West探討了這些變化對受影響行業(yè),特別是工程和制造業(yè)的影響,并深入分析了勒索軟件行為者日益依賴“雙重用途”工具的趨勢。
勒索軟件即服務(RaaS)的格局如何演變?我們是否看到這些運營的結構或吸引的附屬群體發(fā)生了變化?
我們確實看到了競爭的加劇,特別是在知名品牌為了吸引附屬成員而展開激烈競爭。隨著 LockBit和 ALPHV等著名團伙的倒臺,許多附屬群體變得“游牧化”,尋求新的RaaS組織來結盟,這使得生態(tài)系統(tǒng)內的競爭加劇,不同的RaaS品牌通過提供更有吸引力的條件、更好的工具和更可靠的支付來吸引這些有經驗的操作員。
較小的團伙如 Medusa和 Cloak提供了具有吸引力的激勵措施,吸引解散組織的附屬成員。例如,Medusa向 LockBit和 ALPHV的附屬成員提供高達90%的利潤分成,而 Cloak則允許附屬成員免費加入,不需任何初始支付。
從結構上看,許多勒索軟件運營已經轉向了更模塊化和分散化的模式?,F在,許多成功的RaaS模型可以被視為松散關聯的網絡,而不是一個單一的垂直整合的團伙處理整個攻擊鏈。
不同的團伙專注于攻擊的特定階段,例如初始訪問、橫向移動或勒索,這種角色的分離使歸因變得更加復雜,并增強了生態(tài)系統(tǒng)在面對執(zhí)法行動等干擾時的恢復能力。
在RaaS生態(tài)系統(tǒng)中,初始訪問經紀人(IAB)的角色也發(fā)生了變化,這些IAB資金雄厚,能力強大,通過提供可靠且可擴展的訪問權限來支持各種惡意行為者。
這些行為者將全球范圍的漏洞利用過程工業(yè)化,降低了勒索軟件運營者的進入門檻。IAB專注于發(fā)現、武器化和出售對易受攻擊系統(tǒng)的訪問權限,他們處理漏洞利用的復雜性,繞過過濾器,并管理大規(guī)模的掃描和漏洞利用操作,這種服務模式現在使勒索軟件的附屬成員無需深厚的技術知識就能購買現成的訪問權限。
針對工程和制造業(yè)的勒索軟件似乎在增加。這對這些行業(yè)意味著什么?為什么它們會成為特別有吸引力的目標?
我們最新的研究顯示,在2024年上半年,工程和制造業(yè)是受影響最嚴重的行業(yè),占觀察到的所有受害者的20.59%,這些行業(yè)在遭受干擾時的高運營影響使它們成為有吸引力的目標。停機時間會導致巨大的財務損失、錯過的截止日期,甚至是合同處罰。時間緊迫的生產計劃增加了他們迅速支付贖金以恢復運營的壓力。
雖然大多數RaaS行為者傾向于利用漏洞和機會,而不是針對特定行業(yè),但復雜的供應鏈使得這些行業(yè)的網絡安全運營變得更加困難。工程和制造業(yè)與多個供應商、合作伙伴和客戶緊密相連。對單一實體的成功攻擊可能會對整個供應鏈產生連鎖反應,放大攻擊的影響,這種互聯性增加了勒索軟件團伙在談判時的籌碼,因為長期停機的后果遠遠超出了直接受害者。
專有數據和知識產權(IP),包括設計、藍圖和商業(yè)機密,對保持競爭優(yōu)勢至關重要,因此也是極具價值的盜竊或出售資產。
我們還發(fā)現,勒索軟件團伙正逐漸放棄之前避免攻擊關鍵行業(yè)(如醫(yī)療保健)的做法。從社會影響的角度來看,這些攻擊通常更加嚴重。過去,勒索軟件團伙大多避免針對那些可能引發(fā)嚴厲政府或執(zhí)法機構反應的行業(yè)。雖然2024年整體醫(yī)療保健行業(yè)遭受的攻擊數量與總受害者比例保持一致。
勒索軟件團伙將無差別地攻擊任何被認為有能力支付贖金的組織,此外,這些行業(yè)在網絡安全方面的歷史性投入相對較少,尤其是與金融或技術行業(yè)相比,使它們成為有吸引力的目標。
勒索軟件行為者之間的信任似乎正在減弱。這樣的不信任會如何影響勒索軟件生態(tài)系統(tǒng),是否會導致更多的碎片化或去中心化運營?
