,攻擊企業(yè)更加有利可圖。
影響和損失難以評估
由于并非所有的私營公司都會披露勒索軟件事件,因此就成本和普遍性而言,難以量化勒索軟件攻擊對商業(yè)領(lǐng)域的影響。
在2019年10月發(fā)布的警報(bào)中,F(xiàn)BI的互聯(lián)網(wǎng)犯罪投訴中心(IC3)警告說:
自2018年初以來,“泛攻擊”的勒索軟件活動(dòng)發(fā)生頻率急劇下降,但勒索軟件攻擊造成的損失卻顯著增加。
IC3認(rèn)為:
即使攻擊的總體頻率保持一致,勒索軟件攻擊也變得更有針對性,更復(fù)雜且造成的損失更大。上市公司有時(shí)會在其證券交易委員會(SEC)的文件中發(fā)布有關(guān)勒索軟件攻擊的影響的信息,因?yàn)檫@是其向股東披露重大網(wǎng)絡(luò)攻擊的義務(wù)的一部分,尤其是當(dāng)公司需要向客戶和合作伙伴解釋嚴(yán)重業(yè)務(wù)中斷時(shí)。
例如,由于2017年NotPetya勒索軟件的襲擊,運(yùn)輸巨頭馬士基(Maersk)不得不在17個(gè)港口碼頭暫停運(yùn)營,這導(dǎo)致大量貨船排隊(duì)等候貨物裝載和后勤噩夢,需要數(shù)月的時(shí)間才能恢復(fù)。該事件使公司損失了超過2億美元,但同時(shí)也嚴(yán)重影響了客戶的業(yè)務(wù)。
當(dāng)勒索軟件襲擊市政機(jī)構(gòu)、醫(yī)院、學(xué)校或警察部門等公共機(jī)構(gòu)時(shí),其社會影響更大,而目前獲得的統(tǒng)計(jì)數(shù)字也令人擔(dān)憂。根據(jù)安全公司Emsisoft于2019年12月發(fā)布的勒索軟件攻擊損失報(bào)告:
2019年全年,勒索軟件在美國攻擊了113個(gè)政府機(jī)構(gòu),市政當(dāng)局和州政府。波及764位醫(yī)療保健提供者以及89個(gè)大學(xué)、學(xué)院和學(xué)區(qū),其中有多達(dá)1,233所學(xué)校。
由于預(yù)算有限,IT基礎(chǔ)架構(gòu)過時(shí),公共機(jī)構(gòu)的安全防御等級無法與大公司相比,更容易成為攻擊者的目標(biāo)。
不亞于APT的新威脅
勒索軟件是少有的、能同時(shí)攻擊財(cái)富500強(qiáng)企業(yè)和鄰居大爺大媽的網(wǎng)絡(luò)威脅。
因此,雖然最新的趨勢顯示公共機(jī)構(gòu)更容易成為攻擊目標(biāo),但對于私營公司而言,感染勒索軟件的風(fēng)險(xiǎn)并不會降低。在過去的幾年中,勒索軟件犯罪組織采用了復(fù)雜的技術(shù),包括針對性的交付機(jī)制,以及采用高級持續(xù)威脅(APT)技術(shù)的“手動(dòng)攻擊”,例如SamSam。
SamSam是一個(gè)可追溯到2016年的勒索軟件程序,它以“高效率的手動(dòng)攻擊”部署而聞名,但是在過去的一年中,如Ryuk、RobinHood和Sodinokibi這些新的勒索軟件組織也采用了類似的策略。
此外,有跡象表明,勒索軟件正在演變成一種新型威脅,網(wǎng)絡(luò)犯罪分子不僅在加密數(shù)據(jù),而且還在竊取數(shù)據(jù)并威脅要在互聯(lián)網(wǎng)上發(fā)布數(shù)據(jù)。這使組織面臨破壞性的公共數(shù)據(jù)泄露以及相關(guān)的法規(guī)、財(cái)務(wù)和聲譽(yù)影響。
