ReliaQuest的高級網(wǎng)絡威脅情報分析師Chris Morgan告訴記者:“我們現(xiàn)在追蹤的組織比過去多了幾十個。許多這樣的組織從一次行動中吸取經(jīng)驗,在行動的背后開始自己的行動,通常是在執(zhí)法活動之后。”Morgan說,隨著更多的商業(yè)活動在網(wǎng)上進行,勒索軟件攻擊的潛在受害者也更多,此外,在一些國家,執(zhí)法部門的管轄權有限,出現(xiàn)團體的機會很少。
每筆支付的金額也在上升,超過75%的支付總額為100萬美元或更多——高于2021年的一半多一點。去年唯一的亮點是,更多的受害者拒絕支付贖金,轉而從備份中恢復。根據(jù)Coveware的數(shù)據(jù),2023年第四季度,只有29%的受害者支付了欠款,創(chuàng)歷史新低,低于2019年的85%。同樣,來自Corvus Insurance的網(wǎng)絡保險索賠數(shù)據(jù)顯示,只有27%的受害者支付了贖金。
網(wǎng)絡釣魚仍然是網(wǎng)絡攻擊的首要方式
網(wǎng)絡釣魚仍然是勒索軟件攻擊的頭號攻擊媒介。ReliaQuest的Morgan說:“勒索軟件組織通過多種方式促進最初的訪問,社交攻擊是我們最常見到的一種方式,主要是網(wǎng)絡釣魚和魚叉式釣魚。”
根據(jù)2月發(fā)布的IBM X-Force威脅情報報告,在所有勒索軟件攻擊中,30%的初始訪問媒介是釣魚電子郵件。受攻擊的帳戶并列第一,也是30%,緊隨其后的是應用程序漏洞攻擊,占29%。
盡管進行了所有的釣魚模擬和安全意識培訓,但用戶在發(fā)現(xiàn)釣魚電子郵件方面似乎并沒有變得更好。同樣在2月份發(fā)布的Fortra的全球網(wǎng)絡釣魚基準報告顯示,10.4%的用戶點擊了釣魚郵件,而一年前這一比例為7%,而且,在那些點擊的人中,60%的人交出了他們進入惡意網(wǎng)站的密碼。
Cohesiity的CISO和IT主管Brian Spswick說:“我認為培訓計劃行不通,我們每季度都會進行釣魚模擬,但我的百分比保持不變——而且沒有關于誰點擊了和沒有點擊的模式。現(xiàn)在,隨著AI使社交攻擊變得如此聰明,我的信心甚至更低了。”
Spswick說,盡管用戶接受了網(wǎng)絡安全方面的培訓,并警告說會發(fā)生網(wǎng)絡釣魚模擬,但仍有17%的用戶點擊。“我們已經(jīng)這樣做了幾年,而且看起來很穩(wěn)定,就在那里。在我之前的公司,情況是一樣的,而且行業(yè)標準也是一樣的。” 解決方案是建立控制措施,從一開始就阻止這些電子郵件通過,并在它們通過時限制其影響,例如,不允許人們在其筆記本電腦上擁有管理權限,不允許他們下載視頻游戲或連接存儲設備,以及確保環(huán)境是分段的。
基于AI的網(wǎng)絡釣魚
社會攻擊的日益復雜是一個特別令人擔憂的問題。Spswick說,他看到AI產(chǎn)生的釣魚嘗試明顯增加,或者,至少很可能是AI。他說:“他們可能雇傭了更好的英語專業(yè)學生,并閱讀了這位首席執(zhí)行官的大量新聞稿,以了解他的語氣,他們使用GenAI的可能性要大得多。”
根據(jù)IBM X-Force的數(shù)據(jù),一封人工制作的釣魚郵件平均需要16個小時才能創(chuàng)建,相比之下,AI可以在5分鐘內生成一個欺騙性的網(wǎng)絡釣魚。
