勒索软件攻击似乎已成为网络世界的一种流行病。
日前,云端服务公司Mimecast对全球742名网络安全专业人士进行了调查显示,在过去两年中,全球超过80%的企业组织都受到了勒索软件攻击。 报告指出,受害企业组织正在为安全漏洞付出更高代价,39%的受害企业组织表示支付了赎金。
然而,赎金仅是企业组织财务、声誉风险和损失的一部分,受访者提到的其他损失还包括运营中断(42%)、重大停机时间(36%)、收入损失(28%)和现有客户流失(21%)等。 事实上,2021年这种趋势也不会下降。随着云计算的快速普及,勒索软件越来越多地将以云存储为目标,以最大程度地发挥影响力并增加杠杆作用以提高利润、扩大企业数据泄露规模和风险。 根据Proofpoint针对英国CISO的最新调查显示,有64%的人表示担心其组织在2021年有遭受攻击的风险。
大型企业面临更大的威胁,人员规模超过2500名员工的企业中,89%的CSO和CISO表示担心,而规模超过5000人的企业中有83%担心受到攻击。 同时,调查还显示,有46%的CSO/CISO认为勒索软件是未来两年对其业务最大的网络安全威胁。
勒索软件即服务 RaaS模式兴起 虽然勒索软件仍然是企业面临的最大威胁,但是2021年有一个不可忽视的重要变化是网络犯罪集团之间的相互协作。 网络犯罪分子最常利用的三种攻击获利方式是BEC、电子邮件账户泄露(EAC)和勒索软件。
过去,许多专门从事BEC和EAC的攻击者即使拥有必要的访问权限,也往往不会充当勒索软件的初始访问代理。同样,勒索软件攻击者也不会利用BEC和EAC攻击。 但是Proofpoint认为,随着威胁行为者越来越多地协作,以进行更有效的攻击并获得更高的利润,这种情况将在2021年发生改变。 例如,某公司被EAC攻击后,攻击者又将访问权“转售”给另一个组织,以实施勒索软件攻击,或者EAC小组提高技能并开始利用市售的勒索软件工具。
这种勒索软件即服务RaaS ( Ransomware-as-a-Service),正是当前全球勒索软件攻击势头急剧上升的背景下出现一种服务模式。
同其他SaaS解决方案类似,RaaS模式已经成为一种成熟软件商业模式。黑客负责勒索软件最新变种的开发,并可以将其转让给任何用户,前提是他们必须支付一定比例的收益赎金。 除了核心的勒索软件产品外,地下黑色市场还提供与勒索行为相关的额外功能与服务,包括对于多平台的支持、针对特定产品的漏洞进行定制化等。 RaaS商业模式的兴起使得从业者无需任何专业技术知识,就可以毫不费力地发起网络敲诈活动,这也是导致新的勒索软件市场泛滥的原因。 勒索软件即服务是恶意软件销售商及其客户的盈利模式。
使用这种方法的恶意软件销售商可以获取新的感染媒介,并有可能通过传统方法(如电子邮件垃圾邮件或受感染网站)接触到无法接触的新受害者。
RaaS客户可以通过RaaS轻松获取勒索软件,只需配置一些功能并将恶意软件分发给不知情的受害者即可。
当然,RaaS平台不能在正常网络上找到,它们隐藏在互联网的黑暗面——暗网中。 通过非传统搜索引擎浏览暗网,可以找到几个提供RaaS的网站。每个都为勒索软件提供不同的功能,例如:允许用户选择加密阶段的文件扩展名;向受害者要求的赎金;恶意软件实施等相关功能。 此外,除了使用RaaS平台之外,还可以通过犯罪论坛或网站购买自定义恶意软件,可以雇用黑客来创建专属恶意软件。 RaaS的出现大大降低了勒索攻击的技术门槛,使发动网络攻击牟利变得更加容易,这对于企业数据安全是一个巨大的威胁。
RaaS向产业化发展 事实上,RaaS模式仍在进化,已经向着产业化的方向发展。 随着犯罪方式的演变,传统的勒索方式需要犯罪者“亲力亲为”,即勒索团伙需要自己发送钓鱼邮件或者自己寻找目标系统漏洞来植入勒索软件,这样大大消耗了时间和精力,RaaS组织需要更加直接的“大门”或者中间人去做入侵,于是Initial Access Brokers (IAB)业务就变得活跃起来。 IAB(Initial Access Brokers-初始访问代理业务)是指攻击者通过多种方式获得的受害者网络资产初始化访问权限,而后将其出售给犯罪组织实施犯罪的中间人行为,犯罪组织通常为勒索软件团伙或其附属机构。 “初始访问权限”不仅泛指RDP、VPN、Webshell、SSH权限这些可以直接进入目标网络的权限,还有一些未授权访问的资产、数据库资产、系统用户的账户权限等,也包括可利用的企业系统、网络设备,如Citrix、Fortinet、ESXI 和 Pulse Secure的历史漏洞和权限。 攻击者可以将这些系统的权限放到黑客论坛售卖,有时候还可以多次售卖给不同勒索软件组织,这些攻击者可以和勒索软件供应商形成供需关系,两者通过匿名的IM通信,最后通过数字货币支付达成交易。 通过黑客论坛,勒索软件运营商组织可购买IAB后直接植入勒索软件达成勒索目标,可以节省勒索组织在受害者网络环境中入侵的时间和精力以及各种成本,这样勒索软件攻击者可以将所有时间和精力集中在“改善”勒索软件有效载荷和与他们的附属机构协调操作上,同时可以在暗网论坛上指定需要的权限类型与目标行业,IAB的出现为RaaS提供了极大的便利。 在利益的驱动下,RaaS与IAB的交易越来越密切,值得关注的是:根据Digital Shadows统计,IAB交易的热点行业权限Top5为零售行业、金融行业、科技行业与工业制造业(如医药制造)。
其中,科技行业的初始访问代理权限平均价格最高为13,607美元。
勒索软件黑客团队 专业性提升 除了产业链逐步完善,黑客组织的专业性也在进一步提升。
更多的黑客组织将自身的产业转向了勒索病毒产业,从2021年开始,不仅仅安全厂商竞争会越来越激烈,全球的黑客组织也会开始竞争。
未来安全厂商会不断的创新,提供更好的安全服务,黑客组织也会不断改进自己的MAAS平台,以便向客户更好的提供他们需要的恶意软件,更加具有专业性和多功能化模块集成,使得黑客攻击行为更加具有针对性,提供更多的黑客服务,攻击获利的机会也会变大,未来基于恶意软件MAAS的私有化服务可能也会成为黑客组织一个新的发展趋势。 同时,勒索病毒已经不仅是一些黑客组织获取暴利的手段,而是变成了国与国之间进行网络攻击的高端武器。
很多具有国家政府背景的黑客组织都在不断努力研发自己的新型恶意软件,这些恶意软件包含勒索病毒、下载器、后门、窃密软件、僵尸网络、银行木马、挖矿木马等等,这些类型的恶意软件都是可以直接带来经济效益和达到攻击效果的恶意软件。 可以预见,未来使用勒索软件的攻击事件会越来越多,攻击行为会变得更加隐蔽,对于全球而言都将是一场艰苦卓绝的网络安全战。