2019年12月,一個(gè)名為Maze的黑客組織揚(yáng)言如果組織拒絕支付贖金將公布通過勒索軟件竊取的數(shù)據(jù)。受害者包括佛羅里達(dá)州彭薩科拉市,該市在12月7日遭到襲擊,其電話、市政熱線、電子郵件服務(wù)器和賬單支付系統(tǒng)遭到破壞。
其他黑客團(tuán)體已將數(shù)據(jù)泄漏用作勒索技術(shù)。2015年,針對消費(fèi)者的勒索軟件程序Chimera曾威脅要發(fā)布從受害者那里竊取的私人信息。但這只是一個(gè)虛假恐嚇,Chimera實(shí)際上并未從受感染的系統(tǒng)中竊取任何數(shù)據(jù)。
多年來,網(wǎng)絡(luò)罪犯揚(yáng)言公開被盜信息的許多威脅被證明是虛假的,因?yàn)楦`取大量數(shù)據(jù)并不是一件容易的事情,黑客需要能夠接收和存儲數(shù)百TB數(shù)據(jù)的大規(guī)?;A(chǔ)架構(gòu)。但是,云基礎(chǔ)架構(gòu)的興起使這些攻擊變得更加可行,這種云架構(gòu)更容易維護(hù),且存儲和數(shù)據(jù)流量成本更低。
在2019年12月下旬,Maze組織發(fā)布了他們聲稱被盜的部分?jǐn)?shù)據(jù),以證明他們確實(shí)擁有從受害者那里竊取的潛在敏感信息。他們的第一個(gè)網(wǎng)站托管在愛爾蘭的ISP上,但該網(wǎng)站已被撤下,但是不久之后,他們又通過位于新加坡的另一個(gè)網(wǎng)站重新上線。
安全專家Kujawa認(rèn)為:
這是這種勒索軟件威脅出乎意料的演變??梢钥隙ǖ氖?,它確實(shí)使罪犯更多地暴露了出來,但這也是一種施加壓力的有效方法。它利用了媒體的力量。
Kujawa認(rèn)為,勒索軟件團(tuán)伙可能會越來越多地采取這種策略,因?yàn)殡S著越來越多的組織學(xué)習(xí)如何處理勒索軟件并制定可靠的數(shù)據(jù)恢復(fù)計(jì)劃,犯罪分子可能會發(fā)現(xiàn)僅通過鎖定文件來從他們那里獲取金錢變得更加困難。
新的攻擊方法
勒索軟件的主要分發(fā)渠道和方法仍然是魚叉式網(wǎng)絡(luò)釣魚和不安全的遠(yuǎn)程桌面協(xié)議(RDP)連接。但值得注意的是,勒索軟件攻擊者還可以通過與其他惡意軟件或者攻擊者“業(yè)務(wù)合作”來訪問那些感染了其他惡意軟件的系統(tǒng)。勒索軟件攻擊者可以從地下網(wǎng)絡(luò)黑市(暗網(wǎng)市場)購買被黑客入侵的計(jì)算機(jī)和服務(wù)器的訪問權(quán),而僵尸網(wǎng)絡(luò)也提供付費(fèi)“投放”業(yè)務(wù)。例如,Emotet垃圾郵件僵尸網(wǎng)絡(luò),TrickBot憑據(jù)竊取木馬和Ryuk勒索軟件之間的“協(xié)作共生”關(guān)系是眾所周知的。
托管安全服務(wù)提供商Secureworks的安全研究員Chris Yule在11月的DefCamp會議上的演講中說:
Ryuk勒索軟件事件的最初危害幾乎總是通過主流惡意軟件引起的。我們看到Emotet導(dǎo)致了TrickBot感染,隨著時(shí)間的流逝,我們看到其中一些TrickBot感染導(dǎo)致了Ryuk的傳播。