曾經(jīng)有一段時間,釣魚電子郵件相對容易被發(fā)現(xiàn),F(xiàn)ortitude Re的CISO Elliott Franklin表示,該公司為其他保險公司提供保險。“過去,你只需要查找拼寫錯誤的單詞。”現(xiàn)在,壞人們正在使用AI來創(chuàng)建這些消息——而改進遠遠不止擁有完美的語法。
Franklin說:“他們正在使用AI來檢查LinkedIn,當有人換工作時,他們會及時獲知,然后他們給他們發(fā)一封電子郵件,歡迎他們,來自該公司的首席執(zhí)行官。”他們正在發(fā)送完美的電子郵件,要求員工重新驗證他們的多因素身份驗證,他說。或者要求他們簽署假文件,有了GenAI,電子郵件看起來絕對真實。
此外,當你加上所有這些被泄露的賬戶時,返回的電子郵件地址也可能是完全真實的。“我們的大多數(shù)用戶每天都會收到幾百封電子郵件,”Franklin說,“所以,你不能責怪他們點擊這些鏈接。”
AI并不只是讓攻擊者完美地模仿高管的寫作風格。今年1月,在一次視頻電話會議上,一位虛偽的首席財務官說服了香港的一名金融工作者,讓他匯出了一筆2500萬美元的電匯。通話中還有其他幾名工作人員——財務工作人員認出了他們——他們也都是AI偽造。
這讓Franklin感到擔憂,因為如今,當一名堅韌再保險公司的員工想要重置密碼時,他們需要進行視頻通話,并拿出自己的ID。“這將在一段時間內發(fā)揮作用,”Franklin說,但最終,這項技術將變得足夠簡單和可擴展,任何黑客都可以做到。“最終,這就是我們將擁有的,”他說。
Fortitude Re正在從幾個方面解決這個問題。首先,有業(yè)務風險緩解流程。“我們不能拖累我們的商業(yè)伙伴,但我們絕對必須有一項書面和強制執(zhí)行的政策。比如說,在這里,你必須用這個號碼給這個人打電話,并得到他們的批準——你不能只發(fā)送電子郵件或短信,或者你必須進入我們公司的文檔管理系統(tǒng)——不是一封電子郵件,不是一條短信,也不是WhatsApp上的一條直接消息。員工們開始意識到這一點很重要,值得付出努力。”
然后是對網(wǎng)絡安全的基本攔截和解決。“這是人們不愿再談論的老生常談的話題。打補丁,身份和訪問管理,漏洞管理,安全意識。”Franklin說,這可能是陳舊的東西,但如果很容易做到,他就不會有工作了,這一切都必須在預算內完成,并與他擁有的人一起完成。
最后,為了應對勒索軟件的最新演變,F(xiàn)ranklin以牙還牙。如果壞人在使用AI,那么好人也可以。過去,該公司使用Mimecast來防御釣魚電子郵件,但在2023年年中,F(xiàn)ortitude Re改用了一個新平臺,該平臺使用GenAI來檢測偽造,并幫助保護公司免受勒索軟件的侵害。“電子郵件是勒索軟件攻擊的主要來源,所以你必須有一個好的、可靠的、內置了AI的電子郵件安全工具。”
老派的方法是查看特定的指標,比如壞的IP地址和特定的關鍵字,這已經(jīng)不夠了。Franklin說:“壞人有電子郵件安全解決方案的副本,他們可以知道哪些被屏蔽了,哪些沒有被屏蔽。”這意味著他們可以繞過傳統(tǒng)的過濾。
如今,電子郵件安全工具必須能夠閱讀整個郵件,并了解其周圍的上下文——例如,應該發(fā)送郵件的員工正在度假,或者該電子郵件正試圖讓用戶采取緊急、不尋常的操作。
IronScale自動過濾掉最糟糕的電子郵件,給其他有可疑內容的郵件貼上警告標簽,并使用GenAI來理解單詞的含義,即使沒有特定的關鍵字。Franklin說,“Mimecast和Proofpoint長期以來一直是電子郵件安全的黃金標準。他們擁有市場,我是Proofpoint的鐵桿粉絲,并在許多公司實施了Proofpoint,但我不認為他們現(xiàn)在真的在創(chuàng)新。”
