深信服發佈《2020年網絡安全態勢洞察報告》,“雙重勒索”模式成趨勢
自2017年WannaCry勒索病毒在全球範圍爆發,此後四年勒索病毒加速演進,越發猖狂,根據Cybersecurity Ventures的預測,到2021年全球勒索軟件破壞成本將達到200億美元。如今,勒索病毒因危害性極強,已成爲全球最大的網絡安全威脅之一,備受業內關注。
在不斷“進化”的過程中,勒索病毒有什麼新的特點?
據深信服千里目安全實驗室發佈的《2020年網絡安全態勢洞察報告》(以下簡稱“報告”),勒索軟件犯罪團伙逐漸專注大型機構,採用數據泄露結合加密勒索的方式,進行精確的攻擊行動,持續潛伏、製造嚴重破壞,並索要大額贖金。
【特點1】攻擊目標:逐步轉向對政企機構的精準攻擊
近年來,勒索軟件犯罪組織意識到使用廣撒網式的戰術並不能爲其帶來更多的投資回報,於是他們開始逐漸採用複雜性和針對性都比較強的交付技術和機制,並瞄準高端市場及更大的公司針對性發起大型“狩獵”活動,要求的贖金也大大增加。根據Coveware的數據顯示,與2019年相比,2020年第三季度的贖金要求同比增加約5倍。
勒索軟件犯罪組織的攻擊目標從個人用戶轉向了大型企業用戶、政府單位、醫療行業以及公共機構等,不是因爲這些部門和機構沒有安全防護,而是因爲他們在日常運營中非常依賴於關鍵業務數據,一旦業務受到影響,造成的損失不可估量,由此增加了受害者支付贖金的概率。
【特點2】運作模式:逐漸形成規模化、高度專業化的商業運作模式
如今,勒索病毒攻擊已經從個人行爲演變至團隊產業,從病毒製作,到入侵攻擊,再到解密溝通,都有不同的人負責運營,即分佈式團伙作案,每個人各司其職,高效運作,勒索病毒的產業運作模式可概括如下:
隨着勒索病毒攻擊發起者逐步向規模化、高度專業化轉變,在針對一些高價值目標(大型企業用戶、政府單位、醫療行業以及公共機構等)的攻擊中,攻擊者不再“淺嘗輒止”,在發起勒索攻擊之前,已經控制目標網絡相當長一段時間,並通過橫向滲透不斷擴展攻擊範圍和竊取更多數據,直到掌握足夠設備和數據之後,纔會發起最後的攻擊,這也讓受害者的損失更加慘重。
從2020年的勒索軟件家族來看,活躍家族TOP5分別爲Crysis、GlobeImposter、Sodinokibi、Phobos和Cerber,他們的大部分攻擊主要是利用RDP爆破、釣魚郵件作爲攻擊入口。從2020年深信服處理的勒索應急事件來看,將近70%的勒索軟件攻擊是由Crysis、GlobeImposter、Sodinokibi和Phobos這四種常見的勒索軟件變種進行的。除此之外,還有幾種新的RaaS變體,例如VegaLocker、MedusaLocker等,這些新進入者以較低的前期成本和技術知識門檻吸引了網絡犯罪初學者。
【特點3】攻擊手段:對數據進行加密和竊取,“雙重勒索”模式成趨勢
根據《報告》顯示,爲避免勒索失敗,勒索病毒團伙還採取了新的勒索策略:對數據進行加密和竊取雙重攻擊。在對受害者的數據庫進行加密之前,攻擊者會提取大量敏感的商業信息,並威脅不支付贖金就發佈這些信息,使得機構不僅要面臨破壞性的數據泄露,還有相關的法規、財務和聲譽影響。面對這種以泄露數據爲手段的勒索攻擊,就算機構有數據備份,爲了避免數據泄露帶來的負面影響,只能被迫選擇支付贖金。
比如在全球最大的保險集團設在泰國,馬來西亞、香港和菲律賓的分支機構遭到了勒索軟件網絡攻擊的事件中,Avaddon 勒索軟件組織在其泄漏網站上聲稱,他們從安盛的亞洲業務中竊取了包括客戶醫療報告、身份證複印件、付款記錄等敏感信息在內的3TB敏感數據。根據BleepingComputer報道,Avaddon於5月15日開始在其泄漏站點上公佈了安盛一些被竊取的數據, 並威脅安盛,如果十天之內安盛不予他們進行溝通和合作,他們將泄露安盛的重要文件。
對數據進行加密和竊取的雙重攻擊或將成爲勒索病毒日後發展的大趨勢,此外,根據Anchain.ai提供的數據,2020年三大勒索軟件組織的贖金賬戶平均資金駐留時間縮短了近十倍,同時隨着勒索軟件攻擊的複雜性不斷增長,勒索軟件的事件響應和溯源難度急劇增加。
爲何勒索病毒能越演越烈,如野草般肆虐全球?
