勒索軟體攻擊者升級了勒索手法
增加風險和加劇談判的 7 個趨勢
勒索軟體活動類似於企業
隨著勒索軟體「大獵殺」的出現,犯罪分子在選擇受害者、最大限度地破壞和鼓勵支付贖金方面變得越來越有創意。這種策略涉及尋找高價值、引人注目的目標和定時攻擊以造成廣泛的破壞。
受害者往往是受到停機時間影響最大的組織,例如教育、醫療保健和政府領域的組織。
自 2019 年以來,勒索軟體罪犯勒索組織的方式發生了翻天覆地的變化。除了不斷增加的贖金要求外,犯罪分子施加壓力的方法也變得更加激烈、更具創造性和公開化。應對這些新挑戰需要一種全面的 Zero Trust 方法,以阻止攻擊者利用攻擊媒介和橫向移動的能力。
犯罪分子如何在「勒索經濟」內增加壓力
儘管勒索軟體策略不斷變化,但過去兩年犯罪分子的攻擊有一個共同的主題——他們的勒索策略更加令人痛苦和明顯,風險也更高。目標不再只是加密檔案,而是要給受害者帶來巨大的潛在影響,以至於支付贖金似乎是唯一的選擇,從而提高他們的成功率。以下是攻擊者最近使用的七種策略:
1. 雙重勒索——洩露和發布資料
在 2019 年之前,犯罪分子很少會以洩露資料為目的而竊取資料。然而,根據一項分析,就在 2021 年第三季度,83.3% 的攻擊涉及資料外流威脅。不同的勒索軟體聯合起來,對他們進行交涉和鼓勵付款的方式進行了調整。部分攻擊者(如 Clop 勒索軟體團夥)要求兩次單獨的贖金——一次是為了獲得加密金鑰,一次是為了避免檔案洩露。這意味著即使一個組織有備份可以恢復,他們也可能會付費以避免聲譽受損或與資料隱私權相關的罰款。攻擊者還可能返回對某些初始檔案的存取權限,以衡量其誠意——相當於免費試用的勒索軟體。或者他們可能會立即洩漏一些材料,並按時間增量發布其餘材料。
2. 三重勒索——威脅第三方
採用三重勒索方式,攻擊者會聯絡與受害組織相關的客戶、業務合作夥伴和其他第三方。在某些情況下,這是要求第三方付款,例如對心理治療診所的攻擊。患者被告知,如果他們不希望自己的診療記錄被發佈在網上,就需要付費。在其他情況下,犯罪分子告訴收件者聯絡受害組織並催促其支付贖金,從而把一些脅迫工作轉移給他人。
3. 定時攻擊造成最大損害
根據 FBI 的說法,一些組織是基於即將發生的事件(如合併、收購和產品發布)而成為目標的。聲譽受損和股票價值暴跌的風險使贖金要求更無法抗拒。FBI 報告稱,私人交涉進行的合併也會出現這種情況。在滲透網路時,犯罪分子試圖挖掘非公開資料以識別目標並促成付款。如果洩漏涉及產品藍圖或路線圖的發布,那麼它對組織的破壞性尤其大,因為它會削弱競爭優勢。FBI 發現,攻擊者經常在節假日和周末發動攻擊,這時更容易造成破壞。
4. 虛擬和實際恐嚇
犯罪分子透過多種渠道來打擊和騷擾受害者。使用在滲透網路時獲得的資訊,一些團體會打電話給員工並傳送電子郵件。例如,使用 Egregor 勒索軟體的犯罪分子在組織自己的印表機上遠端列印勒索信。有些人使用倒數計時器來強調贖金優惠何時到期或要求的金額何時增加。
5. 在公開羞辱網站上洩露資料
過去兩年出現了數十個發布被盜資料的網站。犯罪分子會在這些頁面上發布未付款受害者的資料,或逐一泄露檔案,以在交涉中加大力度。個人資料的公開迫使受害組織必須向當局報告洩露情況,這可能導致付款。
6. 吸引更廣泛的關注
提高攻擊可見度的策略多種多樣。例如,攻擊者可以透過聯絡記者來增加支付壓力,並使組織面臨資料隱私權法律糾紛。Ragnar Locker 團夥透過使用被盜認證購買 Facebook 廣告,來引起人們對一次攻擊的注意。一些勒索軟體團夥透過拍賣受害者的資料在全球範圍內尋求收益。REvil 團夥拍賣了一家知名律師事務所的客戶資料,這引起了許多媒體的關注。
7. 新增 DDoS 攻擊
儘管組織已經因聯絡執法部門和受影響的客戶、查找檔案備份並最大限度地減少橫向移動而不堪重負,但一些攻擊者會威脅或鼓動分散式阻斷服務攻擊。在本就繁忙的時段,網路不堪重負會增加壓力並佔用更多 IT 資源。
新的和極端勒索戰術的驅動因素
為什麼在勒索軟體已存在幾十年時,勒索策略突然發生了變化?