壞人使用的另一個詭計是在釣魚電子郵件中包含二維碼。大多數(shù)傳統(tǒng)的安全工具都無法捕捉到它,他們只是將其視為另一個無害的嵌入圖像。Franklin說,“IronScale可以識別二維碼,并判斷它們是否是惡意的,這是一項真正讓我們對該程序感興趣的功能”
藥房服務提供商Remedi SeniorCare的信息安全總監(jiān)格雷格·帕斯特預計,勒索軟件攻擊今年將繼續(xù)增加。“我們必須用AI來對抗AI,”帕斯特告訴記者。他使用AI支持的安全工具來防止勒索軟件攻擊,而不是傳統(tǒng)的基于簽名的反病毒工具,如托管檢測和響應以及終端檢測和響應。
此外,該公司使用Menlo Security的瀏覽器隔離工具和Mimecast的電子郵件安全。“但是,以防萬一還有什么東西通過,我們有個計劃,我們有一個全面的事件響應計劃,我們模擬勒索軟件攻擊。我們絕對是在為AI攻擊做準備。”帕斯特說,“攻擊者將把AI集成到他們的勒索軟件即服務工具中。如果他們不這么做就太愚蠢了。作為一名網(wǎng)絡罪犯,如果你不能與時俱進,你就不會賺到任何錢。這是一個連續(xù)的循環(huán)——在公司方面,在供應商方面,以及網(wǎng)絡罪犯方面。”
另一家使用AI防御勒索軟件的公司是文檔存儲公司Spectra Logic。據(jù)該公司IT副總裁托尼·門多薩稱,該公司現(xiàn)在擁有北極狼和Sophos的工具,可以自動檢測可疑行為。他說:“我們努力保持自己在競爭中的領先地位,現(xiàn)在我看到了更多基于AI的攻擊。威脅參與者正在利用每個人都可以使用的AI工具。”
2020年,當該公司的團隊在疫情期間首次遠程訪問時,該公司受到了社會攻擊。有人打開了他們不應該打開的電子郵件,攻擊者獲得了訪問權限,這次攻擊通過該公司的網(wǎng)絡迅速傳播開來。他說,“基礎設施是99%的內部設施,互聯(lián)互通,不是隔離的。我們所有的系統(tǒng)都是實時的交易系統(tǒng),速度快得令人難以置信——它們可以在一瞬間傳播病毒。”
他們甚至破壞了備份和用來進行備份的軟件。“他們想在三天內賺到360萬美元,”門多薩說,“這是我職業(yè)生涯中遇到過的壓力最大的情況。”幸運的是,該公司還擁有數(shù)據(jù)和系統(tǒng)的快照,這些快照是隔空的,不會受到攻擊。“因此,我們立即切斷了與他們的聯(lián)系。”
門多薩說,現(xiàn)在他變得更加積極主動。他說:“我知道這種事還會發(fā)生。沒有安全是100%的,特別是在基于AI的攻擊下。”此后,Spectra Logic在安全基礎設施、網(wǎng)絡分段、完全加密、可自動隔離設備的異常檢測、事件響應框架和網(wǎng)絡攻擊恢復計劃方面進行了投資。此前,它只有一個針對物理災難的恢復計劃。
他說,異常現(xiàn)象經(jīng)常出現(xiàn)——一天幾千次。“在過去,我們必須看著它,做出人類的決定,如果一個人突然從朝鮮連接上,我們可能會切斷他的網(wǎng)絡。”但由于來襲威脅的數(shù)量如此之大,只有AI才能足夠快地做出反應。“你必須有一個自動化的工具。”他說,一開始有假陽性,但就像AI一樣,系統(tǒng)也學會了。
“三重勒索”抬頭
根據(jù)NCC威脅監(jiān)測2023年的報告,值得注意的趨勢包括“三重勒索”攻擊的增加,攻擊者將加密數(shù)據(jù)并將其扣為人質,但是,隨著越來越多的受害者簡單地從勒索軟件中恢復,他們也在泄露數(shù)據(jù),并威脅要公開這些數(shù)據(jù)。為了結束這三重影響,攻擊者還將向監(jiān)管機構通報攻擊情況,并直接向受害者施加額外壓力,要求組織支付費用。
