概述
受全球数字化进程加快驱动,数以百万计的远程办公需求快速激增,互联网流量、接口暴增,网络犯罪分子越来越有利可图。在过去的2021年里,全球各地一些针对性、极具破坏性的勒索攻击事件频频出现,攻击手段层出不穷、赎金规模更是创下历史新高。如今,勒索软件攻击已经是网络安全的最大威胁之一,已从早期网络滋扰发展成为如今危害社会运作、经济稳定和公共安全并不断升级的全球新挑战。
随着勒索组织引入越来越多的破坏性TTPs,同时,勒索活动逐渐组织化、产业化,大大降低了非技术人员参与到勒索牟利行业的门槛,勒索攻击势力得以迅速蔓延,使得接入互联网的组织无形中都成为了潜在的受害目标。相比2020年,勒索攻击事件严重程度和赎金规模在2021年都达到了新的高度。
新华三安全攻防实验室长期致力于网络攻防研究,基于团队持续威胁狩猎、活跃勒索组织追踪,从目标、技术、模式、施压、赎金等角度,现总结2021年针对性勒索攻击活动及趋势如下。
2021针对性勒索攻击活动
随着安全研究人员及安全厂商对勒索病毒的长期分析和深入研究,网络安全设备和终端杀毒软件等对勒索病毒的拦截率持续上升,同时无差别勒索攻击利润持续走低,受此双重因素影响,勒索犯罪者开始转变攻击思路,逐渐开始挑选拥有足够支付能力的目标展开攻击活动。从2021年内企业、机构等受害目标数量来看,勒索攻击事件发生频率整体呈上升趋势,勒索犯罪产业威胁程度显著增加。
2.1 勒索攻击组织化发展
然而,针对大型目标进行勒索虽然可以获得更高的赎金规模,其复杂的网络结构和立体的防御能力却对勒索攻击者的技术手段和勒索策略提出更高的要求,勒索犯罪团伙开始向高度的组织化和规模化发展。为了扩大勒索规模,勒索组织形式不断创新,从分工明确的小型团伙中衍生出RaaS(Ransomeware as a Service,勒索软件即服务)形式的“商业化”模式,凭借技术支持与赎金分成吸引合作者以提高组织整体规模,从2021年主要勒索组织的攻击事件统计来看,最活跃的勒索组织基本都以RaaS模式运营,其中2019年首次出现并于2021年成为最活跃的勒索组织Conti,更是RaaS勒索模式发展过程中“成功”的典型。
2021年,网络勒索犯罪团伙发生一些改变,老牌勒索组织在执法部门的打击下停止运营如Avaddon;新兴勒索组织不断涌出如Hive、HelloKitty;更有勒索组织改头换面,如DarkSide更名为BlackMatter,以另一种身份躲避追查,继续展开攻击活动。在这场勒索风暴所产生的巨大利润驱使下,勒索攻击活动从未停止,而是变本加厉。新华三攻防实验室总结了2021年来活跃勒索组织发展动态,详细介绍见报告附录。
2.2 针对性勒索攻击事件
这些勒索组织借助其产业化优势,在2021年内活跃程度不断增长,受害者遍布全球,其中不乏一些知名厂商和政府机构。受害者可能不仅面临数据的破坏和经济的损失,甚至会陷入因泄露数据而被监管机构制裁的困境。
从2021年内发生全球各地发生勒索攻击事件来看,针对大型目标展开定向攻击依然是勒索攻击活动中最主流的威胁方式。但是,要针对拥有高额支付能力的受害目标展开攻击,同时也对勒索组织自身有着更高的挑战和要求。勒索组织者跟随主流勒索发展趋势的同时,也在谋求新思路、升级新技术。
目标:勒索攻击目标行业趋势分析
大型企业、机构的网络生态结构复杂多变,受利润、风险、攻击成本等因素的影响,攻击者在目标的选择上有较为明显的趋向性。下图展示了2021年勒索组织攻击事件受害行业分布情况:
结合全球范围内多次勒索攻击事件来看,勒索组织针对目标行业的攻击主要呈现以下四种特点:
3.1 实体数量较多的行业是勒索受害重灾区
2021年,制造业、专业&法律服务行业受到勒索攻击事件影响最为严重,占攻击事件的28.68%。究其原因在于这两个行业的实体数量较多且分散,工业和网络资产在互联网上流动量频繁,因而暴露给勒索组织的攻击面更广,如远程桌面协议和虚拟专用网服务。
通常,勒索软件更容易潜伏到滞留在传统安全防护措施的大型目标中。而工业实体行业因其行业规模化、功能化等特性而依赖于传统的、脆弱的IT环境,如无法联网升级的杀毒软件、未修补的系统漏洞等,这无疑为网络攻击者留下可利用的攻击途径。
事实上,生产、制造、服务需要大量的运转周期,任何导致停机的恶意攻击都会带来高昂的开销成本。攻击者正是瞄准了实体行业面对生产交付、业务恢复等困境,针对大型制造业的勒索攻击往往会取得成功,这种激励模式也引诱一批批的勒索组织加入对该行业的攻击活动中去。
3.2 规模小、安全预算不足的企业面临多重风险
据《华尔街日报》统计,在收入超过10亿美元的公司中,有81%的公司有网络安全计划,在收入低于5000万美元的公司中,只有63%的公司有网络安全计划。可以看出,企业的网络安全预算投入与其规模呈正比,这与我们观察到中等规模及以下的公司更容易遭到勒索的现象不谋而合。
在规模较小的企业内,往往缺少专业的网络安全防护团队,数据备份、漏洞修补等安全防护工作落实不到位。较于大型企业,中小型企业基础设施脆弱、防御规划预算紧张、尤其正急于从传统实体向数字化转型而采用各种新技术但却忽略其带来的新风险,种种因素增加了网络犯罪者的攻击成功率。
更严重的是,中小型企业缺乏网络安全防范可能会通过复杂供应链将风险传导给其他合作企业。在企业间的生态合作体系中,攻击者将其作为跳板,进而渗透到上游大型、高价值目标的网络系统中。
3.3 勒索组织开始将攻击目标转向云上业务
除了行业上的变化,勒索组织还将自身能力向其他业务平台延伸。早期勒索组织常年活跃在Windows平台,随着智能终端设备海量化接入、技术结构异质化、对数据存储可扩展性需求等因素,从大型企业到小型实体行业都纷纷实现“All in Cloud”。云上业务蓬勃发展的同时也带来了一些新的技术,如虚拟化,使得用户展示给黑客的基础攻击面不断放大,持续面临漏洞的威胁。
在此背景下,越来越多的勒索组织为扩大攻击势力范围,将黑手伸向云端,由此产生一个新术语——Ransomcloud。目前,活跃勒索组织Babuk、BlackMatter已经衍生出Linux版本,针对EXSI等虚拟化管理平台进行加密勒索。与此同时,勒索组织针对云上新技术如(Software Defined Network,软件定义网络)、NFV(Network Function Virtualization,网络功能虚拟化)带来了新安全设计缺陷和漏洞的攻击也愈加频繁。IBM分析师DeBeck统计,在过去一年中,在所有危害云环境系统的攻击案例中,勒索软件与加密挖矿软件占检测50%以上。此外,云服务配置错误也是常被攻击者实现渗透的一个重要切入点,正如云安全专家Fiser所说:云用户应该像对待漏洞和恶意软件一样重点关注云错误配置问题。
3.4 特定行业也不能保证获得豁免
勒索组织针对性攻击事件带来了严重的社会影响,导致执法机构对于勒索组织的关注越来越高。2021年,DarkSide针对美国油气管道公司的勒索攻击导致重要业务停摆,对社会生活造成严重影响后,美国将勒索软件攻击提升至恐怖主义同等优先级,并持续施加高压,压缩其生存空间。
为了避免执法机构高度关注,一些勒索组织停止运营或以其他身份重新展开活动。6月份,Avaddon宣布正式退出勒索运营,DarkSide在攻击油气管道事件后改名BlackMatter。此外,一些活跃组织公开声明会谨慎选择目标,避免引起执法机构的过度关注。其中,Babuk勒索组织声称不会对医院、非盈利性组织、学校和小企业展开攻击;REvil也因美油气管道公司事件,宣布会严格审查其附属机构的攻击目标。据调查显示,47%的勒索软件攻击者拒绝购买医疗保健和教育行业公司的访问权限,37%的组织禁止攻击政府部门,而26%的组织声称他们不会购买与非盈利组织相关的访问权限。
问题在于,即使一个企业在勒索组织的排除范围内,也不意味着该企业具有勒索豁免权,因为部分勒索团伙并不会过分的挑剔攻击目标。毋庸置疑的是,无论属于何种意义上的企业性质,都必须对防范勒索攻击保持第一警觉。
2859
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
