X

头号威胁:2020年勒索软件重装上阵

2020年,热度飙升的勒索软件已经成为与APT并列的最危险的网络安全威胁。针对性、复杂化和高伤害成本是2020年勒索软件加速“进化”的三大特征。


重装上阵


过去一年中业界多家安全厂商对勒索软件监测发现:勒索软件在陷入一段时间低潮后,已经全面恢复活力,攻击势头上升,频率也在增加。

Juniper Network威胁实验室负责人Mounir Hahad指出了勒索软件攻击再次激增的两大深层原因:首先,加密货币价格的变化无常。很多加密货币劫持者都利用受害者电脑挖掘开源加密货币门罗币(Monero);随着门罗币价格的下跌,某个时候,加密货币劫持者就会意识到挖矿还不如勒索软件攻击赚钱。而由于已经在受害者主机上植入了木马下载器,加密货币劫持者就很容易在时机合适的时候发起勒索软件攻击。

刺激勒索软件卷土重来的另一大趋势就是企业级攻击的高收益。越来越多的攻击针对载有任务关键数据的生产服务器。Hahad称:

一台笔记本被锁定,企业不会太过重视。但如果是关系到日常业务生产的多台服务器被劫持,勒索者的议价空间就太大了。

多年来,勒索软件攻击已经日趋成熟,技术上日趋隐蔽和复杂,同时修复了早期迭代所存在的许多实现错误。与冠状病毒类似,一度被“免疫系统”(端点安全软件)扼制的勒索软件近年来通过与流行的数据泄露软件“载体”结合产生了新的“商业模式”和攻击矢量,与此同时自身代码和变体也在不断进化,例如过去主要感染Windows系统,而新一代勒索软件对Mac OS系统、移动操作系统甚至工控系统都形成威胁,“传染性”大大提升。


目标转移:从个人转向企业


勒索软件最初是作为一种面向个人消费者的安全威胁,这些攻击曾经诱使人们支付虚假罚款或购买流氓软件来解决不存在的问题。尽管早期的攻击活动对网络犯罪团伙证明是有利可图的,但“2C勒索软件市场”变得过于拥挤。而且随着个人防病毒软件公司提高了勒索软件的检测能力,通过网络传播以吸引尽可能多的受害者的方法收益越来越差。

广撒网式战术无法给攻击者带来太多投资回报。具备良好横向移动能力的针对性攻击才能满足此类攻击者的高投资回报需求,而大多数情况下,横向移动可不是能够靠脚本或机器人程序自动实施的。夺取最初的入侵立足点之后,攻击者得人工探查受害网络,移动文件,提升权限,获取管理员凭证,以便远程入侵另一台机器。

Malwarebytes2019年8月发布的报告显示,2018年第四季度开始,企业端的勒索软件攻击暴增,而面向个人的攻击则呈下降趋势。安全公司Malwarebytes指出:

勒索软件这个一度休眠的危险物种,已经大范围地恢复了生命力,攻击活动从大规模的消费者活动转变为高度威胁的活动,尤其是面向企业的针对性手工攻击,该趋势与永恒之蓝漏洞利用有关。

由于永恒之蓝(EternalBlue)漏洞的存在,如今勒索软件攻击一家企业的难度已经极大降低,永恒之蓝是2017年3月曝出的微软服务器消息块(SMB)协议漏洞,影响了所有版本的Windows。该漏洞也成了WannaCry、NotPetya和其他勒索软件蠕虫通过公司网络传播的主要方法。

WannaCry和NotPetya的破坏性爆发凸显了企业安全的重要性和脆弱性。过去,人们认为这些拥有强大安全团队的公司黑客很难闯入,但是勒索软件轻松就突破了传统安全防线,攻击规模和破坏力巨大,不是因为配置错误,而是因为没有及时打补丁。

勒索软件的“成功案例”掀起一股“挣钱效应”,很多网络犯罪分子意识到,攻击企业更加有利可图。

影响和损失难以评估


由于并非所有的私营公司都会披露勒索软件事件,因此就成本和普遍性而言,难以量化勒索软件攻击对商业领域的影响。

在2019年10月发布的警报中,FBI的互联网犯罪投诉中心(IC3)警告说:

自2018年初以来,“泛攻击”的勒索软件活动发生频率急剧下降,但勒索软件攻击造成的损失却显著增加。

IC3认为:

即使攻击的总体频率保持一致,勒索软件攻击也变得更有针对性,更复杂且造成的损失更大。

上市公司有时会在其证券交易委员会(SEC)的文件中发布有关勒索软件攻击的影响的信息,因为这是其向股东披露重大网络攻击的义务的一部分,尤其是当公司需要向客户和合作伙伴解释严重业务中断时。