而且情況變得更糟,2023年末,一個名為亨特斯國際的犯罪組織侵入了西雅圖的弗雷德·哈欽森癌癥中心,當該中心拒絕支付贖金時,襲擊者威脅要對癌癥患者進行“毆打”。他們還直接給病人發(fā)電子郵件,勒索他們更多的錢。“獵人國際實際上是在施加壓力,”網(wǎng)絡安全公司Nuspire的安全分析師喬希·史密斯說,“他們在勒索策略上加倍下注,他們已經(jīng)升級到這一點,這一事實非常令人震驚。”
2024年,如果這些策略被證明是成功的,其他勒索軟件組織可能會效仿。“不幸的是,我相信我們會看到更多這樣的事情,”史密斯說。
更快地利用漏洞
2023年,攻擊者還加倍利用新漏洞進行攻擊。史密斯說,“釣魚和基于漏洞的攻擊策略在2024年都可能繼續(xù)流行,他們喜歡最容易摘到的果子,最少的努力。當釣魚仍在工作,漏洞仍在工作時,他們將繼續(xù)這樣做。”
事實上,當網(wǎng)絡安全公司Black Kite分析4000名受害者的經(jīng)歷時,利用漏洞是頭號攻擊載體。“他們擁有大規(guī)模開采的自動化工具,”Black Kite的研究主管費爾哈特·迪克比伊克說,“去年,他們進入了波音和其他大公司。”
以MoveIt攻擊為例,這是一次網(wǎng)絡攻擊,利用了Progress Software的MoveIt托管文件傳輸產(chǎn)品中的一個漏洞。勒索軟件集團Cl0p于5月份開始利用零日漏洞,接觸到MoveIt的客戶。迪克比伊克說,這些襲擊是毀滅性的。“我們確定了600家可以通過開源工具發(fā)現(xiàn)這個漏洞的公司——攻擊者攻擊了所有這些公司。”
根據(jù)Emsisoft的數(shù)據(jù),截至2024年2月,受該漏洞影響的組織總數(shù)超過2700個,個人總數(shù)超過9000萬人。
今年1月,Black Kite發(fā)布了一項新的指標——勒索軟件敏感度指數(shù),該指標使用機器學習,根據(jù)從開源情報以及面向公眾的漏洞、錯誤配置和開放端口收集的數(shù)據(jù),預測公司面臨勒索軟件的風險。“在所有指數(shù)在0.8到1之間的公司中,46%的公司去年經(jīng)歷了一次成功的勒索軟件攻擊,”Dikbiyi說,“這表明,如果你在海洋中向海盜船揮舞旗幟,你就會被擊中。與這些家伙作戰(zhàn)的最好方法就是成為一艘幽靈船。”
關于零日,有一些積極的消息。根據(jù)IBM X-Force報告,與2022年相比,2023年的零日減少了72%,只有172個新的零日,而且,在2022年,與2021年相比下降了44%,然而,去年累計漏洞總數(shù)超過26萬個,其中8.4萬個漏洞具有武器化漏洞。
然而,由于許多組織在修補方面仍然滯后,漏洞仍然是主要的攻擊媒介。根據(jù)IBM的數(shù)據(jù),面向公眾的應用程序中的漏洞攻擊是去年所有網(wǎng)絡攻擊中29%的初始訪問媒介,高于2022年的26%。
Rust、間歇性加密等
勒索軟件犯罪集團的創(chuàng)新步伐再創(chuàng)新高。網(wǎng)絡安全公司Conversant Group的CSO兼創(chuàng)始人約翰·安東尼·史密斯表示:在過去兩年里,我們見證了這些犯罪在復雜性、速度、復雜性和攻擊性方面的演變速度呈曲棍球棒曲線。
