勒索軟件攻擊的主要趨勢包括:釣魚郵件、RDP憑證破解、漏洞利用成三大主要突破口,網絡犯罪服務租賃市場持續升溫,彼此分享受害者信息等;
新技術特點包括:針對云端、托管服務供應商、工業流程、軟件供應鏈等針對性目標進行攻擊,挑選節假日和周末下手。
2021年,美國、澳大利亞、以及英國的政府網絡安全當局觀察到,全球范圍內以關鍵基礎設施相關組織為目標的高復雜度、高影響力勒索軟件攻擊正在持續增加。
這份由美國、澳大利亞及英國網絡安全當局撰寫的聯合網絡安全咨詢報告,列舉了觀察到的行為與趨勢,同時也提出了緩解建議,希望幫助網絡防御方降低遭受勒索軟件入侵的風險。
2021年威脅態勢
美國聯邦調查局(FBI)、網絡安全與基礎設施安全局(CISA)與國家安全局(NSA)觀察到,全美16個關鍵基礎設施部門中有14個曾經遭遇勒索軟件事件,具體涵蓋國防工業基地、緊急服務、食品與農業、政府設施與信息技術等多個部門。
澳大利亞網絡安全中心(ACSC)則觀察到,勒索軟件正持續將矛頭指向澳大利亞國內各關鍵基礎設施實體,包括醫療保健、金融服務與市場、高等教育與研究、外加能源部門。
英國國家網絡安全中心(NCSC)則將勒索軟件視為英國面臨的最大網絡威脅,表示教育領域成為勒索軟件攻擊者的主要目標之一,同時發現針對地方各級政府及衛生部門內各企業、慈善機構、法律界乃至公共服務機構的攻擊也是不一而足。
2021年,勒索軟件攻擊在策略與技術層面仍在繼續發展,這表明勒索軟件威脅攻擊者的業務水平正日益純熟,也由此令全球組織身陷更為可怕的威脅陰影。
勒索軟件攻擊的主要行為與趨勢
美國、澳大利亞與英國的各網絡安全部門在2021年內觀察到網絡犯罪分子存在以下行為與趨勢:
通過網絡釣魚、被盜的遠程桌面協議(RDP)憑證/暴力破解以及利用漏洞等方式訪問目標網絡
網絡釣魚電子郵件、利用RDP以及利用軟件漏洞在2021繼續成為勒索軟件活動中的三大初始感染手段。一旦勒索軟件攻擊者在對方設備或網絡中獲得代碼執行權限,即可進一步部署勒索軟件。請注意:這些感染手段從2020年初步興起到2021年持續蔓延,而且很可能在遠程辦公與學校遠程教學的大背景下繼續保持流行。新冠疫情催生出的遠程辦公/教育趨勢極大擴展了遠程攻擊面,導致網絡防御方很難用傳統軟件修復方法跟上安全需求的節奏。
網絡犯罪服務租賃市場持續升溫
勒索軟件市場在2021年內正變得愈發“專業”,勒索軟件的犯罪商業模式也已全面成熟。除了勒索軟件即服務(RaaS)的廣泛普及之外,勒索軟件攻擊者還開始借助獨立服務進行款項協商、受害者贖金支付引導、甚至對各方網絡犯罪分子之間的利益糾葛開展仲裁。英國網絡安全中心觀察到,部分勒索軟件攻擊者甚至向受害者提供24/7全天候幫助中心服務,用以加快對方支付贖金以及系統或數據的恢復速度。
注意:美國、澳大利亞及英國的網絡安全當局評估認為,如果勒索軟件犯罪商業模式能夠持續為攻擊一方帶來經濟回報,那么勒索軟件事件將變得更加頻繁。受害者的每一次就范、他們付出的每一筆贖金,都會讓犯罪分子對于勒索軟件商業模式的可行性與財務吸引力再增添一份信心。此外,美國、澳大利亞和英國的網絡安全當局還指出,這種犯罪商業模式的出現往往令歸因工作復雜化——由于參與攻擊的開發者、附屬組織及自由職業人士等成分太過復雜,調查一方往往很難確定勒索軟件事件背后的實際操縱者。
分享受害者信息