犯罪分子現在能夠更加努力地索要贖金,因為受害組織保持在線的風險要高得多。當大部分生活都在網上進行時,避免停機是至關重要的——犯罪分子知道,如果他們干擾員工的遠端連線、學生課堂、患者預約、客戶訂單或日常營運的其他方面,那將是多麼具有破壞性。即使一個組織有備份可以從中還原,這所花費的時間也可能比支付贖金造成更大的經濟損失。
過去兩年的攻擊策略演變背後的其他因素包括:
勒索軟體即服務的興起。就像組織可以透過雲端服務購買防火牆一樣,無論技術能力如何,任何人都可以租用和部署勒索軟體。這種模式只需要以固定費率購��買或支付一定比例的所獲贖金,降低了發起攻擊的門檻。
驚人的高利潤率。據估計,勒索軟體的利潤率為 98%。與其他非法業務相比,勒索軟體的被捕和死亡風險大大降低,進一步激勵了市場進入者。
保護私人資料的義務。隨著 GDPR 等隱私法規的頒布和執行,資料洩露可能會給受害組織帶來巨額罰款,並可能導致資料洩露者提起訴訟。這會影響犯罪分子選擇目標和計算贖金的方式,因為他們知道組織在計劃事件回應時會進行成本效益分析。
保護網路周邊
組織需要一個綜合的多方面戰略來幫助預防和緩解勒索軟體,特別是因為這些新的勒索策略增加了攻擊的可能後果。
勒索軟體活動包含多個階段,因此有很多機會阻止它。採用 Zero Trust 安全模型是加強網路周邊和限制橫向移動的一種方法。這種方法涉及實施嚴格的存取控制並預設不信任任何使用者或系統,減少了犯罪分子提升權限和尋找額外槓桿來加強談判的機會��。
有助於防止和緩解勒索軟體攻擊的 Zero Trust 層面包括:
最低權限存取:讓每位使用者只能存取他們需要的網路部分,將暴露程度降至最低,並在攻擊發生的情況下將橫向移動的可能性降至最低。
多重要素驗證:要求一種以上的身分證明方式,使攻擊者更難以冒充使用者。
瀏覽器隔離:透過將瀏覽活動限制在雲端、氣隙隔離的環境中,組織可以保護網路免受惡意網站和應用程式的攻擊。
DNS 篩選:防止使用者和端點載入惡意網站,有助於使勒索軟體遠離使用者裝置和整體網路。
使用者和裝置狀態檢查:持續由端點安全性提供者和識別提供者進行交叉檢查,確保只有安全的使用者和裝置才能連接到網路。
Cloudflare One 是一個 Zero Trust 網路即服務 (NaaS) 平台,結合了安全性和網路服務,可安全地連接遠端使用者、辦公室和資料中心。它能隔離高風險瀏覽、封鎖對惡意 URL 的存取,以及保護開放式伺服器通訊埠免受外部入侵,從而協助防範勒索軟體。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文是其中之一。
重點
閱讀本文後,您將能夠瞭解:
新的和積極的勒索軟體勒索策略
驅動產生這些變化方式的因素
攻擊者如何利用他們在網路滲透期間取得的資料來推動交涉
Zero Trust 原則對緩解勒索軟體的重要性