【編者按】近日,Check Point Research的研究人員發現一種正在不斷演進的新型勒索軟件策略。該勒索策略被稱為“
雙重勒索”,即攻擊者會首先竊取大量的敏感商業信息,然後對受害者的數據進行加密,並威脅受害者如果不支付贖金就會公開這些數據。第一起雙重勒索事件是由勒索軟件Maze發起的,針對美國大型安全人員配置公司Allied Universal。勒索者創建了一個專用網頁,用來列出拒絕支付贖金的受害者身份,並定期發佈被盜數據的樣本。多種勒索軟件加入這一行列進行雙重勒索。
雙重勒索是勒索軟件自然演進的結果。傳統的勒索軟件基本信守支付贖金即提供解密密鑰的策略,但逐漸演變到從用戶攻擊到有針對性的商業攻擊,現在又增加了數據勒索的雙重危險。這無疑讓受害者承受更大的數據洩露壓力,同時使得受害者被迫支付贖金的可能性大幅提高。受害者同時承受著支付贖金後的是否仍被公開數據的不確定性,以及監管機構對其數據洩露進行處罰的雙重壓力。這可能會成為勒索軟件攻擊的“新常態”。良好的網絡衛生習慣、強化的訪問控制、嚴格的端點防護、全面掌握的威脅態勢、周全的業務連續性計劃、常態的安全意識教育、經常性的檢查整改等有助於對抗勒索軟件攻擊。
想象一下這個場景:某一天早晨,你來到辦公室,發現網絡犯罪分子已經突破了整個公司網絡,並對所有文件和數據庫進行加密,從而使組織的運作陷入停頓。你該怎麼辦?要從備份中還原系統和數據,然後再恢復正常工作,可能需要幾天甚至幾周的時間。你可以答應攻擊者支付贖金的要求,希望他們提供承諾的解密密鑰,但是網絡罪犯可能不會信守諾言。根據FBI的《互聯網核心能力認證(IC3)2019年互聯網犯罪報告》,僅在美國就有2,000多個組織在去年受到勒索軟件攻擊後面臨此問題,造成數百萬美元的損失。
似乎這還不夠糟糕,網絡犯罪分子開始在熟悉的勒索軟件攻擊中加入新策略:雙重勒索。在2020年第一季度已成為趨勢,威脅參與者正在為其攻擊增加新的階段。在對受害者的數據庫進行加密之前,攻擊者會提取大量敏感的商業信息,並威脅要發佈這些信息,除非支付了贖金要求,這給企業增加了滿足黑客要求的壓力。
雙重勒索的先驅——勒索軟件Maze
2019年11月,第一個公佈的雙重敲詐案件涉及美國大型安全人員配置公司Allied Universal。當受害者拒絕支付300比特幣(約合230萬美元)的贖金時,使用Maze勒索軟件的攻擊者揚言要使用從Allied Universal的系統中提取的敏感信息以及被盜的電子郵件和域名證書進行冒充Allied Universal的垃圾郵件活動。為了證明自己的能力,攻擊者發佈了被盜文件的樣本,包括合同、病歷、加密證書等。在俄羅斯黑客論壇的後續一篇帖子中,攻擊者提供了一個鏈接,指向他們聲稱是被盜信息10%的鏈接,以及一個提高了50%贖金要求新的聲明。
俄羅斯黑客論壇上Maze的帖子
Maze勒索軟件背後的組織TA2101創建了一個專用網頁,該網頁列出了不支付贖金的受害者身份,並定期發佈被盜數據的樣本。
Maze網頁上列出的不支付贖金的公司列表及數據樣本
Maze隨後公佈了了數十家公司的詳細信息,包括律師事務所、醫療服務提供商、保險公司,這些公司沒有滿足Maze的勒索要求。據估計,有許多其他公司通過支付所需的贖金來避免公佈其敏感數據。
順應潮流
其他網絡犯罪組織也紛紛仿效這一新的勒索策略,開設了自己的站點來發布和洩漏被盜信息,以此向受害者施加更大的壓力,迫使他們支付贖金。利用Sodinokibi勒索軟件(又名REvil)的攻擊者公佈了他們攻擊的數十個目標的詳細信息,以及從目標組織竊取的專有公司信息。全國飲食失調協會(National Eating Disorders Association)是受害者組織名單中的最後一個組織,但此後已從REvil的博客中刪除。
