日前,Zscaler 安全威胁实验室发布了最新版《2023年全球勒索软件报告》,对当前勒索软件的威胁态势和发展趋势进行了研究分析。报告研究人员认为,相比以加密数据为主的传统勒索攻击模式,新一代的无加密(Encryptionless)勒索攻击是一个需要企业组织重点关注的趋势。
在这种类型的勒索攻击中,攻击者不再加密受害者的文件,转而专注于窃取敏感数据作为勒索的筹码。这给受害者和安全专业人员带来了新的挑战,因为攻击者会直接攻击并破坏组织重要的系统和数据,而传统的文件恢复和解密方法将不再适用于对无加密勒索攻击的防护。企业组织需要全面了解无加密攻击的技术特点,并重新开发适合自身业务发展的勒索缓解策略和应对方法。
报告关键发现
报告认为,在过去的一年中,勒索软件攻击威胁正呈快速上升趋势,且各种规模的企业都会面临勒索攻击的风险。以下是本次报告的关键发现:
- 截至2023年10月,全球勒索软件攻击数量同比增长37.75%,这表明全球企业组织面临更严峻的勒索软件威胁。更糟糕的是,研究人员通过Zscaler覆盖全球的沙箱中观察到,勒索软件的有效攻击载荷激增了57.50%,而多数企业还没有为应对这种不断变化的威胁做好准备;
- 攻击的激增是一个明确的警告,组织必须保持主动性、适应性并加大网络安全投入。通过优先考虑强大的防御措施,培养安全意识的文化,并鼓励协作,组织可以加强抵御勒索软件威胁的能力,并尽量减少潜在影响;
- 无加密勒索攻击成为勒索攻击威胁演变的主要特点,这种阴险的新勒索方法会给企业组织带来更大的挑战,因为攻击者会直接攻击并破坏组织重要的系统和数据;
- 制造业、服务业和建筑业是最常见的勒索软件攻击目标。这些行业以其关键基础设施和宝贵的知识产权而闻名,已成为寻求经济利益和破坏的网络罪犯的主要目标。
- 企业必须采用全面的零信任安全策略,以对抗日益复杂的勒索软件攻击。这种方法需要实现强大的措施,如零信任网络访问(ZTNA)架构、细粒度分段、浏览器隔离、高级沙箱、数据丢失防护、欺骗技术和云访问安全代理(CASB)解决方案。通过采用这些主动防御措施,组织可以加强自身的安全态势,并有效地防止勒索软件攻击。
勒索软件威胁态势
报告研究发现,不断扩散的勒索软件攻击继续对全球的企业组织、个人和关键基础设施构成重大威胁。攻击者正在不断调整和完善他们的攻击策略,利用泄露的源代码、智能化的攻击方案和新兴的编程语言来最大化他们的非法收益。在2023年,勒索软件攻击的主要特点包括:
- 无加密勒索攻击的数量从2023年初开始快速增加;
- 攻击者大量使用泄露的勒索软件源代码(如Babuk和Conti)以及泄露的构建程序(如LockBit)来发动攻击;
- 勒索软件攻击者正在从C/ C++等语言转向新型的Golang和Rust语言,以优化加密速度和跨平台兼容性;
- 勒索软件攻击者开始使用更高级的多态混淆来阻碍分析和逃避静态反病毒签名;
- 勒索软件开发者已经从基于RSA的加密转向基于椭圆曲线的算法,包括Curve25519、NIST B-233和NIST P-521。
在过去的几年里,制造业一直是勒索软件攻击的主要目标,而且这种趋势还在继续。从2022年4月到2023年4月的数据显示,制造业仍然是最具针对性的垂直行业,占勒索软件攻击总量的14.8%。这一发现凸显了制造企业对威胁行为者的脆弱性和吸引力。紧随制造业之后的是服务业,遭受了11.66%的勒索软件攻击。教育行业也面临着相当大的威胁,占攻击的7.64%。一个名为“Vice society”的勒索软件组织一直以教育部门为目标。
基于数据泄露站点的各行业勒索软件攻击数据
值得注意的是,这些数据只是基于数据泄露站点的信息所得,有助于深入了解攻击的流行程度,但可能无法涵盖所有勒索软件事件的全部范围。因为许多攻击没有被报道,或者在没有公开披露的情况下通过支付赎金私下解决。因此,这些数字应该被视为勒索软件目标的更广泛趋势的指示,而非整个威胁格局的详尽阐释。
研究人员发现针对家庭和个人等C端用户的“双重勒索”攻击在2023年激增了惊人的550%,此外,针对艺术、娱乐和休闲行业的攻击也大幅增加了433.33%。值得注意的是,在2022版报告中,上述行业的攻击基线相对较低,这使得它们的增长看起来非常明显。
上述数据也再次强调了针对广泛行业的勒索软件攻击的不断发展本质,所有的行业都可能遭遇勒索软件事件的突然激增。攻击呈指数增长反映了勒索软件团伙日益成熟以及对利润的不懈追求。
各行业遭受勒索攻击的年度对比
根据泄露网站上列出的受害者数量,LockBit、ALPHV/BlackCat和BlackBasta是目前最活跃的勒索软件勒索组织。
勒索软件家族发布受害者数据的时间轴
图5:2022年4月- 2023年4月,勒索软件家族的攻击数量
勒索威胁趋势预测
1.无加密勒索攻击
传统的勒索软件会对受害者的文件进行加密,并要求支付赎金才能释放文件。然而,越来越多的网络犯罪分子正在转向无加密勒索攻击,这种攻击的重点是窃取和威胁暴露敏感数据,而非对其进行加密。这种方法为网络安全专业人员的防御工作增加了新的复杂性和挑战。