2023年發(fā)生的入侵事件證明了這些威脅。史密斯說:“他們把創(chuàng)新的策略和復雜的方法結合在一起,損害了企業(yè),讓它屈服,幾乎沒有談判的余地。”
這方面的一個跡象是,駐留時間-第一次進入數(shù)據(jù)外泄、加密、備份銷毀或贖金要求之前的時間-已大幅縮短。史密斯說:“雖然過去需要幾周的時間,但現(xiàn)在威脅參與者往往只需4到48小時就能完成攻擊。”
另一種新策略是,攻擊者通過使用SIM交換攻擊和令牌捕獲或利用員工的MFA疲勞來逃避多因素身份驗證。一旦用戶對自己進行身份驗證,令牌就被用來對進一步的請求進行身份驗證,這樣他們就不必繼續(xù)進行身份驗證了。代幣可以通過中間人攻擊被竊取。攻擊者還可以從瀏覽器中竊取會話Cookie來實現(xiàn)類似的功能。
SIM交換攻擊允許勒索軟件團伙獲得針對受害者的短信和電話。史密斯補充說,“使用個人設備訪問公司系統(tǒng)只會增加這些安全風險。”
根據(jù)Resecity首席運營官肖恩·洛夫蘭的說法,勒索軟件攻擊者繼續(xù)利用面向公眾的應用程序中的漏洞,使用僵尸網(wǎng)絡,并在攻擊過程中使用合法軟件和操作系統(tǒng)功能“生活在陸地上”,但他表示,去年的攻擊也出現(xiàn)了一些新的技術方面。
例如,勒索軟件開發(fā)人員現(xiàn)在越來越多地使用Rust作為他們的主要編程語言,因為它的安全功能和難以反向工程。“這是該領域的一項重大發(fā)展,”洛夫蘭說,“還有一種新的趨勢是間歇性加密,它只加密文件的一部分,這使得檢測更具挑戰(zhàn)性,但加密過程更快。”
為應對更多的勒索軟件即服務提供商做好準備
每一位網(wǎng)絡安全專家都預計,隨著威脅參與者擴大運營規(guī)模,同時企業(yè)繼續(xù)加強防御,勒索軟件攻擊將繼續(xù)增長,但網(wǎng)絡犯罪經(jīng)濟中可能會發(fā)生變化的一個領域是勒索軟件即服務提供商。
這些系統(tǒng)的工作方式是,提供商創(chuàng)建勒索軟件工具包,個別附屬公司發(fā)送釣魚電子郵件并談判勒索,這兩個組織之間有一定程度的隔離,以創(chuàng)造彈性和與執(zhí)法部門的隔離,但當局最近表示,他們將追查這些附屬公司,此外,事實證明,附屬公司本身也是中央勒索軟件提供商的安全風險。
GuidePoint Security公司GRIT威脅情報部門的實踐主管德魯·施密特表示:“隨著LockBit被拿下,網(wǎng)絡犯罪分子將會有很多考慮,會對基于分支機構的系統(tǒng)更加猶豫。”
與附屬公司分享資金也會減少中央勒索軟件集團的利潤。施密特說:“如果他們可以使用生產(chǎn)性AI進行談判,他們就可以提高效率。”這將只剩下勒索軟件運營商的核心群體,而不是附屬公司,從而降低了威脅參與者的總運營成本。“這是我們正在考慮的問題。”
如果真的發(fā)生了,我們可能需要幾年時間才能看到這一變化的全面影響。2023年最大的勒索軟件運營商LockBit在2月份被當局取締。在被拿下時,該集團有大約180家附屬公司。人們曾希望,此次攻擊將對2024年的勒索軟件造成影響,但Zscaler ThreatLabs在關閉僅一周后就已經(jīng)觀察到了新的LockBit勒索軟件攻擊。此外,根據(jù)BleepingComputer的說法,LockBit已經(jīng)更新了解密器,安裝了新的服務器,并已經(jīng)在招募新的五元組成員。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。
京公網(wǎng)安備 11010502049343號