2023年勒索软件威胁态势:从加密数据向无加密攻击演变
日期:2023年11月07日 阅:103
日前,Zscaler 安全威胁实验室发布了最新版《2023年全球勒索软件报告》,对当前勒索软件的威胁态势和发展趋势进行了研究分析。报告研究人员认为,相比以加密数据为主的传统勒索攻击模式,新一代的无加密(Encryptionless)勒索攻击是一个需要企业组织重点关注的趋势。
在这种类型的勒索攻击中,攻击者不再加密受害者的文件,转而专注于窃取敏感数据作为勒索的筹码。这给受害者和安全专业人员带来了新的挑战,因为攻击者会直接攻击并破坏组织重要的系统和数据,而传统的文件恢复和解密方法将不再适用于对无加密勒索攻击的防护。企业组织需要全面了解无加密攻击的技术特点,并重新开发适合自身业务发展的勒索缓解策略和应对方法。
报告关键发现
报告认为,在过去的一年中,勒索软件攻击威胁正呈快速上升趋势,且各种规模的企业都会面临勒索攻击的风险。以下是本次报告的关键发现:
勒索软件威胁态势
报告研究发现,不断扩散的勒索软件攻击继续对全球的企业组织、个人和关键基础设施构成重大威胁。攻击者正在不断调整和完善他们的攻击策略,利用泄露的源代码、智能化的攻击方案和新兴的编程语言来最大化他们的非法收益。在2023年,勒索软件攻击的主要特点包括:
在过去的几年里,制造业一直是勒索软件攻击的主要目标,而且这种趋势还在继续。从2022年4月到2023年4月的数据显示,制造业仍然是最具针对性的垂直行业,占勒索软件攻击总量的14.8%。这一发现凸显了制造企业对威胁行为者的脆弱性和吸引力。紧随制造业之后的是服务业,遭受了11.66%的勒索软件攻击。教育行业也面临着相当大的威胁,占攻击的7.64%。一个名为“Vice society”的勒索软件组织一直以教育部门为目标。
值得注意的是,这些数据只是基于数据泄露站点的信息所得,有助于深入了解攻击的流行程度,但可能无法涵盖所有勒索软件事件的全部范围。因为许多攻击没有被报道,或者在没有公开披露的情况下通过支付赎金私下解决。因此,这些数字应该被视为勒索软件目标的更广泛趋势的指示,而非整个威胁格局的详尽阐释。
研究人员发现针对家庭和个人等C端用户的“双重勒索”攻击在2023年激增了惊人的550%,此外,针对艺术、娱乐和休闲行业的攻击也大幅增加了433.33%。值得注意的是,在2022版报告中,上述行业的攻击基线相对较低,这使得它们的增长看起来非常明显。
上述数据也再次强调了针对广泛行业的勒索软件攻击的不断发展本质,所有的行业都可能遭遇勒索软件事件的突然激增。攻击呈指数增长反映了勒索软件团伙日益成熟以及对利润的不懈追求。
根据泄露网站上列出的受害者数量,LockBit、ALPHV/BlackCat和BlackBasta是目前最活跃的勒索软件勒索组织。
勒索威胁趋势预测
1. 无加密勒索攻击
传统的勒索软件会对受害者的文件进行加密,并要求支付赎金才能释放文件。然而,越来越多的网络犯罪分子正在转向无加密勒索攻击,这种攻击的重点是窃取和威胁暴露敏感数据,而非对其进行加密。这种方法为网络安全专业人员的防御工作增加了新的复杂性和挑战。
2. AI驱动的勒索软件攻击
预计勒索软件组织将越来越多地利用人工智能功能,包括聊天机器人、人工智能开发的恶意软件代码、机器学习算法、自动化流程等等,这将使他们能够开发更复杂、更高效的技术,使传统的网络安全措施更难检测和防止此类攻击。更重要的是,人工智能还可能降低威胁行为者开发勒索软件的准入门槛。
3. 网络保险“助推”威胁加剧
网络犯罪分子一直把更多的注意力放在有网络保险的组织上,这一威胁发展趋势在未来可能会继续增长。因为攻击者知道,购买过网络保险的受害者更有可能支付勒索赎金,因为他们可以依靠保险来支付费用。这种目标策略旨在最大限度地提高成功支付赎金的机会。
4. 针对公共服务设施的目标增加
研究人员预测,针对市政服务部门、执法部门、中小学校、医疗机构的勒索软件攻击将进一步加剧并持续增长。这些实体在保护关键数据和系统方面的安全水平通常很低,这使得它们成为网络犯罪分子的关键目标。此外,这些类型的攻击通常会严重破坏社会公共服务,并暴露大量敏感信息缓存,包括PII、财务数据、私人记录等等。
5. 新的RaaS玩家入局
RaaS(勒索软件及服务)是一种商业模式,在这种模式下,网络犯罪分子会委托附属机构入侵组织并部署他们的勒索软件。绝大多数勒索软件组织都在使用RaaS,而且多年来也证明它是有效的,因此这种趋势将继续下去,并不断涌现新的玩家。
6. 初始访问代理(IAB)热度不减
越来越多的威胁组织会破坏一个组织,然后向勒索软件组织(或勒索软件组织的附属机构)出售该组织的访问权限。这使得具有渗透测试技能的威胁参与者可以从他们的工作中获利,而无需进行全面的勒索软件和/或无加密勒索攻击所需的专业知识。
7. 对云服务的攻击
随着云计算和存储的日益普及,勒索软件攻击者可能会开发出针对云服务和工作流程进行优化的新型勒索软件和活动。破坏云环境可能导致大范围的破坏、业务中断和敏感数据被盗,同时影响多个用户或组织。这种可能性突出了对强大的安全措施和基于云环境的主动防御需求。
8. 针对非windows系统和平台的攻击
勒索软件组织将继续扩大他们的武器库,攻击运行在非windows平台上的关键任务服务器。威胁行为者越来越多地构建勒索软件来加密Linux和ESXi服务器上的文件,这些服务器通常托管数据库、文件服务器和web服务器。一些威胁组织也对开发针对macOS的勒索软件表现出了兴趣。
勒索软件防护建议
勒索攻击数量的激增是一个明确的警告,组织必须保持主动性、适应性并加大网络安全投入。通过优先考虑强大的防御措施,培养安全意识的文化,并鼓励协作,组织可以加强抵御勒索软件威胁的能力,并尽量减少潜在影响。企业在防御勒索软件攻击时,关键是要采用分层防护的方法,在每个阶段(从侦察和初始入侵到横向移动、数据盗窃和有效载荷执行)破坏攻击。企业组织可以遵循以下最佳实践来提升防御勒索软件攻击的能力:
报告下载链接: