除了強調(diào)漏洞濫用的顯著增長之外,該報告還發(fā)現(xiàn),勒索軟件組織越來越多地以文件泄露為目標,即未經(jīng)授權(quán)提取或傳輸敏感信息,這已經(jīng)成為勒索攻擊贖金的主要來源。更重要的是,根據(jù)該報告,多次勒索軟件攻擊的受害者在第一次攻擊后的三個月內(nèi)遭受第二次攻擊的可能性幾乎是遭受第一次攻擊的六倍,小型企業(yè)被勒索軟件攻擊的風險更高。
勒索軟件仍然是企業(yè)面臨的最大、最危險的攻擊威脅之一。在2023年第二季度,思科Talos事件響應(IR)團隊對一年多來發(fā)生最多的勒索軟件事件做出了回應。同樣,最新的ReliaQuest勒索軟件和數(shù)據(jù)泄露勒索報告表明,今年第二季度勒索軟件活動大幅增加。該研究報告表明,今年第二季度被勒索軟件數(shù)據(jù)泄露網(wǎng)站命名的受害者數(shù)量創(chuàng)下歷史新高,與上一季度相比增加了540名受害者。
勒索軟件組織轉(zhuǎn)向零日攻擊
一些勒索軟件組織正在將他們的攻擊技術(shù)從網(wǎng)絡釣魚轉(zhuǎn)向更加重視的漏洞濫用,這在范圍和復雜程度上都有了相當大的增長。報告補充說,黑客組織利用漏洞的方法也變得更加激進,例如通過內(nèi)部開發(fā)零日攻擊和漏洞賞金計劃。有證據(jù)表明,越來越多的人愿意為利用漏洞的機會支付費用,無論是付費給其他黑客尋找可用于攻擊的漏洞,還是通過初始訪問代理(IAB)獲得對目標的訪問權(quán)。Akamai公司表示,盡管利用零日漏洞并不是什么新鮮事,但值得注意的是,勒索軟件組織正在尋找或研究漏洞,并大規(guī)模地濫用它們來危害數(shù)百甚至數(shù)千個企業(yè)。
該報告稱,臭名昭著的勒索軟件組織CL0P最近表現(xiàn)出積極追求內(nèi)部零日漏洞的實現(xiàn)和開發(fā)。事實證明,這是一個成功的策略,CL0P的受害者數(shù)量在12個月內(nèi)增長了9倍。
LockBit在勒索軟件攻擊領域占據(jù)主導地位
研究表明,LockBit在勒索軟件攻擊領域占據(jù)主導地位,占受害者總數(shù)的39%(1091名受害者)。這是排名第二的勒索軟件組織ALPHV受害者數(shù)量的三倍多。報告稱,在勒索軟件領域領先者Conti缺席的情況下,LockBit的攻擊數(shù)量大幅增長。LockBit獲得的成功是由于其功能的增強,包括在最新的3.0版本中引入了新技術(shù),例如漏洞賞金計劃和使用Zcash加密貨幣作為支付模式。
Akamai公司在研究中發(fā)現(xiàn),為了對受害者施加更大的壓力,LockBit背后的攻擊者開始聯(lián)系受害者的客戶,向他們通報攻擊事件,并采用三重勒索策略,包括分布式拒絕服務(DDoS)攻擊。
勒索軟件組織優(yōu)先考慮文件泄露
勒索軟件組織越來越多地針對文件泄露,而這是勒索贖金的主要來源。正如最近對GoAnywhere和MOVEit的利用所表明的那樣。勒索軟件攻擊者試圖最大限度地獲得贖金,同時最大限度地減少和現(xiàn)代化他們的努力,采用許多不同的勒索策略來恐嚇受害者支付贖金。報告稱,勒索軟件攻擊者在數(shù)據(jù)盜竊勒索方面取得了更大的成功,而不僅僅是對目標文件進行加密。Akamai公司表示,這凸顯了一個事實,也就是文件備份解決方案雖然對文件加密有效,但已不再是一種有效的策略。
勒索軟件受害者可能很快面臨后續(xù)攻擊
根據(jù)Akamai公司發(fā)布的這份研究報告,一旦受到勒索軟件的攻擊,企業(yè)很快就會面臨第二次攻擊的更高風險。報告稱,事實上,被多個勒索軟件組織攻擊的受害者在前三個月內(nèi)遭受后續(xù)攻擊的可能性幾乎是遭遇第一次攻擊之后的六倍。該公司表示,當受害的一家企業(yè)忙于修復最初的攻擊時,其他勒索軟件組織(可能會掃描潛在目標并監(jiān)控競爭對手的活動)也可能利用這一機會攻擊這家公司。
Akamai公司警告說,遭受勒索軟攻擊并支付贖金也不能保證企業(yè)的安全,與其相反,它增加了被同一個或多個勒索軟件組織再次攻擊的可能性。如果受害企業(yè)沒有關(guān)閉其外圍的漏洞/修復攻擊者第一次破壞其網(wǎng)絡時濫用的漏洞,那么很可能會再次被利用。此外,如果受害者選擇支付贖金,他們可能會被同一組織和其他人視為潛在的目標。
規(guī)模較小的企業(yè)面臨更高的勒索軟件風險
報告指出,企業(yè)的規(guī)模和收入在當前的勒索軟件攻擊趨勢中也起著一定的作用。有一種假設認為,收入更高的大型企業(yè)比其他企業(yè)更有可能成為目標,因為它們提供更高的回報,因此是更誘人的目標。然而,Akamai公司對受害者收入的分析表明了不同的情況。報告稱,收入在5000萬美元以下的企業(yè)最容易成為勒索軟件攻擊的目標(65%),而收入在5億美元以上的企業(yè)僅占受害者總數(shù)的12%。
Akamai公司推測,收入較低的企業(yè)更容易受到勒索軟件攻擊,是因為他們的運營環(huán)境更容易滲透,而對抗勒索軟件危害的安全資源有限。與此同時,他們更有可能支付贖金,以避免業(yè)務中斷和可能的收入損失。
制造業(yè)受影響最大,金融服務業(yè)遭受的攻擊增加
該報告將制造業(yè)列為受勒索軟件攻擊影響最多的垂直行業(yè)(20%),其次是商業(yè)服務(11%)和零售業(yè)(9%)。然而,金融服務機構(gòu)受影響的業(yè)務總數(shù)同比增長了50%。雖然這些調(diào)查發(fā)現(xiàn)并不一定表明制造業(yè)遭受的勒索軟件攻擊比其他行業(yè)更多,但勒索軟件攻擊者顯然在針對該行業(yè)方面取得了成功。與此同時,商業(yè)服務在勒索軟件受害者名單中排名第二,凸顯了供應鏈攻擊的可能性。
勒索軟件的緩解措施必須像攻擊一樣多樣化
如今的勒索軟件攻擊是多方面的,其中包括許多階段和戰(zhàn)術(shù)。Akamai公司因此表示,勒索軟件的預防和緩解必須跨越幾種不同的方法和產(chǎn)品。為有效減輕勒索軟件的威脅,企業(yè)應該:
•采用多層網(wǎng)絡安全方法,在不同的勒索軟件攻擊階段和各種威脅環(huán)境中應對威脅。
•使用網(wǎng)絡映射和分段來識別和隔離關(guān)鍵系統(tǒng),并限制對這些系統(tǒng)的網(wǎng)絡訪問。這限制了任何惡意軟件的橫向移動。
•更新所有軟件、固件和操作系統(tǒng)的最新安全補丁。這有助于減少勒索軟件可能利用的已知漏洞。
•維護關(guān)鍵數(shù)據(jù)的定期離線備份,建立有效的災難恢復計劃。這確保了快速恢復運營的能力,并將勒索軟件事件的影響降至最低。
•制定并定期測試事件響應計劃,概述在發(fā)生勒索軟件攻擊時應采取的步驟。該計劃應包括明確的溝通渠道、角色和責任,以及讓執(zhí)法部門和網(wǎng)絡安全專家參與的流程。
•定期開展網(wǎng)絡安全意識培訓,教育員工了解網(wǎng)絡釣魚攻擊、社交工程和勒索軟件威脅行為者使用的其他常見載體。企業(yè)應該鼓勵員工及時報告可疑活動。這種網(wǎng)絡安全意識培訓應該擴展到與現(xiàn)場供應商合作以及與企業(yè)系統(tǒng)遠程交互的政策和程序。所有廠商和供應商在進入站點或系統(tǒng)之前也應該接受這一培訓。
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號