頭號威脅:2020年勒索軟件重裝上陣 |
來源:聚銘網(wǎng)絡 發(fā)布時間:2020-03-04 瀏覽次數(shù): |
信息來源:安全牛
2020年,熱度飆升的勒索軟件已經(jīng)成為與APT并列的最危險的網(wǎng)絡安全威脅。針對性、復雜化和高傷害成本是2020年勒索軟件加速“進化”的三大特征。 重裝上陣過去一年中業(yè)界多家安全廠商對勒索軟件監(jiān)測發(fā)現(xiàn):勒索軟件在陷入一段時間低潮后,已經(jīng)全面恢復活力,攻擊勢頭上升,頻率也在增加。 Juniper Network威脅實驗室負責人Mounir Hahad指出了勒索軟件攻擊再次激增的兩大深層原因:首先,加密貨幣價格的變化無常。很多加密貨幣劫持者都利用受害者電腦挖掘開源加密貨幣門羅幣(Monero);隨著門羅幣價格的下跌,某個時候,加密貨幣劫持者就會意識到挖礦還不如勒索軟件攻擊賺錢。而由于已經(jīng)在受害者主機上植入了木馬下載器,加密貨幣劫持者就很容易在時機合適的時候發(fā)起勒索軟件攻擊。 刺激勒索軟件卷土重來的另一大趨勢就是企業(yè)級攻擊的高收益。越來越多的攻擊針對載有任務關(guān)鍵數(shù)據(jù)的生產(chǎn)服務器。 Hahad稱:
多年來,勒索軟件攻擊已經(jīng)日趨成熟,技術(shù)上日趨隱蔽和復雜,同時修復了早期迭代所存在的許多實現(xiàn)錯誤。與冠狀病毒類似,一度被“免疫系統(tǒng)”(端點安全軟件)扼制的勒索軟件近年來通過與流行的數(shù)據(jù)泄露軟件“載體”結(jié)合產(chǎn)生了新的“商業(yè)模式”和攻擊矢量,與此同時自身代碼和變體也在不斷進化,例如過去主要感染W(wǎng)indows系統(tǒng),而新一代勒索軟件對Mac OS系統(tǒng)、移動操作系統(tǒng)甚至工控系統(tǒng)都形成威脅,“傳染性”大大提升。 目標轉(zhuǎn)移:從個人轉(zhuǎn)向企業(yè)勒索軟件最初是作為一種面向個人消費者的安全威脅,這些攻擊曾經(jīng)誘使人們支付虛假罰款或購買流氓軟件來解決不存在的問題。盡管早期的攻擊活動對網(wǎng)絡犯罪團伙證明是有利可圖的,但“2C勒索軟件市場”變得過于擁擠。而且隨著個人防病毒軟件公司提高了勒索軟件的檢測能力,通過網(wǎng)絡傳播以吸引盡可能多的受害者的方法收益越來越差。 廣撒網(wǎng)式戰(zhàn)術(shù)無法給攻擊者帶來太多投資回報。具備良好橫向移動能力的針對性攻擊才能滿足此類攻擊者的高投資回報需求,而大多數(shù)情況下,橫向移動可不是能夠靠腳本或機器人程序自動實施的。奪取最初的入侵立足點之后,攻擊者得人工探查受害網(wǎng)絡,移動文件,提升權(quán)限,獲取管理員憑證,以便遠程入侵另一臺機器。
Malwarebytes2019年8月發(fā)布的報告顯示,2018年第四季度開始,企業(yè)端的勒索軟件攻擊暴增,而面向個人的攻擊則呈下降趨勢。安全公司Malwarebytes指出:
由于永恒之藍(EternalBlue)漏洞的存在,如今勒索軟件攻擊一家企業(yè)的難度已經(jīng)極大降低,永恒之藍是2017年3月曝出的微軟服務器消息塊(SMB)協(xié)議漏洞,影響了所有版本的Windows。該漏洞也成了WannaCry、NotPetya和其他勒索軟件蠕蟲通過公司網(wǎng)絡傳播的主要方法。 WannaCry和NotPetya的破壞性爆發(fā)凸顯了企業(yè)安全的重要性和脆弱性。