根據(jù)Yule的說法,Trickbot正在進(jìn)行自動(dòng)憑證盜竊的正?;顒?dòng),但是一旦Ryuk運(yùn)營商接手,一切都會改變。該活動(dòng)變得更加“手動(dòng)化”,涉及使用系統(tǒng)管理工具、網(wǎng)絡(luò)掃描、使用PowerShell Empire之類的公共攻擊框架來禁用端點(diǎn)惡意軟件檢測等等。攻擊者需要花時(shí)間學(xué)習(xí)環(huán)境、確定域控制器和其他重要目標(biāo),并為大規(guī)模勒索軟件的襲擊做好準(zhǔn)備,同時(shí)努力保持未被檢測到,這其實(shí)是APT組織的一種常見策略。
好消息是,在最初的Emotet感染與Ryuk部署之間,公司通??梢栽诤荛L一段時(shí)間窗口內(nèi)檢測并處理感染。在Yule給出的案例中,該期限為48天。
壞消息是,如果沒有更先進(jìn)的網(wǎng)絡(luò)和系統(tǒng)監(jiān)視工具,基于常規(guī)的安全策略來檢測這種類型的手動(dòng)黑客攻擊和橫向移動(dòng)并不容易。這意味著,尚未具備APT防御能力的組織可能會更容易遭受勒索軟件和其他復(fù)雜的網(wǎng)絡(luò)犯罪攻擊的打擊。
某些勒索軟件組織在過去的一年中采用的另一個(gè)有趣的感染媒介是托管服務(wù)提供商(MSP),這些提供商憑借其提供的服務(wù)而有權(quán)訪問其許多企業(yè)的網(wǎng)絡(luò)和系統(tǒng)。這帶來了一個(gè)問題,因?yàn)橹行⌒徒M織將其網(wǎng)絡(luò)和安全管理外包給專業(yè)的供應(yīng)商,因此,對于中小型企業(yè)來說,需要采取措施評估和限制受信任的第三方企業(yè)或工具,防止此類內(nèi)部威脅造成嚴(yán)重?fù)p失(編者按:試想一下微盟刪庫事件的主角是一個(gè)勒索軟件黑客組織而不是一個(gè)情緒不穩(wěn)的運(yùn)維人員)。
此外,使用Web漏洞利用工具包來針對企業(yè)和部署勒索軟件(尤其是RIG漏洞利用工具包)的現(xiàn)象再次流行。這些是通過受攻擊的網(wǎng)站發(fā)起的水坑攻擊,攻擊者知道這些攻擊與某些業(yè)務(wù)部門有關(guān),或者有可能被其目標(biāo)員工訪問。
難以破解的勒索軟件加密
安全公司一直試圖在勒索軟件程序的文件加密實(shí)現(xiàn)中發(fā)現(xiàn)漏洞,以幫助受害者在不支付贖金就能恢復(fù)被加密的文件。這些解密工具通常是免費(fèi)發(fā)布的,可以在歐洲刑警組織維護(hù)的這個(gè)網(wǎng)站NoMoreRansom.org上獲得。
但是,勒索軟件組織使用的勒索軟件程序在技術(shù)上進(jìn)步很快,攻擊者從過去的錯(cuò)誤或其他勒索軟件開發(fā)人員的錯(cuò)誤中吸取了教訓(xùn),并糾正了實(shí)施錯(cuò)誤。
一些勒索軟件程序的代碼已在線泄漏,可以復(fù)制和改進(jìn)。操作系統(tǒng)還提供了加密API,并且有經(jīng)過嚴(yán)格審查的開源加密框架和庫。所有這些意味著,最流行的勒索軟件程序也是最危險(xiǎn)的,因?yàn)樗鼈兪褂脧?qiáng)大的加密算法并且沒有解決方案。
對于組織而言,制定備份計(jì)劃和定期測試的數(shù)據(jù)恢復(fù)計(jì)劃至關(guān)重要,采用異地備份或離線存儲,以防止攻擊者將其刪除或加密。
勒索軟件防御
常規(guī)的勒索軟件防御措施大致有以下幾點(diǎn):
