从起源到双重勒索：勒索软件策略的演变

开源情报集合的力量

什么是密文？

如何防止暴力攻击？

防止权限升级攻击的六种方法

承认向勒索软件黑客付费，但仍面临患者数据泄露

数字时代的威胁：“中间人”和“中间对手”攻击分析

美国将继续监控世界

发现数字时代的心理操纵

匿名黑客攻击以色列国防军

微信搜索关注公众号：网络研究观，获取更多信息。 

勒索软件并不是一个新现象。它的起源可以追溯到 20 世纪 80 年代的一种被称为“AIDs木马”的病毒株。 AIDs 木马对设备的文件系统进行加密，并要求支付 180 美元邮寄到巴拿马的邮箱以获得解密密钥以解锁加密数据。

通过加密文件和出售解密密钥以获取赎金来劫持数据的行为一直持续到 2010 年代末，当时受害者发现了减轻威胁的新方法。典型勒索软件攻击的阶段包括：

第 1 阶段：勒索软件攻击者通过网络钓鱼电子邮件、利用软件漏洞或使用受损凭据等各种方法初步进入组织。获得访问权限后，他们会在网络内进行侦察，以升级权限并跨设备横向移动。 

第 2 阶段：此阶段涉及威胁行为者在勒索软件激活之前未经授权将组织的数据传输到其服务器。这一过程称为数据泄露，为进一步的勒索做准备。攻击者威胁称，如果未支付赎金，他们将公开发布被盗数据，并利用潜在的监管罚款和声誉损害作为强制付款的额外压力。 

第 3 和第 4 阶段：威胁行为者要么进行 DDoS（分布式拒绝服务）攻击以损害目标组织的公众声誉，要么试图勒索受数据泄露影响的第三方。这些技术可以单独或一起使用，以最大限度地增加对受害者组织的压力。

为了防止 2000 年代中期的勒索软件攻击，组织转向早期检测和响应、维护定期数据备份，并确保其安全补丁是最新的。由于这些新的预防措施，勒索软件运营商需要寻找新的方式来勒索赎金，双重勒索的时代诞生了。 

在双重勒索策略中，网络犯罪分子通过加密锁定敏感用户数据，并威胁将其发布到暗网上，将其出售给出价最高者，或永久阻止访问，除非在指定期限内支付赎金。 

首次报告的双重勒索攻击针对的是安全和设施服务公司 Allied Universal。他们于 2019 年遭到 Maze 组织的黑客攻击，不得不支付 300 比特币（约合 230 万美元）才能解密整个网络。

Maze 组织通过俄罗斯论坛上的链接发布了 700MB 的数据，以向盟军证明他们可以控制自己的数据。 Allied 没有支付 380 万美元的赎金；随后，Maze 公布了他们的所有文件。

这种双重勒索策略的演变至今仍然普遍存在。2022 年末，平均 70% 的 Unit 42 勒索软件事件中，威胁行为者参与了数据盗窃，而 2021 年中期这一比例约为 40%。

网络攻击：董事会层面的理解

IT 部门必须将网络风险转化为运营和业务风险，以便董事会层面能够理解。那些理解“1 和 0”的人需要向那些从事“美元和美分”工作的人解释，网络犯罪世界正在演变成一个与他们的公司结构相媲美的多层业务结构。当今的网络犯罪生态系统由三种不同类型的群体组成：

1. 访问代理：访问代理专注于查找存在漏洞的组织、危害网络的组织，并探查进入这些组织的最简单方法。一旦确定，他们就会将这些潜在客户打包出售给网络犯罪集团。
2. 开发人员：开发人员构建勒索软件即服务 (RaaS) 工具来出租给其他不良行为者。
3. 前锋：在购买访问信息并获取 RaaS 工具后，第三个组织（前锋）将进入网络，窃取或加密数据，执行勒索软件负载，并提出赎金要求。

预防

最有效的知识转移方法之一是让高层管理人员体验模拟网络事件，让他们了解攻击发生时企业的角色和责任。桌面桌面事件响应练习是确保计划、行动手册和团队得到彻底测试的绝佳方法。

通过与高级管理层密切合作，IT 可以帮助高管了解每项练习，并为最终的黑客攻击做好更好的准备。 IT 到高管层的知识转移包括来自法律、财务和其他部门以及外部领域专家的意见，以制定无责备的恢复计划。

这种知识转移至关重要，因为许多高管人员没有意识到网络攻击的下游影响，例如：

IT 系统停机扰乱业务运营。
为客户的诉讼辩护。
客户群下降。
行业监管机构实施的经济制裁。
如果律师或员工因上述任何原因离职，公司将开始招聘新员工。

此外，网络防御问题不仅仅取决于不良行为者的商业头脑变得更加老练；它还涉及这些犯罪分子不断改变他们的战术、技术和攻击程序。  

平台的发展为网络犯罪分子提供了帮助，使他们能够利用其他不良行为者的技能和基础设施来执行他们通常无法自行执行的受损操作。2023 年平均数据泄露成本为 445 万美元，是有记录以来的最高平均成本。微软指出 2020 年 46% 的网络攻击的目标是美国，是其他国家的两倍多。

降低风险；恢复得更快

根据国际反勒索软件倡议的声明，不良行为者的勒索行为将变得更加激进。然而，一切并不是厄运和阴郁；而是一切。有一些实际步骤可以减轻风险并更快地恢复。这些步骤需要实施：

1. 强大的网络安全框架

维护所有设备、应用程序、网络设备和操作系统的所有供应商安全补丁。
实施网络分段以减少可用横向移动路径的数量。
实施并维护强大的访问控制，遵循最小权限原则；这将减少威胁行为者窃取的可用数据。
部署防火墙和入侵检测/防御系统 (IDS/IPS) 以监视和控制网络流量并阻止恶意流量。

2. 备份和灾难恢复

执行定期备份。
对所有备份执行定期恢复测试，以确保其有效性。

3. 威胁检测

实施安全信息事件管理 (SIEM) 以报告可疑活动。
使用端点检测和响应 (EDR) 系统监视端点设备是否存在可疑或恶意行为。

4. 事件响应计划

制定事件响应计划和补充手册，详细说明组织在发生网络事件时的行动。
明确定义网络事件响应团队 (CIRT) 的角色和职责。
为了确保事件响应计划符合其目的，应定期对其进行测试，并吸取经验教训。 

5. 安全审计和评估

定期进行验证扫描，以确保正确应用配置基线和安全补丁。
与独立第三方合作进行定期漏洞评估和渗透测试练习，以识别安全缺陷。 

6. 用户意识和培训

教育用户了解网络钓鱼电子邮件、社会工程和可疑附件或链接的风险。
促进在整个组织中使用多重身份验证。

勒索软件运营商可能会采用三重和四重勒索策略，使他们能够对受害者施加更大的压力，要求其付款，从而提高他们的成功率。面对四十个国家形成联盟计划，其中包括签署不向网络犯罪分子支付赎金的承诺，旨在消除他们的经济收入来源，敲诈勒索活动可能会变得更加激进。

整个 2024 年，随着勒索软件有效负载的技术能力不断发展，勒索软件操作的复杂性将继续扩大。这将使威胁行为者能够扩大其攻击面并瞄准其他操作系统架构，例如 macOS 和 Linux。 

最近的一项调查显示，78% 的勒索软件受害者表示曾遭受过多种勒索。虽然受害者可能能够从最初的勒索软件事件中恢复过来，但额外的勒索层旨在施加最大压力，以确保最终支付赎金。为了降低勒索软件的风险，防范不良行为者的最佳防御措施仍然是保持警惕、做好准备和规划。