2.AI驱动的勒索软件攻击
预计勒索软件组织将越来越多地利用人工智能功能,包括聊天机器人、人工智能开发的恶意软件代码、机器学习算法、自动化流程等等,这将使他们能够开发更复杂、更高效的技术,使传统的网络安全措施更难检测和防止此类攻击。更重要的是,人工智能还可能降低威胁行为者开发勒索软件的准入门槛。
3.网络保险“助推”威胁加剧
网络犯罪分子一直把更多的注意力放在有网络保险的组织上,这一威胁发展趋势在未来可能会继续增长。因为攻击者知道,购买过网络保险的受害者更有可能支付勒索赎金,因为他们可以依靠保险来支付费用。这种目标策略旨在最大限度地提高成功支付赎金的机会。
4.针对公共服务设施的目标增加
研究人员预测,针对市政服务部门、执法部门、中小学校、医疗机构的勒索软件攻击将进一步加剧并持续增长。这些实体在保护关键数据和系统方面的安全水平通常很低,这使得它们成为网络犯罪分子的关键目标。此外,这些类型的攻击通常会严重破坏社会公共服务,并暴露大量敏感信息缓存,包括PII、财务数据、私人记录等等。
5.新的RaaS玩家入局
RaaS(勒索软件及服务)是一种商业模式,在这种模式下,网络犯罪分子会委托附属机构入侵组织并部署他们的勒索软件。绝大多数勒索软件组织都在使用RaaS,而且多年来也证明它是有效的,因此这种趋势将继续下去,并不断涌现新的玩家。
6.初始访问代理(IAB)热度不减
越来越多的威胁组织会破坏一个组织,然后向勒索软件组织(或勒索软件组织的附属机构)出售该组织的访问权限。这使得具有渗透测试技能的威胁参与者可以从他们的工作中获利,而无需进行全面的勒索软件和/或无加密勒索攻击所需的专业知识。
7.对云服务的攻击
随着云计算和存储的日益普及,勒索软件攻击者可能会开发出针对云服务和工作流程进行优化的新型勒索软件和活动。破坏云环境可能导致大范围的破坏、业务中断和敏感数据被盗,同时影响多个用户或组织。这种可能性突出了对强大的安全措施和基于云环境的主动防御需求。
8.针对非windows系统和平台的攻击
勒索软件组织将继续扩大他们的武器库,攻击运行在非windows平台上的关键任务服务器。威胁行为者越来越多地构建勒索软件来加密Linux和ESXi服务器上的文件,这些服务器通常托管数据库、文件服务器和web服务器。一些威胁组织也对开发针对macOS的勒索软件表现出了兴趣。
勒索软件防护建议
勒索攻击数量的激增是一个明确的警告,组织必须保持主动性、适应性并加大网络安全投入。通过优先考虑强大的防御措施,培养安全意识的文化,并鼓励协作,组织可以加强抵御勒索软件威胁的能力,并尽量减少潜在影响。企业在防御勒索软件攻击时,关键是要采用分层防护的方法,在每个阶段(从侦察和初始入侵到横向移动、数据盗窃和有效载荷执行)破坏攻击。企业组织可以遵循以下最佳实践来提升防御勒索软件攻击的能力:
保持软件更新。新的安全补丁一旦发布,应尽快应用;
- 使用零信任架构来保护内部应用程序,实现用户与应用程序之间的细粒度分段,同时使用动态最小权限访问控制代理访问,以消除横向移动;
- 实现最低权限访问策略,以限制用户仅访问完成其工作所需的资源。这有助于防止攻击者访问敏感数据或系统,即使他们危及用户账户;
- 启用多因素身份验证(MFA),为用户账户添加额外的安全层,这有助于防止攻击者在获得受损凭据后访问用户账户;
- 实施一致的安全策略,确保组织内、外部所有用户遵循相同的安全流程;
- 定期进行安全意识培训,帮助员工识别和避免勒索软件攻击;
- 制定应对计划,以便在发生勒索软件攻击时迅速有效地采取行动。这应该包括数据恢复、事件响应以及与客户和员工沟通等步骤;
- 提升检查加密流量的能利。超过95%的攻击使用加密通道,因此组织必须检查所有流量,无论是否加密,以防止攻击者破坏其系统;
- 使用先进的沙箱自动检测未知的威胁载荷。基于签名的检测不足以防范最新的勒索软件变种。先进的内联沙箱可以检测未知的有效负载,并在它们到达用户之前阻止它们执行;
- 使用内联数据丢失防护(DLP)来防止敏感数据的泄露、丢失或暴露;
- 使用欺骗技术引诱攻击者进入陷阱,欺骗工具创造了看起来像有价值的目标的资产和数据,这可以帮助浪费攻击者的时间和资源,并阻止他们发现和利用真正的漏洞;
- 使用云访问安全代理(CASB)来控制和监视云应用程序的使用情况。CASB可以帮助防止用户从云应用程序下载恶意文件,还可以帮助防止数据泄露到云;
- 关注最新的勒索软件威胁和发展,包括已发布的入侵指标(IOCs)和MITRE ATT&CK映射。这些信息可用于培训组织团队,改进安全态势,并帮助防止勒索软件攻击;
- 做好数据备份,要定期、安全地备份所有数据,同时还必须包括离线备份。
报告下载链接:http://www.zzvips.com/uploads/allimg/ewyfgonvqmn.pdf