例如,由于2017年NotPetya勒索软件的袭击,运输巨头马士基(Maersk)不得不在17个港口码头暂停运营,这导致大量货船排队等候货物装载和后勤噩梦,需要数月的时间才能恢复。该事件使公司损失了超过2亿美元,但同时也严重影响了客户的业务。

当勒索软件袭击市政机构、医院、学校或警察部门等公共机构时,其社会影响更大,而目前获得的统计数字也令人担忧。根据安全公司Emsisoft于2019年12月发布的勒索软件攻击损失报告:

2019年全年,勒索软件在美国攻击了113个政府机构,市政当局和州政府。波及764位医疗保健提供者以及89个大学、学院和学区,其中有多达1,233所学校。

由于预算有限,IT基础架构过时,公共机构的安全防御等级无法与大公司相比,更容易成为攻击者的目标。

不亚于APT的新威胁


勒索软件是少有的、能同时攻击财富500强企业和邻居大爷大妈的网络威胁。

因此,虽然最新的趋势显示公共机构更容易成为攻击目标,但对于私营公司而言,感染勒索软件的风险并不会降低。在过去的几年中,勒索软件犯罪组织采用了复杂的技术,包括针对性的交付机制,以及采用高级持续威胁(APT)技术的“手动攻击”,例如SamSam。

SamSam是一个可追溯到2016年的勒索软件程序,它以“高效率的手动攻击”部署而闻名,但是在过去的一年中,如Ryuk、RobinHood和Sodinokibi这些新的勒索软件组织也采用了类似的策略。

此外,有迹象表明,勒索软件正在演变成一种新型威胁,网络犯罪分子不仅在加密数据,而且还在窃取数据并威胁要在互联网上发布数据。这使组织面临破坏性的公共数据泄露以及相关的法规、财务和声誉影响。

2019年12月,一个名为Maze的黑客组织扬言如果组织拒绝支付赎金将公布通过勒索软件窃取的数据。受害者包括佛罗里达州彭萨科拉市,该市在12月7日遭到袭击,其电话、市政热线、电子邮件服务器和账单支付系统遭到破坏。

其他黑客团体已将数据泄漏用作勒索技术。2015年,针对消费者的勒索软件程序Chimera曾威胁要发布从受害者那里窃取的私人信息。但这只是一个虚假恐吓,Chimera实际上并未从受感染的系统中窃取任何数据。

多年来,网络罪犯扬言公开被盗信息的许多威胁被证明是虚假的,因为窃取大量数据并不是一件容易的事情,黑客需要能够接收和存储数百TB数据的大规模基础架构。但是,云基础架构的兴起使这些攻击变得更加可行,这种云架构更容易维护,且存储和数据流量成本更低。

在2019年12月下旬,Maze组织发布了他们声称被盗的部分数据,以证明他们确实拥有从受害者那里窃取的潜在敏感信息。他们的第一个网站托管在爱尔兰的ISP上,但该网站已被撤下,但是不久之后,他们又通过位于新加坡的另一个网站重新上线。

安全专家Kujawa认为:

这是这种勒索软件威胁出乎意料的演变。可以肯定的是,它确实使罪犯更多地暴露了出来,但这也是一种施加压力的有效方法。它利用了媒体的力量。

Kujawa认为,勒索软件团伙可能会越来越多地采取这种策略,因为随着越来越多的组织学习如何处理勒索软件并制定可靠的数据恢复计划,犯罪分子可能会发现仅通过锁定文件来从他们那里获取金钱变得更加困难。

新的攻击方法


勒索软件的主要分发渠道和方法仍然是鱼叉式网络钓鱼和不安全的远程桌面协议(RDP)连接。但值得注意的是,勒索软件攻击者还可以通过与其他恶意软件或者攻击者“业务合作”来访问那些感染了其他恶意软件的系统。勒索软件攻击者可以从地下网络黑市(暗网市场)购买被黑客入侵的计算机和服务器的访问权,而僵尸网络也提供付费“投放”业务。例如, Emotet垃圾邮件僵尸网络,TrickBot凭据窃取木马和Ryuk勒索软件之间的“协作共生”关系是众所周知的。

托管安全服务提供商Secureworks的安全研究员Chris Yule在11月的DefCamp会议上的演讲中说:

Ryuk勒索软件事件的最初危害几乎总是通过主流恶意软件引起的。我们看到Emotet导致了TrickBot感染,随着时间的流逝,我们看到其中一些TrickBot感染导致了Ryuk的传播。