過去,人們認為這些擁有強大安全團隊的公司黑客很難闖入,但是勒索軟件輕松就突破了傳統(tǒng)安全防線,攻擊規(guī)模和破壞力巨大,不是因為配置錯誤,而是因為沒有及時打補丁。 勒索軟件的“成功案例”掀起一股“掙錢效應”,很多網(wǎng)絡犯罪分子意識到,攻擊企業(yè)更加有利可圖。 影響和損失難以評估由于并非所有的私營公司都會披露勒索軟件事件,因此就成本和普遍性而言,難以量化勒索軟件攻擊對商業(yè)領(lǐng)域的影響。 在2019年10月發(fā)布的警報中,F(xiàn)BI的互聯(lián)網(wǎng)犯罪投訴中心(IC3)警告說:
IC3認為:
例如,由于2017年NotPetya勒索軟件的襲擊,運輸巨頭馬士基(Maersk)不得不在17個港口碼頭暫停運營,這導致大量貨船排隊等候貨物裝載和后勤噩夢,需要數(shù)月的時間才能恢復。該事件使公司損失了超過2億美元,但同時也嚴重影響了客戶的業(yè)務。 當勒索軟件襲擊市政機構(gòu)、醫(yī)院、學校或警察部門等公共機構(gòu)時,其社會影響更大,而目前獲得的統(tǒng)計數(shù)字也令人擔憂。根據(jù)安全公司Emsisoft于2019年12月發(fā)布的勒索軟件攻擊損失報告: 2019年全年,勒索軟件在美國攻擊了113個政府機構(gòu),市政當局和州政府。波及764位醫(yī)療保健提供者以及89個大學、學院和學區(qū),其中有多達1,233所學校。 由于預算有限,IT基礎(chǔ)架構(gòu)過時,公共機構(gòu)的安全防御等級無法與大公司相比,更容易成為攻擊者的目標。 不亞于APT的新威脅勒索軟件是少有的、能同時攻擊財富500強企業(yè)和鄰居大爺大媽的網(wǎng)絡威脅。 因此,雖然最新的趨勢顯示公共機構(gòu)更容易成為攻擊目標,但對于私營公司而言,感染勒索軟件的風險并不會降低。在過去的幾年中,勒索軟件犯罪組織采用了復雜的技術(shù),包括針對性的交付機制,以及采用高級持續(xù)威脅(APT)技術(shù)的“手動攻擊”,例如SamSam。 SamSam是一個可追溯到2016年的勒索軟件程序,它以“高效率的手動攻擊”部署而聞名,但是在過去的一年中,如Ryuk、RobinHood和Sodinokibi這些新的勒索軟件組織也采用了類似的策略。 此外,有跡象表明,勒索軟件正在演變成一種新型威脅,網(wǎng)絡犯罪分子不僅在加密數(shù)據(jù),而且還在竊取數(shù)據(jù)并威脅要在互聯(lián)網(wǎng)上發(fā)布數(shù)據(jù)。這使組織面臨破壞性的公共數(shù)據(jù)泄露以及相關(guān)的法規(guī)、財務和聲譽影響。 2019年12月,一個名為Maze的黑客組織揚言如果組織拒絕支付贖金將公布通過勒索軟件竊取的數(shù)據(jù)。受害者包括佛羅里達州彭薩科拉市,該市在12月7日遭到襲擊,其電話、市政熱線、電子郵件服務器和賬單支付系統(tǒng)遭到破壞。 其他黑客團體已將數(shù)據(jù)泄漏用作勒索技術(shù)。2015年,針對消費者的勒索軟件程序Chimera曾威脅要發(fā)布從受害者那里竊取的私人信息。但這只是一個虛假恐嚇,Chimera實際上并未從受感染的系統(tǒng)中竊取任何數(shù)據(jù)。 多年來,網(wǎng)絡罪犯揚言公開被盜信息的許多威脅被證明是虛假的,因為竊取大量數(shù)據(jù)并不是一件容易的事情,黑客需要能夠接收和存儲數(shù)百TB數(shù)據(jù)的大規(guī)模基礎(chǔ)架構(gòu)。但是,云基礎(chǔ)架構(gòu)的興起使這些攻擊變得更加可行,這種云架構(gòu)更容易維護,且存儲和數(shù)據(jù)流量成本更低。 在2019年12月下旬,Maze組織發(fā)布了他們聲稱被盜的部分數(shù)據(jù),以證明他們確實擁有從受害者那里竊取的潛在敏感信息。他們的第一個網(wǎng)站托管在愛爾蘭的ISP上,但該網(wǎng)站已被撤下,但是不久之后,他們又通過位于新加坡的另一個網(wǎng)站重新上線。 安全專家Kujawa認為:
