West探討了這些變化對受影響行業(yè),特別是工程和制造業(yè)的影響,并深入分析了勒索軟件行為者日益依賴“雙重用途”工具的趨勢。
勒索軟件即服務(wù)(RaaS)的格局如何演變?我們是否看到這些運營的結(jié)構(gòu)或吸引的附屬群體發(fā)生了變化?
我們確實看到了競爭的加劇,特別是在知名品牌為了吸引附屬成員而展開激烈競爭。隨著 LockBit和 ALPHV等著名團(tuán)伙的倒臺,許多附屬群體變得“游牧化”,尋求新的RaaS組織來結(jié)盟,這使得生態(tài)系統(tǒng)內(nèi)的競爭加劇,不同的RaaS品牌通過提供更有吸引力的條件、更好的工具和更可靠的支付來吸引這些有經(jīng)驗的操作員。
較小的團(tuán)伙如 Medusa和 Cloak提供了具有吸引力的激勵措施,吸引解散組織的附屬成員。例如,Medusa向 LockBit和 ALPHV的附屬成員提供高達(dá)90%的利潤分成,而 Cloak則允許附屬成員免費加入,不需任何初始支付。
從結(jié)構(gòu)上看,許多勒索軟件運營已經(jīng)轉(zhuǎn)向了更模塊化和分散化的模式。現(xiàn)在,許多成功的RaaS模型可以被視為松散關(guān)聯(lián)的網(wǎng)絡(luò),而不是一個單一的垂直整合的團(tuán)伙處理整個攻擊鏈。
不同的團(tuán)伙專注于攻擊的特定階段,例如初始訪問、橫向移動或勒索,這種角色的分離使歸因變得更加復(fù)雜,并增強(qiáng)了生態(tài)系統(tǒng)在面對執(zhí)法行動等干擾時的恢復(fù)能力。
在RaaS生態(tài)系統(tǒng)中,初始訪問經(jīng)紀(jì)人(IAB)的角色也發(fā)生了變化,這些IAB資金雄厚,能力強(qiáng)大,通過提供可靠且可擴(kuò)展的訪問權(quán)限來支持各種惡意行為者。
這些行為者將全球范圍的漏洞利用過程工業(yè)化,降低了勒索軟件運營者的進(jìn)入門檻。IAB專注于發(fā)現(xiàn)、武器化和出售對易受攻擊系統(tǒng)的訪問權(quán)限,他們處理漏洞利用的復(fù)雜性,繞過過濾器,并管理大規(guī)模的掃描和漏洞利用操作,這種服務(wù)模式現(xiàn)在使勒索軟件的附屬成員無需深厚的技術(shù)知識就能購買現(xiàn)成的訪問權(quán)限。
針對工程和制造業(yè)的勒索軟件似乎在增加。這對這些行業(yè)意味著什么?為什么它們會成為特別有吸引力的目標(biāo)?