REVil的Happy Blog網站列出的受感染的公司及數據樣本
起初,這些信息的屏幕截圖僅是說服受害者支付贖金的一種手段。如果付款不及時,攻擊者將繼續執行威脅,並將機密文件發佈在網絡上以供公眾下載。
這使目標組織陷入了雙重危險的陷阱:如果他們不屈服於攻擊者的要求,則攻擊者將公佈被盜的數據,並且組織將不得不向相關的國家或國際數據隱私監管機構報告違規行為,這可能使該組織收到鉅額罰款。無論哪種方式,組織都可能不得不付出代價才能保持運營。例如,在2020年除夕,REvil對Travelex發起了攻擊,從其網絡上下載了5GB的敏感客戶數據,包括生日、信用卡信息、國家保險號。他們給Travelex兩天的時間支付600萬美元,之後贖金金額將翻倍,並威脅如果一週之內沒有收到任何付款就會出售整個數據庫。而Travelex需要離線三週才能從攻擊中恢復。
加入這一趨勢的其他攻擊者包括Clop、Nemty、Nefilim、Ragnarlocker、Sekhmet、Snatch、DopplelPaymer等。在這些網站上公佈的信息很快發現被勒索軟件組織自己或從垃圾場收集數據的其他犯罪分子出售。
攻擊移動目標
這種惡意組合也已從公司網絡擴展到移動設備。最近,一個惡意軟件嘗試利用對冠狀病毒大流行的擔憂,欺騙性地將自己推銷為針對Android設備的假冠狀病毒跟蹤應用程序,同時實際上對用戶內容進行加密,並威脅要公開洩漏用戶的社交媒體材料。
移動惡意軟件勒索記錄
Maze威脅組織也開始利用冠狀病毒的恐懼。但是,在針對一家英國的醫療機構發起攻擊遭受批評後,該組織宣佈,他們將避免今後對醫療機構發起攻擊,併為之前受到攻擊的任何組織提供折扣。但是,這並不能阻止他們繼續襲擊其他組織,例如Chubb保險公司。
Maze關於新冠病毒的新聞稿
勒索軟件與數據洩露
儘管傳統的勒索軟件攻擊非常惡毒,但給受害者提供了從備份中恢復所有內容的選擇。受害者面臨著嚴重的困境:屈服犯罪要求並支付贖金,以期希望獲得解密密鑰並重新獲得對其數據的訪問權,或者努力從備份中恢復系統。
通常,自我恢復的成本超過了贖金的要求。例如,巴爾的摩市拒絕支付$80,000贖金,結果遭遇成本為$18,000,000恢復費用、新硬件和收入損失。這導致一些保險公司建議受害者支付贖金。
對組織的其他損害包括停機時間、股價貶值、系統和數據恢復的技術成本、贖金支付等等。通常,受害者會盡量避免公佈任何攻擊,以最大程度地降低對其聲譽的可能損害。
另一方面,數據洩露使受害者受害於專有信息的丟失,並阻礙了他們保護客戶和員工的個人信息的能力。被竊取的數據可用於將來對那些詳細信息包含在漏洞中的人進行攻擊。諸如歐盟GDPR和美國的安全漏洞通知法之類的監管法律規定,此類攻擊的受害者必須向特定機構,信息所屬的公司和個人披露攻擊的詳細信息。這包括潛在損害的清單以及保護員工和客戶免受欺詐和身份盜用以及可能遭受的訴訟所需要的額外費用。
現實問題
這種新的、不斷髮展的攻擊浪潮模糊了傳統勒索軟件攻擊與常規數據洩露之間的界線,潛在的受害者處境很糟。除非另有證明,否則他們必須假定自己受到數據洩露的侵害,而在法律上,他們無法避免事件的公開披露。顯然,採用備份並不能終止攻擊並防範損失。更糟糕的是,眾所周知,支付贖金並不能保證攻擊者不會將信息出售給第三方。
所以這種不確定性可能導致結果與攻擊者想要的效果相反,因為支付贖金對公司並沒有吸引力。畢竟即便付款,他們也必須向政府披露攻擊的詳細信息,對其聲譽和股價造成重大損害,並使客戶和員工承受嚴重損失。
防範勒索攻擊的最佳實踐