我們經常聽到“盜賊之間沒有誠信”這個說法,最近的一些勒索軟件事件確實顯示了這一點。我們最近看到ALPHV發(fā)生了“跑路騙局”(exit scam),據稱其附屬成員的收益被欺詐事件剝奪了。因此,類似的事件和對LockBit等大團伙的打擊,可能正在引發(fā)網絡犯罪社區(qū)中的不信任感和緊張局勢加劇。
隨著信任的瓦解,我們可能會看到勒索軟件生態(tài)系統(tǒng)的進一步碎片化。忠誠的附屬成員可能會分裂出來,創(chuàng)建自己的品牌,或轉向他們認為更可靠的其他團伙,這種分裂可能導致出現規(guī)模較小、不太可預測的勒索軟件集體。
我們可能會看到直接的1對1品牌重塑,就像DarkSide在2021年對Colonial Pipeline攻擊后重塑為BlackMatter一樣,然而,我們也在看到1對多的重塑變得更為突出,即一個變種的附屬成員可能衍生出多個新品牌。例如,8base和Faust勒索軟件變種可能都源于同一個變種。
無論是哪種形式的分裂和去中心化,這都使得執(zhí)法機構更難以針對特定團伙,因為傳統(tǒng)的層級模型正讓位于更靈活、分散的行為者網絡。同時,從防御者的角度來看,網絡犯罪分子之間的不信任實際上是有利的,因為這可能使他們的效率和效果下降,從而更容易進行防御。
勒索軟件行為者越來越多地使用“雙重用途”工具,這使得檢測和應對變得更加復雜。安全團隊應如何調整策略,更好地識別和緩解這些工具帶來的威脅?
我們發(fā)現RaaS行為者常用的工具包括PDQ Connect、Action1、AnyDesk和TeamViewer等用于遠程訪問的工具,以及rclone、rsync、Megaupload和FileZilla等用于數據外泄的工具,這些都是在IT操作中常用的合法軟件,因此其雙重用途性質使得它們能夠規(guī)避傳統(tǒng)的反惡意軟件控制,并輕松融入正常的網絡活動中,增加了檢測和應對的難度。傳統(tǒng)的基于簽名的檢測方法對這些雙重用途工具的效果較差。
安全團隊應轉向行為分析,專注于識別異?;蚩梢傻男袨槟J剑粌H僅依賴于已知的惡意軟件簽名。例如,如果TeamViewer這類通常無害的工具在非工作時間或從異常IP地址進行使用,這可能表明存在惡意活動。
為組織中的雙重用途工具建立正?;顒踊€至關重要。通過了解這些工具的典型使用模式,安全團隊可以更有效地發(fā)現可能表明工具被濫用的偏差。例如,如果rclone工具突然被用于將大量數據傳輸到一個不熟悉的外部服務器,盡管該工具本身是合法的,但這仍然應觸發(fā)警報。
暴露管理解決方案也可以發(fā)揮關鍵作用,這些技術為安全團隊提供了跨越其擴展網絡的全面可視性,幫助識別易受攻擊的系統(tǒng)、配置錯誤或可能通過合法工具被利用的高風險資產。
勒索軟件行為者優(yōu)先考慮數據盜竊而非傳統(tǒng)的加密攻擊的趨勢日益明顯,這種變化對組織的風險格局有何影響?他們的防御措施應關注哪些方面?
高價值數據(如知識產權、財務記錄和客戶信息)的盜竊為網絡犯罪分子在勒索談判中提供了強大的優(yōu)勢。組織還可能面臨因客戶信任喪失、監(jiān)管處罰和聲譽受損而帶來的長期損害。
網絡犯罪分子發(fā)現,專注于數據盜竊比在整個組織范圍內部署全面加密所需的時間和資源要少,這種“快攻速取”方式讓攻擊者能夠迅速執(zhí)行攻擊并轉向下一個目標,從而提高了他們的整體效率。
要防御這些策略,必須緊急關注數據保護。關鍵優(yōu)先事項包括識別并保護敏感數據、實施嚴格的訪問控制,以及持續(xù)監(jiān)控可疑的數據訪問和外泄活動。
此外,為靜態(tài)和傳輸中的數據實施加密可以降低被盜數據的價值。如果勒索軟件行為者設法竊取了數據,已加密的數據在沒有相應的解密密鑰的情況下仍然是不可讀且無法使用的。
同時,傳統(tǒng)的勒索軟件加密防御措施(如備份策略和網絡分段)依然重要。
企業(yè)還應確保其事件響應計劃能夠應對數據盜竊帶來的獨特挑戰(zhàn),這包括為潛在的雙重勒索場景做好準備,并能夠妥善應對與客戶和其他利益相關者的溝通和管理。
總體而言,企業(yè)必須加強對數據安全的關注,并為更復雜的勒索場景做好準備。那些具備強大暴露管理和成熟安全工具、專注于遏制漏洞的企業(yè),將能夠更好地應對這些不斷演變的威脅。
企業(yè)網D1net(r5u5c.cn):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業(yè)網D1Net編譯,轉載需在文章開頭注明出處為:企業(yè)網D1Net,如果不注明出處,企業(yè)網D1Net將保留追究其法律責任的權利。