我們最新的研究顯示,在2024年上半年,工程和制造業(yè)是受影響最嚴(yán)重的行業(yè),占觀察到的所有受害者的20.59%,這些行業(yè)在遭受干擾時的高運營影響使它們成為有吸引力的目標(biāo)。停機(jī)時間會導(dǎo)致巨大的財務(wù)損失、錯過的截止日期,甚至是合同處罰。時間緊迫的生產(chǎn)計劃增加了他們迅速支付贖金以恢復(fù)運營的壓力。
雖然大多數(shù)RaaS行為者傾向于利用漏洞和機(jī)會,而不是針對特定行業(yè),但復(fù)雜的供應(yīng)鏈?zhǔn)沟眠@些行業(yè)的網(wǎng)絡(luò)安全運營變得更加困難。工程和制造業(yè)與多個供應(yīng)商、合作伙伴和客戶緊密相連。對單一實體的成功攻擊可能會對整個供應(yīng)鏈產(chǎn)生連鎖反應(yīng),放大攻擊的影響,這種互聯(lián)性增加了勒索軟件團(tuán)伙在談判時的籌碼,因為長期停機(jī)的后果遠(yuǎn)遠(yuǎn)超出了直接受害者。
專有數(shù)據(jù)和知識產(chǎn)權(quán)(IP),包括設(shè)計、藍(lán)圖和商業(yè)機(jī)密,對保持競爭優(yōu)勢至關(guān)重要,因此也是極具價值的盜竊或出售資產(chǎn)。
我們還發(fā)現(xiàn),勒索軟件團(tuán)伙正逐漸放棄之前避免攻擊關(guān)鍵行業(yè)(如醫(yī)療保健)的做法。從社會影響的角度來看,這些攻擊通常更加嚴(yán)重。過去,勒索軟件團(tuán)伙大多避免針對那些可能引發(fā)嚴(yán)厲政府或執(zhí)法機(jī)構(gòu)反應(yīng)的行業(yè)。雖然2024年整體醫(yī)療保健行業(yè)遭受的攻擊數(shù)量與總受害者比例保持一致。
勒索軟件團(tuán)伙將無差別地攻擊任何被認(rèn)為有能力支付贖金的組織,此外,這些行業(yè)在網(wǎng)絡(luò)安全方面的歷史性投入相對較少,尤其是與金融或技術(shù)行業(yè)相比,使它們成為有吸引力的目標(biāo)。
勒索軟件行為者之間的信任似乎正在減弱。這樣的不信任會如何影響勒索軟件生態(tài)系統(tǒng),是否會導(dǎo)致更多的碎片化或去中心化運營?
我們經(jīng)常聽到“盜賊之間沒有誠信”這個說法,最近的一些勒索軟件事件確實顯示了這一點。我們最近看到ALPHV發(fā)生了“跑路騙局”(exit scam),據(jù)稱其附屬成員的收益被欺詐事件剝奪了。因此,類似的事件和對LockBit等大團(tuán)伙的打擊,可能正在引發(fā)網(wǎng)絡(luò)犯罪社區(qū)中的不信任感和緊張局勢加劇。
隨著信任的瓦解,我們可能會看到勒索軟件生態(tài)系統(tǒng)的進(jìn)一步碎片化。忠誠的附屬成員可能會分裂出來,創(chuàng)建自己的品牌,或轉(zhuǎn)向他們認(rèn)為更可靠的其他團(tuán)伙,這種分裂可能導(dǎo)致出現(xiàn)規(guī)模較小、不太可預(yù)測的勒索軟件集體。
我們可能會看到直接的1對1品牌重塑,就像DarkSide在2021年對Colonial Pipeline攻擊后重塑為BlackMatter一樣,然而,我們也在看到1對多的重塑變得更為突出,即一個變種的附屬成員可能衍生出多個新品牌。例如,8base和Faust勒索軟件變種可能都源于同一個變種。
無論是哪種形式的分裂和去中心化,這都使得執(zhí)法機(jī)構(gòu)更難以針對特定團(tuán)伙,因為傳統(tǒng)的層級模型正讓位于更靈活、分散的行為者網(wǎng)絡(luò)。同時,從防御者的角度來看,網(wǎng)絡(luò)犯罪分子之間的不信任實際上是有利的,因為這可能使他們的效率和效果下降,從而更容易進(jìn)行防御。
勒索軟件行為者越來越多地使用“雙重用途”工具,這使得檢測和應(yīng)對變得更加復(fù)雜。安全團(tuán)隊?wèi)?yīng)如何調(diào)整策略,更好地識別和緩解這些工具帶來的威脅?