勒索軟件攻擊不僅僅是黑客的造成的,也可能是由不知情的員工點擊網絡釣魚鏈接或瀏覽受感染的網站觸發的。為了使組織成功避免或抵禦勒索軟件,組織必須瞭解這些攻擊的發生方式,確定並最小化被其利用的脆弱點。
以下是確保適當的網絡衛生以幫助防止勒索軟件攻擊的關鍵最佳實踐。隨著威脅形勢的不斷髮展,攻擊的複雜性也在增加,網絡衛生對組織的重要性不言而喻。
01、保護端點
IDC報告稱,許多組織沒有從策略上處理好端點安全。許多人在不同的端點類型上使用不一致的方法,並且不完全瞭解其風險。保護端點安全已經超越了安裝防病毒軟件的範圍。必須將重點放在管理所有端點的衛生,即它們的配置和修補。一個有效的安全程序將利用高級端點安全控制(例如下一代防病毒(NGAV)或端點檢測和響應(EDR))來保護端點,以防止或檢測通常在惡意軟件中觀察到的可疑端點行為。
02、採用因素身份認證
一種流行的攻擊者策略是利用被盜的員工憑據來進入網絡並分發勒索軟件。這些憑據通常是通過網絡釣魚收集的,或者是從過去的違規行為中獲取的。為了減少攻擊的可能性,請在所有技術解決方案中採用兩因素身份驗證(2FA)。
03、掌握威脅態勢
必須瞭解您的IT基礎架構,現有關鍵資產和數據,與這些資產關聯的供應鏈以及資產如何暴露給潛在的攻擊者或使其變得可訪問。但是,如果沒有一個明確的威脅態勢(該枚舉可能會列出您可能遇到的攻擊組織或惡意軟件變體及其行為),那麼單單瞭解資產也沒有用。這些知識的組合使組織可以確定有效的防禦措施,以預防或檢測攻擊。為了使其更易於訪問,還有賴於網絡威脅情報服務的支持。
04、全面掌控資產訪問
這不僅限於員工,還包括合作伙伴和客戶。所有這些都以身份和訪問管理為中心。知道誰擁有什麼訪問權限以及在何處可以幫助您識別可能成為劫持或盜竊目標的帳戶,因此您可以監視它們以進行不當訪問或使用。
05、制定業務連續性計劃
儘管端點安全、反網絡釣魚、邊界保護和補丁程序管理至關重要,但無法防止勒索軟件。業務連續性和災難恢復(BCDR)解決方案應成為在發生攻擊時維持運營的策略的一部分。考慮添加旨在快速還原的SaaS備份解決方案,因為勒索軟件可以攻擊網絡和應用程序。比如透過快照來迅速保存不同時間點的檔案、文件夾,甚至是整個Volume,並且隨時進行還原。
06、加強安全意識教育
員工安全意識淡漠,常常不瞭解攻擊的跡象,這更容易讓組織受到攻擊。為了管理風險,組織必須經常提供網絡安全培訓,以確保員工可以發現並避免潛在的網絡釣魚電子郵件,這是勒索軟件的主要入口。將該培訓與網絡釣魚演練結合使用,以掌握員工的脆弱點。確定最脆弱的員工,併為他們提供更多的支持或安全措施,以降低風險。
07、檢查、檢查再檢查
每三到六個月對網絡衛生習慣、威脅狀況、業務連續性計劃以及誰可以訪問您的資產進行一次審核。通過這些措施不斷改善安全計劃。
組織需要了解風險,並主動防禦勒索軟件攻擊並減輕其影響。沒有專門網絡安全團隊資源的組織應考慮與經驗豐富的託管服務提供商(MSP)合作,以幫助組織免受勒索攻擊。
關於Check Point Research
Check Point Research為Check Point軟件客戶和大型情報界提供領先的網絡威脅情報的研究團隊。該研究團隊收集並分析存儲在ThreatCloud上的全球網絡攻擊數據,以阻止黑客攻擊,同時確保所有Check Point產品都已得到最新保護。從漏洞爆發開始,ThreatCloud開始在整個網絡上共享數據,為研究人員提供深入分析和報告攻擊所需的情報。Check Point Research的出版物和情報共享推動了新的網絡威脅的發現以及國際威脅情報界的發展(天地和興工控安全研究院編譯).
專欄
網絡突圍:突防美網絡空間絞殺
19.9幣
33人已購