據深信服千里目安全實驗室發佈的《2020年勒索病毒年度報告》,製作成本低、犯罪成本低以及攻擊方式簡單,是勒索病毒盛行的主要因素。
隨着勒索病毒技術細節的公開,部分勒索軟件代碼被放在暗網上售賣,勒索病毒的製作成本持續降低。2012年,國外安全廠商確認了大約16種不同的勒索軟件家族,這些家族在被不同的犯罪團伙使用。但是所有勒索病毒程序都可以追溯到同一個人,該人顯然是全職的勒索病毒程序創造者,根據要求爲犯罪團伙編寫勒索軟件。
【原因2】犯罪成本低,不易被追蹤
作爲一種犯罪活動,傳播勒索病毒是低風險的。勒索病毒運營團伙利用了本已繁榮的比 特幣轉移服務和惡意軟件即服務運營商的市場,藉助數字貨幣和暗網的特性,可以讓攻擊者直接獲得付款而不被警方追蹤,有時犯罪分子甚至居住在一些不與國際社會合作的國家和地區。
【原因3】攻擊方式簡單,技術能力要求較低
勒索病毒的感染方式具有多樣性,可通過暴力破解、魚叉郵件、漏洞利用、殭屍網絡等方式進行攻擊。其中應用最爲廣泛的是RDP暴力破解,攻擊者登錄成功後利用黑客工具卸載安全軟件,內網橫向擴散,然後投放運行勒索病毒進行加密,每個步驟都有專業的黑客工具輔助完成,對技術能力要求較低。
面對勒索病毒的威脅,用戶又將如何預防?
從2017年WannaCry勒索病毒在全球範圍爆發至今,勒索病毒的攻擊形式隨着技術發展不斷變化,爲了獲取高額贖金,勒索病毒犯罪團伙將攻擊目標從個人用戶轉向了大型企業用戶、政府單位、醫療行業以及公共機構等,在對數據進行加密和竊取的“雙重勒索”模式下,受害者被推向不得不向罪犯低頭的處境。
由於目前大部分勒索病毒加密後的文件都無法解密,因此,勒索病毒以防爲主,用戶可通過以下措施進行日常防範:
1、及時給系統和應用打補丁,修復常見高危漏洞;
2、對重要的數據文件定期進行非本地備份;
3、不要點擊來源不明的郵件附件,不從不明網站下載軟件;
4、儘量關閉不必要的文件共享權限;
5、更改主機賬戶和數據庫密碼,設置強密碼,避免使用統一的密碼,因爲統一的密碼會導致一臺被攻破,多臺遭殃;
6、如果業務上無需使用RDP的,建議關閉RDP功能,並儘量不要對外網映射RDP端口和數據庫端口。
此外,深信服基於近1000個用戶的最佳實踐總結出勒索病毒的防護思路:在雲網端的多層架構下,針對勒索病毒在突破邊界、病毒投放、加密勒索、橫向傳播等各個環節,實現實時攔截、快速查殺、多重監測和有效處置,爲客戶提供全方位的勒索防護能力。