1、安全加固
首先,組織應(yīng)該通過執(zhí)行內(nèi)部和外部滲透測試并確定暴露于互聯(lián)網(wǎng)的任何潛在易受攻擊的系統(tǒng)、服務(wù)器和網(wǎng)絡(luò)遠(yuǎn)程連接(例如VPN或RDP)。啟用高熵密碼(消滅弱密碼)和雙因素身份驗(yàn)證(2FA)。
在網(wǎng)絡(luò)內(nèi)部,公司應(yīng)確保端點(diǎn)和服務(wù)器的操作系統(tǒng)和所運(yùn)行軟件的補(bǔ)丁程序是最新的。應(yīng)根據(jù)最小特權(quán)原則對網(wǎng)絡(luò)進(jìn)行分段,以使一個(gè)部門中的工作站受到損害不會輕易導(dǎo)致整個(gè)網(wǎng)絡(luò)被接管。在Windows網(wǎng)絡(luò)上,應(yīng)仔細(xì)監(jiān)視域控制器是否存在異常訪問。
2、供應(yīng)鏈安全
依賴MSP或受管安全服務(wù)提供商(MSSP)的組織應(yīng)確保監(jiān)視和記錄了來自這些第三方的連接,并且啟用了雙因素認(rèn)證。提供給第三方的網(wǎng)絡(luò)和系統(tǒng)訪問權(quán)限應(yīng)僅限于執(zhí)行其工作所需的內(nèi)容(最小化權(quán)限策略)。
3、資產(chǎn)發(fā)現(xiàn)
企業(yè)應(yīng)當(dāng)盡快建立對業(yè)務(wù)運(yùn)營至關(guān)重要的數(shù)據(jù)資產(chǎn)的完整清單,存儲資產(chǎn)清單的系統(tǒng)應(yīng)嚴(yán)格控制。
4、端點(diǎn)防護(hù)
由于許多勒索軟件感染都是從受感染的工作站開始的,因此使用端點(diǎn)反惡意軟件非常重要。從瀏覽器中刪除不需要的插件和擴(kuò)展,保持軟件為最新,并確保員工帳戶具有有限的特權(quán)也是如此。
5、意識培訓(xùn)
培訓(xùn)員工如何發(fā)現(xiàn)網(wǎng)絡(luò)釣魚電子郵件,以及如何詢問要求他們打開文件或單擊鏈接的不請自來的郵件。創(chuàng)建一個(gè)由安全團(tuán)隊(duì)監(jiān)控的特殊電子郵件地址,員工可以在其中轉(zhuǎn)發(fā)他們認(rèn)為可疑的電子郵件。
6、事件響應(yīng)
最后,起草事件響應(yīng)計(jì)劃,并確保每個(gè)相關(guān)人員都知道自己的角色,以及一旦發(fā)生侵害時(shí)需要采取的措施,包括與您的安全供應(yīng)商或MSSP以及執(zhí)法部門如何進(jìn)行溝通。不要輕視常規(guī)惡意軟件感染,徹底調(diào)查它們,因?yàn)樗鼈兛赡懿⑶医?jīng)常是更嚴(yán)重威脅的勒索軟件的入侵媒介。
7、最佳實(shí)踐框架
2020年2月,美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)發(fā)布了有關(guān)處理勒索軟件最佳實(shí)踐的兩項(xiàng)實(shí)踐準(zhǔn)則草案。準(zhǔn)則草案名為“數(shù)據(jù)完整性:識別和保護(hù)資產(chǎn)免遭勒索軟件和其他破壞性事件”和“數(shù)據(jù)完整性:檢測和響應(yīng)勒索軟件和其他破壞性事件”。該草案預(yù)計(jì)在2020年下半年發(fā)布將最終指南。