Kujawa認為,勒索軟件團伙可能會越來越多地采取這種策略,因為隨著越來越多的組織學習如何處理勒索軟件并制定可靠的數(shù)據(jù)恢復計劃,犯罪分子可能會發(fā)現(xiàn)僅通過鎖定文件來從他們那里獲取金錢變得更加困難。 新的攻擊方法勒索軟件的主要分發(fā)渠道和方法仍然是魚叉式網(wǎng)絡釣魚和不安全的遠程桌面協(xié)議(RDP)連接。但值得注意的是,勒索軟件攻擊者還可以通過與其他惡意軟件或者攻擊者“業(yè)務合作”來訪問那些感染了其他惡意軟件的系統(tǒng)。勒索軟件攻擊者可以從地下網(wǎng)絡黑市(暗網(wǎng)市場)購買被黑客入侵的計算機和服務器的訪問權(quán),而僵尸網(wǎng)絡也提供付費“投放”業(yè)務。例如, Emotet垃圾郵件僵尸網(wǎng)絡,TrickBot憑據(jù)竊取木馬和Ryuk勒索軟件之間的“協(xié)作共生”關(guān)系是眾所周知的。 托管安全服務提供商Secureworks的安全研究員Chris Yule在11月的DefCamp會議上的演講中說:
根據(jù)Yule的說法,Trickbot正在進行自動憑證盜竊的正?;顒樱且坏㏑yuk運營商接手,一切都會改變。該活動變得更加“手動化”,涉及使用系統(tǒng)管理工具、網(wǎng)絡掃描、使用PowerShell Empire之類的公共攻擊框架來禁用端點惡意軟件檢測等等。攻擊者需要花時間學習環(huán)境、確定域控制器和其他重要目標,并為大規(guī)模勒索軟件的襲擊做好準備,同時努力保持未被檢測到,這其實是APT組織的一種常見策略。 好消息是,在最初的Emotet感染與Ryuk部署之間,公司通常可以在很長一段時間窗口內(nèi)檢測并處理感染。在Yule給出的案例中,該期限為48天。 壞消息是,如果沒有更先進的網(wǎng)絡和系統(tǒng)監(jiān)視工具,基于常規(guī)的安全策略來檢測這種類型的手動黑客攻擊和橫向移動并不容易。這意味著,尚未具備APT防御能力的組織可能會更容易遭受勒索軟件和其他復雜的網(wǎng)絡犯罪攻擊的打擊。 某些勒索軟件組織在過去的一年中采用的另一個有趣的感染媒介是托管服務提供商(MSP),這些提供商憑借其提供的服務而有權(quán)訪問其許多企業(yè)的網(wǎng)絡和系統(tǒng)。這帶來了一個問題,因為中小型組織將其網(wǎng)絡和安全管理外包給專業(yè)的供應商,因此,對于中小型企業(yè)來說,需要采取措施評估和限制受信任的第三方企業(yè)或工具,防止此類內(nèi)部威脅造成嚴重損失(編者按:試想一下微盟刪庫事件的主角是一個勒索軟件黑客組織而不是一個情緒不穩(wěn)的運維人員)。 此外,使用Web漏洞利用工具包來針對企業(yè)和部署勒索軟件(尤其是RIG漏洞利用工具包)的現(xiàn)象再次流行。這些是通過受攻擊的網(wǎng)站發(fā)起的水坑攻擊,攻擊者知道這些攻擊與某些業(yè)務部門有關(guān),或者有可能被其目標員工訪問。 