根據(jù)云計(jì)算安全供應(yīng)商Akamai公司日前發(fā)布的一份研究報(bào)告，零日漏洞和單日漏洞的使用導(dǎo)致勒索軟件受害者總數(shù)在2022年第一季度至2023年第一季度增加了143%。該公司發(fā)布的這份名為《移動(dòng)中的勒索軟件：利用技術(shù)和對(duì)零日漏洞的積極追蹤》報(bào)告基于從大約90個(gè)不同的勒索軟件組織的泄露網(wǎng)站收集的數(shù)據(jù)，概述了勒索軟件威脅行為者不斷演變的策略。

除了強(qiáng)調(diào)漏洞濫用的顯著增長(zhǎng)之外，該報(bào)告還發(fā)現(xiàn)，勒索軟件組織越來越多地以文件泄露為目標(biāo)，即未經(jīng)授權(quán)提取或傳輸敏感信息，這已經(jīng)成為勒索攻擊贖金的主要來源。更重要的是，根據(jù)該報(bào)告，多次勒索軟件攻擊的受害者在第一次攻擊后的三個(gè)月內(nèi)遭受第二次攻擊的可能性幾乎是遭受第一次攻擊的六倍，小型企業(yè)被勒索軟件攻擊的風(fēng)險(xiǎn)更高。

勒索軟件仍然是企業(yè)面臨的最大、最危險(xiǎn)的攻擊威脅之一。在2023年第二季度，思科Talos事件響應(yīng)(IR)團(tuán)隊(duì)對(duì)一年多來發(fā)生最多的勒索軟件事件做出了回應(yīng)。同樣，最新的ReliaQuest勒索軟件和數(shù)據(jù)泄露勒索報(bào)告表明，今年第二季度勒索軟件活動(dòng)大幅增加。該研究報(bào)告表明，今年第二季度被勒索軟件數(shù)據(jù)泄露網(wǎng)站命名的受害者數(shù)量創(chuàng)下歷史新高，與上一季度相比增加了540名受害者。

勒索軟件組織轉(zhuǎn)向零日攻擊

一些勒索軟件組織正在將他們的攻擊技術(shù)從網(wǎng)絡(luò)釣魚轉(zhuǎn)向更加重視的漏洞濫用，這在范圍和復(fù)雜程度上都有了相當(dāng)大的增長(zhǎng)。報(bào)告補(bǔ)充說，黑客組織利用漏洞的方法也變得更加激進(jìn)，例如通過內(nèi)部開發(fā)零日攻擊和漏洞賞金計(jì)劃。有證據(jù)表明，越來越多的人愿意為利用漏洞的機(jī)會(huì)支付費(fèi)用，無論是付費(fèi)給其他黑客尋找可用于攻擊的漏洞，還是通過初始訪問代理(IAB)獲得對(duì)目標(biāo)的訪問權(quán)。Akamai公司表示，盡管利用零日漏洞并不是什么新鮮事，但值得注意的是，勒索軟件組織正在尋找或研究漏洞，并大規(guī)模地濫用它們來危害數(shù)百甚至數(shù)千個(gè)企業(yè)。

該報(bào)告稱，臭名昭著的勒索軟件組織CL0P最近表現(xiàn)出積極追求內(nèi)部零日漏洞的實(shí)現(xiàn)和開發(fā)。事實(shí)證明，這是一個(gè)成功的策略，CL0P的受害者數(shù)量在12個(gè)月內(nèi)增長(zhǎng)了9倍。

LockBit在勒索軟件攻擊領(lǐng)域占據(jù)主導(dǎo)地位

研究表明，LockBit在勒索軟件攻擊領(lǐng)域占據(jù)主導(dǎo)地位，占受害者總數(shù)的39%(1091名受害者)。這是排名第二的勒索軟件組織ALPHV受害者數(shù)量的三倍多。報(bào)告稱，在勒索軟件領(lǐng)域領(lǐng)先者Conti缺席的情況下，LockBit的攻擊數(shù)量大幅增長(zhǎng)。LockBit獲得的成功是由于其功能的增強(qiáng)，包括在最新的3.0版本中引入了新技術(shù)，例如漏洞賞金計(jì)劃和使用Zcash加密貨幣作為支付模式。

Akamai公司在研究中發(fā)現(xiàn)，為了對(duì)受害者施加更大的壓力，LockBit背后的攻擊者開始聯(lián)系受害者的客戶，向他們通報(bào)攻擊事件，并采用三重勒索策略，包括分布式拒絕服務(wù)(DDoS)攻擊。

勒索軟件組織優(yōu)先考慮文件泄露

勒索軟件組織越來越多地針對(duì)文件泄露，而這是勒索贖金的主要來源。正如最近對(duì)GoAnywhere和MOVEit的利用所表明的那樣。勒索軟件攻擊者試圖最大限度地獲得贖金，同時(shí)最大限度地減少和現(xiàn)代化他們的努力，采用許多不同的勒索策略來恐嚇受害者支付贖金。報(bào)告稱，勒索軟件攻擊者在數(shù)據(jù)盜竊勒索方面取得了更大的成功，而不僅僅是對(duì)目標(biāo)文件進(jìn)行加密。Akamai公司表示，這凸顯了一個(gè)事實(shí)，也就是文件備份解決方案雖然對(duì)文件加密有效，但已不再是一種有效的策略。

