随着勒索软件“大猎杀”的出现,犯罪分子不断 创新手段选择受害者,最大限度增强破坏力,促使支付赎金。这些手段包括寻找高价值的知名目标和确定攻击时机,以造成大规模破坏。
受害者往往是停机影响最严重的组织,例如教育、医疗和政府机构。
自 2019 年以来,勒索软件犯罪分子的勒索方式已经发生了巨大变化。除了不断提高赎金,犯罪分子的施压方法也变得越来越强硬、公开且有创意。为应对这些新的挑战,需要运用全面的 Zero Trust 方法,让攻击者无法利用攻击手段和横向移动。
虽然勒索软件的策略不断改变,但过去两年来,犯罪分子的攻击都有一个共同点——勒索手段更加令人痛苦、更加公开,赎金不断高涨。他们的目标不再局限于加密文件,而是要给受害者造成严重的潜在影响,让受害者认为支付赎金才是唯一出路,从而提高勒索成功率。以下是攻击者最近使用的七种战术。
2019 年以前,犯罪分子为泄露而窃取数据的情况很少见。但最近,根据 2021 年第三季度的一项分析,83.3% 的攻击涉及数据泄露威胁。不同的勒索软件组织在谈判并促使付款时,都有自己的一套说辞。有些组织(例如 Clop 勒索软件集团)要求分开支付两笔赎金——一笔为赎回加密密钥,一笔为避免文件泄露。这意味着,即便组织有备份可以恢复文件,他们也可能为避免声誉受损或与数据隐私有关的罚款而支付赎金。攻击者还可能退回一些初始文件的访问权限,以示诚信——勒索软件相当于只是免费试用。他们还可能会立即泄露一些资料,然后按规定时间逐步公开其他资料。
在三重勒索中,攻击者会联系客户、业务合作伙伴和与受害组织相关的其他第三方。有些情况下,这是为了勒索第三方,就像某心理治疗诊所发生的一起攻击一样。他们警告病人,如果不希望将会诊记录公布在网上,就必须付费。还有些情况下,犯罪分子会叫收件人联系受害组织,敦促后者支付赎金,从而将一些施压工作外包给第三方。
据联邦调查局 (FBI) 分析,有些组织因即将发生的事件(例如合并、收购和产品发布)而成为攻击目标。面临声誉受损、股价骤降的风险,更有理由要求支付赎金。FBI 报告说,在私人谈判的合并中也会发生这种情况。渗透网络时,犯罪分子会试图发掘非公开数据,以确定目标并促使付款。如果信息泄露涉及产品蓝图或路线图的发布,这会损害组织的竞争优势,破坏性尤其巨大。FBI 发现,攻击者经常在节假日和周末发起攻击,这时更容易造成破坏。
犯罪分子通过多种渠道胁迫和骚扰受害者。利用渗透网络时获取的信息,有些犯罪团体会给员工打电话或发电子邮件。例如,使用 Egregor 勒索软件的犯罪分子在组织自己的打印机上远程打印赎金条。有些还使用倒数计时器,重点提示赎金要求何时到期或何时会增加赎金。
过去两年中出现了几十个专门发布被盗数据的网站。犯罪分子将未付款的受害者的数据发布在这些网站上,或逐一泄露文件,增加勒索谈判的筹码。公开个人数据要求受害组织向当局报告泄露事件,可能会招致罚款。
提高攻击知名度的手段极为多样。例如,攻击者会通过联系记者来施压支付赎金,并使组织面临数据隐私法律纠纷。Ragnar Locker 组织通过购买 Facebook 广告,使用盗取的凭证吸引人们关注攻击。一些勒索软件组织通过拍卖受害者的数据在全球范围内牟取收益。例如,REvil 集团拍卖了一家名人律师事务所的客户数据,成为许多媒体的头条新闻。
当组织因联系执法部门和受害客户、查找文件备份以及尽量减少横向移动等事务而不堪重负时,一些攻击者会威胁或煽动分布式拒绝服务攻击。在繁忙时期,网络不堪重负会加大压力,并占用更多 IT 资源。
勒索软件已有几十年历史,勒索手段为什么突然发生巨变?
犯罪分子现在能够更加努力地催促支付赎金,是因为受害组织保持在线的风险高多了。如今,生活中有许多事情都是在网上完成,避免停机至关重要——犯罪分子知道,如果干扰了员工的远程连接、学生的课程、病人的预约、客户的订单或日常运营的其他方面,会造成严重的破坏。即使组织有备份可以恢复文件,但恢复需要时间,这造成的经济损失比支付赎金更大。
过去两年中,攻击手段演变的其他因素还包括:
勒索软件即服务的崛起。正如组织可以通过基于云的服务购买防火墙一样,任何人无论技术能力如何,均可租赁和部署勒索软件。这种模式要求统一费率定价或支付一定比例的所得赎金,降低了发起攻击的门槛。
利润率高得惊人。有人估计,勒索软件的利润率高达 98%。与其他非法业务相比,勒索软件的逮捕和死亡风险要低得多,进一步刺激了犯罪分子的加入。
保护私人数据的义务。随着 GDPR 等隐私法规的颁布和执行,数据泄露可能导致受害组织面临巨额罚款,而且数据当事人可能会提起诉讼。这也影响了犯罪分子挑选目标和计算赎金的方式,因为他们知道,组织在计划事件响应策略时会分析成本效益。
组织需要制定多方面的综合战略来帮助预防勒索软件,缓解勒索软件的影响,特别是这些新型勒索手段加剧了攻击的可能后果。
一次勒索软件活动包括几个阶段,因此有许多机会可以阻止。采用 Zero Trust 安全模式是加强网络边界、限制横向移动的方法之一。这种方法包括实施严格的访问控制,默认不信任任何用户或系统,减少犯罪分子提升权限、寻找其他谈判筹码的机会。
Zero Trust 有助于预防勒索软件攻击,缓解攻击影响,主要体现在以下方面:
最小权限原则:只许每位用户访问自己需要使用的网络部分,这可最大限度减少攻击发生时的暴露规模和横向移动的可能性。
多因素身份验证:要求使用多种身份证明,使攻击者更难冒充用户。
浏览器隔离:将浏览活动限制在一个基于云的气隙环境中,组织可以保护网络免受恶意网站和应用程序的影响。
DNS 过滤:防止用户和端点加载恶意网站,帮助用户设备和整个网络远离勒索软件。
用户和设备态势检查:不断与端点安全提供商和标识提供程序进行交叉检查,确保只有安全的用户和设备可以连接到网络。
Cloudflare One 是一个 Zero Trust 网络即服务 (NaaS) 平台。它结合了安全和网络服务功能,安全连接远程用户、办公室和数据中心。通过隔离高风险的浏览活动,阻止访问恶意 URL,以及保护开放的服务器端口免遭外部入侵,帮助预防勒索软件。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
阅读本文后,您将能够了解:
激进的新型勒索软件敲诈手段
推动手段变化的因素
攻击者如何利用网络渗透过程中获取的数据来促进谈判。
Zero Trust 原则对缓解勒索软件攻击的重要意义