勒索软件攻击者升级了敲诈策略
提高风险和增加谈判难度的 7 种趋势
勒索软件活动像企业一样运行
随着勒索软件“大猎杀”的出现,犯罪分子不断创新手段选择受害者,最大限度增强破坏力,促使支付赎金。这些手段包括寻找高价值的知名目标和确定攻击时机,以造成大规模破坏。
受害者往往是停机影响最严重的组织,例如教育、医疗和政府机构。
自 2019 年以来,勒索软件犯罪分子的勒索方式已经发生了巨大变化。除了不断提高赎金,犯罪分子的施压方法也变得越来越强硬、公开且有创意。为应对这些新的挑战,需要运用全面的 Zero Trust 方法,让攻击者无法利用攻击手段和横向移动。
犯罪分子如何在“勒索经济”框架内增加压力
虽然勒索软件的策略不断改变,但过去两年来,犯罪分子的攻击都有一个共同点——勒索手段更加令人痛苦、更加公开,赎金不断高涨。他们的目标不再局限于加密文件,而是要给受害者造成严重的潜在影响,让受害者认为支付赎金才是唯一出路,从而提高勒索成功率。以下是攻击者最近使用的七种战术。
1. 双重勒索——泄漏和公开数据
2019 年之前,犯罪分子出于泄露数据的意图而窃取数据的情况很少见。然而,一项分析显示,截至 2021 年第三季度,83.3% 的攻击涉及数据泄露威胁。不同的勒索软件团体在进行谈判并促使付款时,都有自己的一套说辞。某些团体(例如 Clop 勒索软件集团)要求分开支付两笔赎金:一笔用于赎回加密密钥,另一笔用于避免文件泄露。这意味着,即便企业有备份可以恢复文件,它们也可能会为了避免声誉受损或与数据隐私相关的罚款而支付赎金。攻击者还可能退回一些初始文件的访问权限,以示诚信,勒索软件相当于只是免费试用。不然,攻击者可能会立即泄露某些资料,并定时逐步公开其他资料。
2. 三重勒索——威胁第三方
在三重勒索中,攻击者会联系客户、业务合作伙伴和与受害组织相关的其他第三方。有些情况下,这是为了勒索第三方,就像某心理治疗诊所发生的一起攻击一样。他们警告病人,如果不希望将会诊记录公布在网上,就必须付费。还有些情况下,犯罪分子会叫收件人联系受害组织,敦促后者支付赎金,从而将一些施压工作外包给第三方。
3. 确定攻击时机,谋求最大损害
据联邦调查局 (FBI) 分析,有些组织因即将发生的事件(例如合并、收购和产品发布)而成为攻击目标。面临声誉受损、股价骤降的风险,更有理由要求支付赎金。FBI 报告说,在私人谈判的合并中也会发生这种情况。渗透网络时,犯罪分子会试图发掘非公开数据,以确定目标并促使付款。如果信息泄露涉及产品蓝图或路线图的发布,这会损害组织的竞争优势,破坏性尤其巨大。FBI 发现,攻击者经常在节假日和��周末发起攻击,这时更容易造成破坏。
4. 虚拟恐吓与实际恐吓
犯罪分子通过多种渠道胁迫和骚扰受害者。利用渗透网络时获取的信息,有些犯罪团体会给员工打电话或发电子邮件。例如,使用 Egregor 勒索软件的犯罪分子在组织自己的打印机上远程打印赎金条。有些还使用倒数计时器,重点提示赎金要求何时到期或何时会增加赎金。
5. 在公开的羞辱性网站上泄露数据
过去两年中出现了几十个专门发布被盗数据的网站。犯罪分子将未付款的受害者的数据发布在这些网站上,或逐一泄露文件,增加勒索谈判的筹码。公开个人数据要求受害组织向当局报告泄露事件,可能会招致罚款。
6. 吸引更大范围的关注
提高攻击知名度的手段极为多样。例如,攻击者会通过联系记者来施压支付赎金,并使组织面临数据隐私法律纠纷。Ragnar Locker 组织通过购买 Facebook 广告,使用盗取的凭证吸引人们关注攻击。一些勒索软件组织通过拍卖受害者的数据在全球范围内牟取收益。例如,REvil 集团拍卖了一家名人律师事务所的客户数据,成为许多媒体的头条新闻。
7. 附加 DDoS 攻击
当企业因联系执法部门和受害客户、查找文件备份,以及尽量减少横向移动等事务而不堪重负时,一些攻击者会威胁发起或煽动分布式拒绝服务攻击。在繁忙时期,让网络不堪重负会增加压力,并占用更多 IT 资源。
新型极端勒索手段的驱动因素
勒索软件已有几十年历史,勒索手段为什么突然发生巨变?