歐洲和亞洲的各勒索軟件組織會彼此分享受害者信息,進而形成更為多樣的勒索攻擊威脅態勢。例如,在宣布正式關閉之后,BlackMatter勒索軟件團伙就將原有受害者信息轉移到另一團伙Lockbit 2.0的基礎設施當中。2021年10月,Conti勒索軟件團伙甚至直接出售受害者網絡的訪問權限,以供其他惡意攻擊者實施后續攻擊。
“大型獵物”攻擊浪潮正遠離美國
2021年上半年,美國和澳大利亞網絡安全當局曾通過多起引人注目的網絡安全事件發現,勒索軟件攻擊者正展開一波針對“大獵物”(即被認定為高價值的組織及/或提供關鍵服務的機構)的入侵浪潮。此番攻勢的受害者包括科洛尼爾管道運輸公司、JBS Foods以及軟件商Kaseya。但勒索軟件攻擊一方還沒有得意多久,就在同年年中遭到美國當局的打壓。隨后,FBI觀察到部分勒索軟件攻擊者開始將目標從“大獵物”轉向中等體量的受害者,希望借此轉移審查壓力。
澳大利亞網絡安全中心觀察到,2021年內澳大利亞本土的勒索軟件攻勢繼續不分體量、持續肆虐,所以這里的關鍵服務機構與“大獵物”們還沒法像美國同行們那樣稍稍松口氣。
英國網絡安全中心則觀察到,2021年英國本土不同規模的各類組織都未能幸免于難,其中也包括不少“大獵物”級別的受害者。過去一年,英國的勒索軟件受害者涵蓋教育、地方各級政府與衛生部門企業、慈善機構、法律界及公共服務等多個領域。
攻擊方勒索金錢的方式也是多種多樣
在對受害者網絡完成加密鎖定之后,如今的勒索軟件攻擊者開始更多運用“三重勒索”手段,即威脅要
(1)公開發布被盜的敏感信息;
(2)破壞受害者的互聯網訪問功能;及/或
(3)將攻擊事件通報給受害者的合作伙伴、股東或供應商。
當然,澳大利亞網絡安全中心也觀察到不少更為老派的“雙重勒索”事件,即攻擊一方以加密系統加威脅泄露數據的組合迫使受害者支付贖金。
勒索軟件攻擊的新技術特點
勒索軟件團伙還通過以下方式進一步增加了自身影響力:
瞄準云端。勒索軟件開發者開始以云基礎設施為目標,利用云應用程序、虛擬機軟件及虛擬機編排工具中的已知漏洞。勒索軟件攻擊者還將矛頭指向云賬戶、云應用程序編程接口(API)以及數據備份與存儲系統,阻斷指向云資源的訪問請求并加密數據內容。除了利用漏洞直接獲取訪問權限之外,惡意攻擊者有時還會入侵本地設備、進而橫向移動至云系統以完成對云存儲系統的滲透。再有,勒索軟件攻擊者也會嘗試攻擊云服務供應商以加密海量客戶數據。
針對托管服務供應商。勒索軟件攻擊者當然不會放過托管服務供應商(MSP),因為他們手中掌握著廣泛且受到信任的客戶組織訪問權限。通過入侵托管服務商,勒索軟件攻擊者可以一次滲透就攻陷多位受害者。美國、澳大利亞及英國的網絡安全當局評估稱,未來這類以托管服務商為跳板、以入侵托管服務客戶為最終目的的勒索軟件攻擊事件還將持續增加。
攻擊工業流程。盡管針對關鍵基礎設施的大多數勒索軟件事件總會影響到商業信息與技術系統,但FBI也觀察到一部分勒索軟件團伙正在開發專門打擊關鍵基礎設施或工業流程的惡意代碼。
攻擊軟件供應鏈。2021年,勒索軟件攻擊者開始在全球范圍內破壞軟件供應鏈實體,并借此損害并勒索供應鏈客戶。這種從供應鏈下手的攻擊方式能夠讓威脅方一次行動就拿下多位受害者,從而有效擴大其攻擊規模。
挑節假日和周末下手。FBI和CISA都觀察到,網絡犯罪分子開始在2021年的各個節假日和周末向美國實體發動攻擊,并由此獲得了更大的威脅影響力。勒索軟件攻擊者意識到節假日和周末期間組織機構往往無人值守,網絡防御方的松懈與IT支持人員的休假自然成為提升攻擊成功率的大好機會。
該報告的緩解措施、應對建議等后半部分內容比較冗長,安全內參讀者如有興趣可自行閱讀。