我們發(fā)現(xiàn)RaaS行為者常用的工具包括PDQ Connect、Action1、AnyDesk和TeamViewer等用于遠(yuǎn)程訪問的工具,以及rclone、rsync、Megaupload和FileZilla等用于數(shù)據(jù)外泄的工具,這些都是在IT操作中常用的合法軟件,因此其雙重用途性質(zhì)使得它們能夠規(guī)避傳統(tǒng)的反惡意軟件控制,并輕松融入正常的網(wǎng)絡(luò)活動中,增加了檢測和應(yīng)對的難度。傳統(tǒng)的基于簽名的檢測方法對這些雙重用途工具的效果較差。
安全團(tuán)隊?wèi)?yīng)轉(zhuǎn)向行為分析,專注于識別異常或可疑的行為模式,而不僅僅依賴于已知的惡意軟件簽名。例如,如果TeamViewer這類通常無害的工具在非工作時間或從異常IP地址進(jìn)行使用,這可能表明存在惡意活動。
為組織中的雙重用途工具建立正常活動基線至關(guān)重要。通過了解這些工具的典型使用模式,安全團(tuán)隊可以更有效地發(fā)現(xiàn)可能表明工具被濫用的偏差。例如,如果rclone工具突然被用于將大量數(shù)據(jù)傳輸?shù)揭粋€不熟悉的外部服務(wù)器,盡管該工具本身是合法的,但這仍然應(yīng)觸發(fā)警報。
暴露管理解決方案也可以發(fā)揮關(guān)鍵作用,這些技術(shù)為安全團(tuán)隊提供了跨越其擴(kuò)展網(wǎng)絡(luò)的全面可視性,幫助識別易受攻擊的系統(tǒng)、配置錯誤或可能通過合法工具被利用的高風(fēng)險資產(chǎn)。
勒索軟件行為者優(yōu)先考慮數(shù)據(jù)盜竊而非傳統(tǒng)的加密攻擊的趨勢日益明顯,這種變化對組織的風(fēng)險格局有何影響?他們的防御措施應(yīng)關(guān)注哪些方面?
高價值數(shù)據(jù)(如知識產(chǎn)權(quán)、財務(wù)記錄和客戶信息)的盜竊為網(wǎng)絡(luò)犯罪分子在勒索談判中提供了強(qiáng)大的優(yōu)勢。組織還可能面臨因客戶信任喪失、監(jiān)管處罰和聲譽(yù)受損而帶來的長期損害。
網(wǎng)絡(luò)犯罪分子發(fā)現(xiàn),專注于數(shù)據(jù)盜竊比在整個組織范圍內(nèi)部署全面加密所需的時間和資源要少,這種“快攻速取”方式讓攻擊者能夠迅速執(zhí)行攻擊并轉(zhuǎn)向下一個目標(biāo),從而提高了他們的整體效率。
要防御這些策略,必須緊急關(guān)注數(shù)據(jù)保護(hù)。關(guān)鍵優(yōu)先事項包括識別并保護(hù)敏感數(shù)據(jù)、實施嚴(yán)格的訪問控制,以及持續(xù)監(jiān)控可疑的數(shù)據(jù)訪問和外泄活動。
此外,為靜態(tài)和傳輸中的數(shù)據(jù)實施加密可以降低被盜數(shù)據(jù)的價值。如果勒索軟件行為者設(shè)法竊取了數(shù)據(jù),已加密的數(shù)據(jù)在沒有相應(yīng)的解密密鑰的情況下仍然是不可讀且無法使用的。
同時,傳統(tǒng)的勒索軟件加密防御措施(如備份策略和網(wǎng)絡(luò)分段)依然重要。
企業(yè)還應(yīng)確保其事件響應(yīng)計劃能夠應(yīng)對數(shù)據(jù)盜竊帶來的獨特挑戰(zhàn),這包括為潛在的雙重勒索場景做好準(zhǔn)備,并能夠妥善應(yīng)對與客戶和其他利益相關(guān)者的溝通和管理。
總體而言,企業(yè)必須加強(qiáng)對數(shù)據(jù)安全的關(guān)注,并為更復(fù)雜的勒索場景做好準(zhǔn)備。那些具備強(qiáng)大暴露管理和成熟安全工具、專注于遏制漏洞的企業(yè),將能夠更好地應(yīng)對這些不斷演變的威脅。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,旗下運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號