网络洞察 2023 | 勒索软件 - 新鲜讯息

国外安全媒体安全周刊称“与来自 100 多个不同组织的 300 多名网络安全专家进行了联络，以深入了解当今的安全问题——以及这些问题在 2023 年及以后可能会如何演变。其结果是关于从人工智能、量子加密和攻击面管理到风险投资、法规和犯罪团伙等主题的十多个特征。”，最近该媒体发布了多篇网络洞察的文章，我们也可以通过了解他们的一些观点，了解了解国外对应网络安全的一些观点和看法，便于我们吸收借鉴。

在三个主要条件的推动下，我们仍然普遍称为勒索软件的性质的变化将持续到 2023 年。

网络犯罪背后的主要目的是赚钱。勒索一直是实现这一目标的成功且首选的方法。勒索软件只是一种勒索手段。多年来勒索软件攻击的持续增长说明了它的成功。

勒索软件的演变并非一成不变。随着犯罪分子改进敲诈勒索的方法，其性质发生了变化，交易量（通常上升）随着市场条件的变化而起伏不定。然而，重要的一点是，犯罪分子并没有嫁给加密，而是嫁给了敲诈勒索。

受三个主要条件的驱动，我们仍然通常称为勒索软件的性质的变化将持续到 2023 年：俄罗斯/乌克兰战争的地缘政治影响、犯罪团伙的专业水平提高以及政府和执法机构更加有力地尝试对抗威胁。

网络战效应

俄罗斯/乌克兰战争消除了我们的眼罩。多年来，世界一直处于隐蔽的网络战争中——通常沿着公认的地缘政治鸿沟——但现在更加激烈和公开。虽然大国至少到目前为止没有对对手的关键基础设施进行公开攻击，但犯罪团伙并不那么担心。

Osirium 的产品专家马克沃伦建议道：“勒索软件攻击的增长速度目前正在略有放缓[2022 年底] – 但这将被证明是虚假的黎明。目前，最成功的网络犯罪团队专注于攻击乌克兰的关键基础设施。冲突一结束，所有的技术、工具和资源都将重新部署到勒索软件攻击中——因此组织和民族国家都不能自满。”

欧洲冲突最可能产生的影响之一将是勒索软件的破坏性影响越来越大。这已经开始并将持续到 2023 年。“我们看到更具破坏性的勒索软件攻击在规模上和几乎所有行业类型中都在增加，我们预计这种情况将持续到 2023 年，”FortiGuard Labs 网络安全研究员兼从业者 Aamir Lakhani 评论道.

“勒索软件将继续成为头条新闻，因为攻击变得更具破坏性，威胁行为者会开发新的策略、技术和程序来尝试领先供应商一步，”BlackBerry 高级副总裁兼首席信息安全官 John McClurg 表示同意。

BlackFog 首席执行官兼创始人 Darren Williams 说：“我们预计勒索软件将在 2023 年继续攻击企业，具体来说，我们将看到数据删除的巨大转变，以利用勒索的价值。”

这种数据删除的趋势有两个原因。首先，这是乌克兰动能和相关网络破坏的连锁反应。但其次是勒索软件的性质。请记住，勒索软件只是一种勒索手段。犯罪分子发现数据勒索比通过加密进行系统勒索更有效。CISO LogRhythm 的 Andrew Hollister 更详细地解释了：“到 2023 年，我们将看到勒索软件攻击的重点是破坏数据而不是加密数据。数据损坏比完全加密更快，而且代码更容易编写，因为你不需要处理复杂的公私密钥处理，也不需要提供复杂的解密代码来在受害者付款后扭转损失。由于几乎所有勒索软件运营商都已经进行了双重勒索，这意味着他们会在加密数据之前泄露数据，因此破坏数据而不是进行加密的选择具有很多吸引力。如果数据已损坏且组织没有备份，勒索软件运营商将处于更有利的地位，因为届时组织必须付出代价或丢失数据。”

还应该指出的是，犯罪团伙在窃取数据后造成的破坏越大，他们就越能完全掩盖他们的踪迹。在执法部门越来越注重打击犯罪团伙的时代，这一点变得更加重要。

但还有一个额外的危险可能会摆脱当前的地缘政治局势。卡巴斯基亚太研究和分析团队负责人 Vitaly Kamluk 解释说：“据统计，一些规模最大、影响最大的网络流行病每六到七年就会发生一次。上一次此类事件是臭名昭著的WannaCry勒索软件蠕虫，它利用极其强大的EternalBlue漏洞自动传播到易受攻击的机器。”

卡巴斯基研究人员认为，下一次 WannaCry 发生在 2023 年的可能性很高。“发生这种事件的一个潜在原因，”Kamluk 继续说道，“是世界上最老练的威胁行为者可能至少拥有一个合适的漏洞，而当前的全球紧张局势大大增加了ShadowBrokers式黑客攻击的可能性- 可能会发生泄漏。”

最后，值得一提的是地缘政治局势的一个意想不到的影响：勒索软件集团之间的分裂和品牌重塑。大多数较大的团体都是跨国的——因此不同的成员可能有不同的地缘政治联系也就不足为奇了。孔蒂也许是迄今为止最大的例子。

“2022 年，许多大型集团倒闭了，包括最大的 Conti，”BlueVoyant 数字取证和事件响应负责人 Vincent D'Agostino 评论道。“这个团体在其自身公共关系噩梦的重压下崩溃了，在孔蒂领导层在入侵乌克兰后宣誓效忠俄罗斯后引发了内部冲突。结果， Conti被迫关闭并重新命名。” 乌克兰成员反对并有效脱离，同时泄露孔蒂内部文件。

但这并不意味着勒索软件威胁会减弱。D'Agostino 继续说道：“在崩溃之后，出现了新的和更名的团体。随着领导层和高级分支机构自行罢工、退休或寻求与先前的声誉保持距离，预计这种情况将继续下去。”

Conti 的分裂和 Darkside 的多次品牌重塑成为他们目前的化身，证明了定期品牌重塑在摆脱不必要的关注方面的有效性。“如果这种方法继续流行，宣布自己的新团体的表观数量将急剧增加，而实际上许多是旧团体的碎片或组合。”

精致

网络洞察 2023：犯罪团伙讨论了犯罪团伙日益复杂或专业化的问题。在这里，我们将重点关注这如何影响勒索软件。

RaaS

最明显的是勒索软件即服务的出现。精英团伙通过开发恶意软件然后将其使用出租给第三方分支机构以收取费用或一定比例的回报来增加利润并减少个人风险。他们的成功是如此之大，以至于更多、技能较低的帮派将走上同样的道路。

Deep Instinct 的网络情报工程经理 Matthew Fulmer 解释说：“一开始这很烦人，但现在经过多年的成功发展，这些团伙的运作效率比许多财富 500 强公司都要高。他们更精简、更刻薄、更敏捷，我们将看到更多人加入这一潮流，即使他们不像他们的犯罪伙伴那样先进。”

较不先进的团体和 RaaS 的所有附属机构，很可能会受到执法部门的打击。英特尔 471 高级威胁情报分析师 Beth Allen 评论道：“执法机构和勒索软件附属机构之间很可能会不断发生争斗。这将是经验丰富/更成熟的勒索软件分支机构或具有新颖想法的新勒索软件组织。就像打地鼠一样，RaaS 组织会浮出水面，进行攻击，被击落，或者他们的运营受到 LEA 的影响——然后安静下来，只会在未来重新浮出水面。我们观察到的犯罪组织内部的不稳定也将是导致团体衰落和其他人浮出水面填补空白的一个因素。”

改变策略

随着防御者越来越擅长防御勒索软件，攻击者只需改变他们的策略即可。SANS 新兴安全趋势总监 John Pescatore 举了一个例子：“许多攻击者会选择更容易、更不引人注目的路径来获取相同的关键数据。我们将看到更多攻击以备份为目标，这些备份较少受监控，可以提供对数据的持续访问，并且可能不太安全或来自被遗忘的旧文件。”

GuidePoint 的首席分析师德鲁·施密特 (Drew Schmitt) 看到了越来越多地使用已经奏效的方法，并加大了规避执法的力度。他建议道：“勒索软件组织可能会继续利用常用应用程序（例如 Microsoft Exchange、防火墙设备和其他广泛使用的应用程序）中的关键漏洞来改进其操作。使用Atera、Splashtop和 Syncro等合法远程管理工具可能会继续成为隐蔽行动的可行来源，同时为威胁行为者提供持续访问权限。”

但是，他继续说道，“勒索软件‘品牌重塑’可能会呈指数增长，以混淆勒索软件操作，并使安全研究人员和防御者更难跟上混合策略。”

Warren 预计犯罪勒索软件攻击将集中在规模较小、防御较差的组织。“国家行为者仍将追捕像 NHS 这样实施强大防御的大型机构；但有许多中小型公司在保护方面的投资较少，技术技能有限，并且发现网络保险价格昂贵——所有这些都使他们很容易成为攻击目标。”

这部分是由于大型组织更好的防御措施，部分是因为不那么复杂的勒索软件分支机构的涌入。“我们可以预料到规模较小的攻击，资金较少，但目标范围更广。这种趋势可能会对教育提供者造成沉重打击：教育已经是最有可能成为目标的行业。”

他举了一个英国的具体例子。“英国的每一所学校都被要求加入一个多学院信托基金，学校团体将对自己负责。伴随着这种变化而来的是巨大的脆弱性。这个学校“网络”将成为勒索软件攻击的主要目标；它们相互连接，不太可能具有抵御攻击的弹性或能力。他们可能别无选择，只能重新分配有限的资金来支付赎金要求。”

但它不会只是更加相同。更专业的攻击者将导致新的攻击技术。卡巴斯基高级安全研究员 Konstantin Zykov 举了一个例子：无人机的使用。“明年，我们可能会看到大胆的攻击者变得善于混合物理和网络入侵，使用无人机进行近距离黑客攻击。”

他描述了一些可能的攻击场景，例如，“用足够的工具安装无人机，允许收集用于离线破解 Wi-Fi 密码的 WPA 握手，甚至在限制区域放置恶意 USB 密钥，希望路人捡到他们把它们插到机器上。”

Darktrace Federal 的首席执行官 Marcus Fowler 认为，现有的勒索软件剧本将导致云目标的增加。“这本剧本的一部分是跟踪数据以最大化投资回报率。因此，随着云的采用和依赖持续激增，我们很可能会看到在勒索软件场景中启用云的数据泄露代替加密的情况有所增加，”他说。“第三方供应链为那些有犯罪意图的人提供了更多的藏身之地，而针对云提供商而不是单个组织，攻击者可以从中获利更多。”

逃避和持久性是将扩展到 2023 年的其他特征。“我们继续看到可以逃避典型安全堆栈的技术的出现，例如HEAT（高规避自适应威胁）攻击，”Menlo 网络安全战略高级主管 Mark Guntrip 说. “这些策略不仅在欺骗传统的企业安全措施，而且在诱使员工落入陷阱方面也越来越成功，因为他们找到了通过不那么可疑的方式（比如通过浏览器）交付勒索软件来显得更合法的方式。”

持久性，即较长的停留时间，也将在 2023 年增加。“威胁参与者将开始利用更谨慎的技术来获利，而不是公然威胁组织，”Onapsis 的首席技术官 JP Perez-Etchegoyen 评论道。“像 Elephant Beetle 这样的威胁组织已经证明，网络犯罪分子可以进入关键业务应用程序，并且几个月甚至几年都不会被发现，同时悄悄地窃取数千万美元。”

Skybox 高级技术总监 David Anteliz 对 2023 年做出了具体的持久性预测：“到 2023 年，我们预测将发现一个主要的威胁组织已经驻留在财富 500 强公司的网络中数月甚至数年，虹吸电子邮件和不留痕迹地访问关键数据。只有当威胁组织威胁要将敏感信息带入暗网时，这些组织才会发现他们的数据已被访问。”

2023 年打击勒索软件

勒索软件及其衍生产品的影响在好转之前会继续恶化。除了现有帮派的日益复杂之外，还有一个新的主要威胁——恶化的经济状况将在 2023 年产生全球影响。

首先，随着组织寻求降低人员成本，大量网络主管人员将被解雇。这些人仍然需要为自己和家人谋生——从这个更大的人群中，RaaS 提供的简单途径可能会吸引比平时更多的守法人士。仅此一项就可能导致新的想成为罪犯的勒索软件攻击水平上升。

其次，公司将倾向于在减少人员配置水平的基础上减少安全预算。Code42 的 CIO 和 CISO Jadee Hanson 警告说：“一旦开始出现经济不确定性的传言，谨慎的 CFO 将开始寻找削减多余开支的领域，以保持公司领先地位。” “对于不知情的最高管理层来说，网络安全支出有时被视为一项额外支出，而不是一项有助于保护公司声誉和底线的基本业务职能。”

她担心这可能会在勒索软件攻击增加的时期发生。“这些组织可能会试图通过减少对网络安全工具或人才的投资来削减开支——这实际上会降低他们公司正确检测或防止数据泄露的能力，并使它们面临潜在的灾难性后果。”

Immersive Labs 人类科学主管 Bec McKeown 提倡的一种方法是将剩余员工视为人类防火墙。她说：“我相信，到 2023 年，企业将认识到，他们的安全性和弹性取决于他们的员工，而不是他们的技术。只有支持优先考虑福祉、学习和发展的举措以及定期的危机演习，组织才能更好地为未来做好准备。”

如果做得正确，她相信这可以通过资源和成本效益的方式实现。“在危机期间——比如网络安全漏洞——采用心理方法来应对人为驱动的反应，从长远来看，将确保组织表现得更好。”

但也许对勒索软件最显着的反应需要来自政府，尽管单靠执法机构不会削减它。LEA 可能知道肇事者，但无法起诉受敌对国家“保护”的罪犯。LEA 可能能够拆除犯罪基础设施，但犯罪团伙只会转移到新的基础设施。例如，星际文件系统 ( IPFS )提供的有效防弹托管将越来越多地被网络犯罪分子滥用。

阻止勒索软件/勒索的唯一方法是阻止其获利——如果犯罪分子不获利，他们就会停止这样做并尝试一些不同的东西。但这并不容易。到 2022 年底，在Optus和Medibank发生重大事件后，澳大利亚正在考虑将赎金支付定为非法——但困难已经显而易见。

随着勒索软件变得更具破坏性，支付或不支付可能变得至关重要。这将鼓励公司拒绝攻击，这将使被盗 PII 的受害者在不知不觉中处于危险之中。任何免于禁令的部门都将背负一个大目标。

虽然众所周知，许多外国政府正在或已经考虑禁止支付赎金，但这在美国不太可能发生。在一个党派分明的政治时代，共和党的实力——其理念是政府对商业的干预最少——将使之成为不可能。

最后，这取决于我们每个人……

最终，击败勒索软件将取决于各个组织自身的网络防御——而这在 2023 年将比以往任何时候都更加困难。“勒索软件继续针对所有垂直行业和地区，新的勒索软件卡特尔不断涌现。最大的挫折在于这是一个可以解决的问题。”

他相信有办法阻止恶意软件的传播，也有办法阻止它的执行。“有办法在和平时期做好准备，而不是在当下恐慌，但大多数公司并没有这样做。最可悲的是，金字塔底部的小型企业和安全贫困线以下的企业缺乏准备。受害者无法为解决问题付出代价。当他们这样做时，他们会因为这样做而反复受到打击。攻击者知道风险方程在一次攻击和下一次攻击之间没有改变，防御也没有改变。”

编译自：安全周刊