根据Yule的说法,Trickbot正在进行自动凭证盗窃的正常活动,但是一旦Ryuk运营商接手,一切都会改变。该活动变得更加“手动化”,涉及使用系统管理工具、网络扫描、使用PowerShell Empire之类的公共攻击框架来禁用端点恶意软件检测等等。攻击者需要花时间学习环境、确定域控制器和其他重要目标,并为大规模勒索软件的袭击做好准备,同时努力保持未被检测到,这其实是APT组织的一种常见策略。

好消息是,在最初的Emotet感染与Ryuk部署之间,公司通常可以在很长一段时间窗口内检测并处理感染。在Yule给出的案例中,该期限为48天。

坏消息是,如果没有更先进的网络和系统监视工具,基于常规的安全策略来检测这种类型的手动黑客攻击和横向移动并不容易。这意味着,尚未具备APT防御能力的组织可能会更容易遭受勒索软件和其他复杂的网络犯罪攻击的打击。

某些勒索软件组织在过去的一年中采用的另一个有趣的感染媒介是托管服务提供商(MSP),这些提供商凭借其提供的服务而有权访问其许多企业的网络和系统。这带来了一个问题,因为中小型组织将其网络和安全管理外包给专业的供应商,因此,对于中小型企业来说,需要采取措施评估和限制受信任的第三方企业或工具,防止此类内部威胁造成严重损失(编者按:试想一下微盟删库事件的主角是一个勒索软件黑客组织而不是一个情绪不稳的运维人员)。

此外,使用Web漏洞利用工具包来针对企业和部署勒索软件(尤其是RIG漏洞利用工具包)的现象再次流行。这些是通过受攻击的网站发起的水坑攻击,攻击者知道这些攻击与某些业务部门有关,或者有可能被其目标员工访问。

难以破解的勒索软件加密


安全公司一直试图在勒索软件程序的文件加密实现中发现漏洞,以帮助受害者在不支付赎金就能恢复被加密的文件。这些解密工具通常是免费发布的,可以在欧洲刑警组织维护的这个网站NoMoreRansom.org上获得。

但是,勒索软件组织使用的勒索软件程序在技术上进步很快,攻击者从过去的错误或其他勒索软件开发人员的错误中吸取了教训,并纠正了实施错误。

一些勒索软件程序的代码已在线泄漏,可以复制和改进。操作系统还提供了加密API,并且有经过严格审查的开源加密框架和库。所有这些意味着,最流行的勒索软件程序也是最危险的,因为它们使用强大的加密算法并且没有解决方案。

对于组织而言,制定备份计划和定期测试的数据恢复计划至关重要,采用异地备份或离线存储,以防止攻击者将其删除或加密。

勒索软件防御


常规的勒索软件防御措施大致有以下几点:

安全加固

首先,组织应该通过执行内部和外部渗透测试并确定暴露于互联网的任何潜在易受攻击的系统、服务器和网络远程连接(例如VPN或RDP)。启用高熵密码(消灭弱密码)和双因素身份验证(2FA)。

在网络内部,公司应确保端点和服务器的操作系统和所运行软件的补丁程序是最新的。应根据最小特权原则对网络进行分段,以使一个部门中的工作站受到损害不会轻易导致整个网络被接管。在Windows网络上,应仔细监视域控制器是否存在异常访问。

供应链安全

依赖MSP或受管安全服务提供商(MSSP)的组织应确保监视和记录了来自这些第三方的连接,并且启用了双因素认证。提供给第三方的网络和系统访问权限应仅限于执行其工作所需的内容(最小化权限策略)。

资产发现

企业应当尽快建立对业务运营至关重要的数据资产的完整清单,存储资产清单的系统应严格控制。

端点防护

由于许多勒索软件感染都是从受感染的工作站开始的,因此使用端点反恶意软件非常重要。从浏览器中删除不需要的插件和扩展,保持软件为最新,并确保员工帐户具有有限的特权也是如此。

意识培训

培训员工如何发现网络钓鱼电子邮件,以及如何询问要求他们打开文件或单击链接的不请自来的邮件。创建一个由安全团队监控的特殊电子邮件地址,员工可以在其中转发他们认为可疑的电子邮件。

事件响应

最后,起草事件响应计划,并确保每个相关人员都知道自己的角色,以及一旦发生侵害时需要采取的措施,包括与您的安全供应商或MSSP以及执法部门如何进行沟通。不要轻视常规恶意软件感染,彻底调查它们,因为它们可能并且经常是更严重威胁的勒索软件的入侵媒介。

最佳实践框架

2020年2月,美国国家标准技术研究院(NIST)发布了有关处理勒索软件最佳实践的两项实践准则草案。准则草案名为“数据完整性:识别和保护资产免遭勒索软件和其他破坏性事件”和“数据完整性:检测和响应勒索软件和其他破坏性事件”。该草案预计在2020年下半年发布将最终指南。