難以破解的勒索軟件加密安全公司一直試圖在勒索軟件程序的文件加密實現(xiàn)中發(fā)現(xiàn)漏洞,以幫助受害者在不支付贖金就能恢復被加密的文件。這些解密工具通常是免費發(fā)布的,可以在歐洲刑警組織維護的這個網(wǎng)站NoMoreRansom.org上獲得。 但是,勒索軟件組織使用的勒索軟件程序在技術(shù)上進步很快,攻擊者從過去的錯誤或其他勒索軟件開發(fā)人員的錯誤中吸取了教訓,并糾正了實施錯誤。 一些勒索軟件程序的代碼已在線泄漏,可以復制和改進。操作系統(tǒng)還提供了加密API,并且有經(jīng)過嚴格審查的開源加密框架和庫。所有這些意味著,最流行的勒索軟件程序也是最危險的,因為它們使用強大的加密算法并且沒有解決方案。 對于組織而言,制定備份計劃和定期測試的數(shù)據(jù)恢復計劃至關(guān)重要,采用異地備份或離線存儲,以防止攻擊者將其刪除或加密。 勒索軟件防御常規(guī)的勒索軟件防御措施大致有以下幾點: 1、安全加固 首先,組織應該通過執(zhí)行內(nèi)部和外部滲透測試并確定暴露于互聯(lián)網(wǎng)的任何潛在易受攻擊的系統(tǒng)、服務器和網(wǎng)絡遠程連接(例如VPN或RDP)。啟用高熵密碼(消滅弱密碼)和雙因素身份驗證(2FA)。 在網(wǎng)絡內(nèi)部,公司應確保端點和服務器的操作系統(tǒng)和所運行軟件的補丁程序是最新的。應根據(jù)最小特權(quán)原則對網(wǎng)絡進行分段,以使一個部門中的工作站受到損害不會輕易導致整個網(wǎng)絡被接管。在Windows網(wǎng)絡上,應仔細監(jiān)視域控制器是否存在異常訪問。 2、供應鏈安全 依賴MSP或受管安全服務提供商(MSSP)的組織應確保監(jiān)視和記錄了來自這些第三方的連接,并且啟用了雙因素認證。提供給第三方的網(wǎng)絡和系統(tǒng)訪問權(quán)限應僅限于執(zhí)行其工作所需的內(nèi)容(最小化權(quán)限策略)。 3、資產(chǎn)發(fā)現(xiàn) 企業(yè)應當盡快建立對業(yè)務運營至關(guān)重要的數(shù)據(jù)資產(chǎn)的完整清單,存儲資產(chǎn)清單的系統(tǒng)應嚴格控制。 4、端點防護 由于許多勒索軟件感染都是從受感染的工作站開始的,因此使用端點反惡意軟件非常重要。從瀏覽器中刪除不需要的插件和擴展,保持軟件為最新,并確保員工帳戶具有有限的特權(quán)也是如此。 5、意識培訓 培訓員工如何發(fā)現(xiàn)網(wǎng)絡釣魚電子郵件,以及如何詢問要求他們打開文件或單擊鏈接的不請自來的郵件。創(chuàng)建一個由安全團隊監(jiān)控的特殊電子郵件地址,員工可以在其中轉(zhuǎn)發(fā)他們認為可疑的電子郵件。 6、事件響應 最后,起草事件響應計劃,并確保每個相關(guān)人員都知道自己的角色,以及一旦發(fā)生侵害時需要采取的措施,包括與您的安全供應商或MSSP以及執(zhí)法部門如何進行溝通。不要輕視常規(guī)惡意軟件感染,徹底調(diào)查它們,因為它們可能并且經(jīng)常是更嚴重威脅的勒索軟件的入侵媒介。 7、最佳實踐框架 2020年2月,美國國家標準技術(shù)研究院(NIST)發(fā)布了有關(guān)處理勒索軟件最佳實踐的兩項實踐準則草案。準則草案名為“數(shù)據(jù)完整性:識別和保護資產(chǎn)免遭勒索軟件和其他破壞性事件”和“數(shù)據(jù)完整性:檢測和響應勒索軟件和其他破壞性事件”。該草案預計在2020年下半年發(fā)布將最終指南。
|