犯罪分子现在能够更加努力地催促支付赎金,是因为受害组织保持在线的风险高多了。如今,生活中有许多事情都是在网上完成,避免停机至关重要——犯罪分子知道,如果干扰了员工的远程连接、学生的课程、病人的预约、客户的订单或日常运营的其他方面,会造成严重的破坏。即使组织有备份可以恢复文件,但恢复需要时间,这造成的经济损失比支付赎金更大。
过去两年中,攻击手段演变的其他因素还包括:
勒索软件即服务的崛起��。正如组织可以通过基于云的服务购买防火墙一样,任何人无论技术能力如何,均可租赁和部署勒索软件。这种模式要求统一费率定价或支付一定比例的所得赎金,降低了发起攻击的门槛。
利润率高得惊人。有人估计,勒索软件的利润率高达 98%。与其他非法业务相比,勒索软件的逮捕和死亡风险要低得多,进一步刺激了犯罪分子的加入。
保护私人数据的义务。随着 GDPR 等隐私法规的颁布和执行,数据泄露可能导致受害组织面临巨额罚款,而且数据当事人可能会提起诉讼。这也影响了犯罪分子挑选目标和计算赎金的方式,因为他们知道,组织在计划事件响应策略时会分析成本效益。
保护网络边界
组织需要制定多方面的综合战略来帮助预防勒索软件,缓解勒索软件的影响,特别是这些新型勒索手段加剧了攻击的可能后果。
一次勒索软件活动包括几个阶段,因此有许多机会可以阻止。采用 Zero Trust 安全模式是加强网络边界、限制横向移动的方法之一。这种方法包括实施严格的访问控制,默认不信任任何用户或系统,减少犯罪分子提升权限、寻找其他谈判筹码的机会。
Zero Trust 有助于预防勒索软件攻击,缓解攻击影响,主要体现在以下方面:
最小权限原则:只许每位用户访问自己需要使用的网络部分,这可最大限度减少攻击发生时的暴露规模和横向移动的可能性。
多因素身份验证:要求使用多种身份证明,使攻击者更难冒充用户。
浏览器隔离:将浏览活动限制在一个基于云的气隙环境中,组织可以保护网络免受恶意网站和应用程序的影响。
DNS 过滤:防止用户和端点加载恶意网站,帮助用户设备和整个网络远离勒索软件。
用户和设备态势检查:不断与端点安全提供商和标识提供程序进行交叉检查,确保只有安全的用户和设备可以连接到网络。
Cloudflare One 是一个 Zero Trust 网络即服务 (NaaS) 平台。它结合了安全和网络服务功能,安全连接远程用户、办公室和数据中心。通过隔离高风险浏览活动,阻止访问恶意 URL,以及保护开放服务器端口免遭外部入侵,帮助防范勒索软件。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
关键要点
阅读本文后,您将能够了解:
激进的新型勒索软件敲诈手段
推动手段变化的因素
攻击者如何利用网络渗透过程中获取的数据来促进谈判。
Zero Trust 原则对缓解勒索软件攻击的重要意义