曾幾何時,勒索軟件團伙在受害者網絡內潛伏數天甚至數周,以獲取更大的訪問權限并完全控制網絡。然而,時過境遷,如今的勒索軟件團伙行動速度比以往任何時候都要快,留給企業檢測他們的時間越來越少。據統計,過去一年中,勒索軟件的平均勒索時間(TTR)約為17小時,而對于某些團伙,這一數字更是低至驚人的4到6小時。
這種變化背后,隱藏著勒索軟件團伙與日俱增的專業化和高效化。他們利用先進的攻擊工具和技術,結合對目標網絡的深入研究,能夠在極短的時間內完成入侵、加密和勒索的全過程。這種“閃電戰”式的攻擊方式,讓許多企業在毫無防備的情況下陷入困境。
Huntress公司的分析揭示了一個顯著的趨勢:勒索軟件團伙的平均TTR與其受害者數量之間存在明顯關聯。那些在2024年活動顯著增加的團伙,如RansomHub、Lynx/Inc、Akira和Play,其TTR普遍較低,不到8小時。這些團伙通過快速行動,能夠在短時間內感染大量受害者,從而獲取更多的贖金。
值得注意的是,一些勒索軟件團伙開始采取“打砸搶”策略,瞄準中小型企業,并向其附屬機構提供高額比例的贖金。這種策略不僅激勵了附屬機構盡可能多地獲取贖金,還使得這些團伙能夠在短時間內獲得大量資金。同時,這也加劇了中小型企業在網絡安全方面的困境,他們往往缺乏足夠的資源和能力來應對這種攻擊。
隨著端點檢測和響應(EDR)工具以及勒索軟件檢測能力的提升,以及成功的執法行動,一些勒索軟件團伙開始轉變策略,更注重數據竊取而非傳統的數據加密方法。他們利用數據竊取來威脅受害者支付贖金,因為即使受害者擁有備份,數據的機密性損失和泄露風險仍然讓他們倍感壓力。
這一轉變的背后,是攻擊者對網絡環境的深入了解和對防御措施的敏銳洞察。他們意識到,單純的數據加密并不能滿足其經濟利益最大化,而數據竊取則能帶來更高的贖金和更廣泛的影響。同時,數據竊取勒索還具有更高的隱蔽性,能夠避開一些傳統的安全防御措施。
然而,這種策略的轉變也帶來了新的挑戰。首先,數據竊取需要更復雜的攻擊手段和技術,這增加了攻擊者的成本和風險。其次,數據泄露可能引發更嚴重的法律后果和社會影響,這對攻擊者來說是一個潛在的威脅。最后,隨著數據加密和防護技術的不斷發展,數據竊取勒索的難度也在逐漸增加。
為了更深入地理解勒索軟件團伙的行為模式,Huntress還分析了攻擊者在初始入侵后在環境中采取的行動數量。這些惡意行動包括網絡掃描偵察、橫向移動、憑證轉儲以提升權限等一系列復雜操作。研究發現,惡意行動數量越多,觸發警報的可能性就越大,從而使企業能夠在攻擊早期發現入侵者。然而,這也意味著攻擊者需要更高的技術和策略來規避檢測。
此外,勒索軟件團伙在不同行業中的戰術也在發生轉變。以醫療保健行業為例,勒索事件正從傳統的數據加密轉向數據竊取。攻擊者會在勒索受害者之前一直竊取數據,并使用各種手段將數據竊取到他們的C2服務器。這種戰術轉變不僅增加了醫療保健行業的網絡安全風險,也對全球的數據安全構成了威脅。
面對勒索軟件的新動向,企業需要加強網絡安全防護,提高檢測和響應能力。首先,企業應定期進行網絡安全演練,提高員工的安全意識和應對能力。其次,加強網絡安全基礎設施建設,如部署先進的防火墻、入侵檢測系統等。同時,企業還應積極采用先進的安全技術和工具,如威脅情報、行為分析等,以更有效地檢測和防御勒索軟件攻擊。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號