勒索軟件受害者可能很快面臨后續(xù)攻擊

根據(jù)Akamai公司發(fā)布的這份研究報(bào)告，一旦受到勒索軟件的攻擊，企業(yè)很快就會(huì)面臨第二次攻擊的更高風(fēng)險(xiǎn)。報(bào)告稱，事實(shí)上，被多個(gè)勒索軟件組織攻擊的受害者在前三個(gè)月內(nèi)遭受后續(xù)攻擊的可能性幾乎是遭遇第一次攻擊之后的六倍。該公司表示，當(dāng)受害的一家企業(yè)忙于修復(fù)最初的攻擊時(shí)，其他勒索軟件組織(可能會(huì)掃描潛在目標(biāo)并監(jiān)控競(jìng)爭(zhēng)對(duì)手的活動(dòng))也可能利用這一機(jī)會(huì)攻擊這家公司。

Akamai公司警告說，遭受勒索軟攻擊并支付贖金也不能保證企業(yè)的安全，與其相反，它增加了被同一個(gè)或多個(gè)勒索軟件組織再次攻擊的可能性。如果受害企業(yè)沒有關(guān)閉其外圍的漏洞/修復(fù)攻擊者第一次破壞其網(wǎng)絡(luò)時(shí)濫用的漏洞，那么很可能會(huì)再次被利用。此外，如果受害者選擇支付贖金，他們可能會(huì)被同一組織和其他人視為潛在的目標(biāo)。

規(guī)模較小的企業(yè)面臨更高的勒索軟件風(fēng)險(xiǎn)

報(bào)告指出，企業(yè)的規(guī)模和收入在當(dāng)前的勒索軟件攻擊趨勢(shì)中也起著一定的作用。有一種假設(shè)認(rèn)為，收入更高的大型企業(yè)比其他企業(yè)更有可能成為目標(biāo)，因?yàn)樗鼈兲峁└叩幕貓?bào)，因此是更誘人的目標(biāo)。然而，Akamai公司對(duì)受害者收入的分析表明了不同的情況。報(bào)告稱，收入在5000萬美元以下的企業(yè)最容易成為勒索軟件攻擊的目標(biāo)(65%)，而收入在5億美元以上的企業(yè)僅占受害者總數(shù)的12%。

Akamai公司推測(cè)，收入較低的企業(yè)更容易受到勒索軟件攻擊，是因?yàn)樗麄兊倪\(yùn)營環(huán)境更容易滲透，而對(duì)抗勒索軟件危害的安全資源有限。與此同時(shí)，他們更有可能支付贖金，以避免業(yè)務(wù)中斷和可能的收入損失。

制造業(yè)受影響最大，金融服務(wù)業(yè)遭受的攻擊增加

該報(bào)告將制造業(yè)列為受勒索軟件攻擊影響最多的垂直行業(yè)(20%)，其次是商業(yè)服務(wù)(11%)和零售業(yè)(9%)。然而，金融服務(wù)機(jī)構(gòu)受影響的業(yè)務(wù)總數(shù)同比增長(zhǎng)了50%。雖然這些調(diào)查發(fā)現(xiàn)并不一定表明制造業(yè)遭受的勒索軟件攻擊比其他行業(yè)更多，但勒索軟件攻擊者顯然在針對(duì)該行業(yè)方面取得了成功。與此同時(shí)，商業(yè)服務(wù)在勒索軟件受害者名單中排名第二，凸顯了供應(yīng)鏈攻擊的可能性。

勒索軟件的緩解措施必須像攻擊一樣多樣化

如今的勒索軟件攻擊是多方面的，其中包括許多階段和戰(zhàn)術(shù)。Akamai公司因此表示，勒索軟件的預(yù)防和緩解必須跨越幾種不同的方法和產(chǎn)品。為有效減輕勒索軟件的威脅，企業(yè)應(yīng)該：

• 采用多層網(wǎng)絡(luò)安全方法，在不同的勒索軟件攻擊階段和各種威脅環(huán)境中應(yīng)對(duì)威脅。
• 使用網(wǎng)絡(luò)映射和分段來識(shí)別和隔離關(guān)鍵系統(tǒng)，并限制對(duì)這些系統(tǒng)的網(wǎng)絡(luò)訪問。這限制了任何惡意軟件的橫向移動(dòng)。
• 更新所有軟件、固件和操作系統(tǒng)的最新安全補(bǔ)丁。這有助于減少勒索軟件可能利用的已知漏洞。
• 維護(hù)關(guān)鍵數(shù)據(jù)的定期離線備份，建立有效的災(zāi)難恢復(fù)計(jì)劃。這確保了快速恢復(fù)運(yùn)營的能力，并將勒索軟件事件的影響降至最低。
• 制定并定期測(cè)試事件響應(yīng)計(jì)劃，概述在發(fā)生勒索軟件攻擊時(shí)應(yīng)采取的步驟。該計(jì)劃應(yīng)包括明確的溝通渠道、角色和責(zé)任，以及讓執(zhí)法部門和網(wǎng)絡(luò)安全專家參與的流程。
• 定期開展網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，教育員工了解網(wǎng)絡(luò)釣魚攻擊、社交工程和勒索軟件威脅行為者使用的其他常見載體。企業(yè)應(yīng)該鼓勵(lì)員工及時(shí)報(bào)告可疑活動(dòng)。這種網(wǎng)絡(luò)安全意識(shí)培訓(xùn)應(yīng)該擴(kuò)展到與現(xiàn)場(chǎng)供應(yīng)商合作以及與企業(yè)系統(tǒng)遠(yuǎn)程交互的政策和程序。所有廠商和供應(yīng)商在進(jìn)入站點(diǎn)或系統(tǒng)之前也應(yīng)該接受這一培訓(xùn)。