2023年關(guān)于勒索軟件攻擊的支付額達(dá)到11億美元，創(chuàng)歷史新高，是2022年的兩倍。根據(jù)Chainanalysis的一份報告，攻擊的頻率、范圍和數(shù)量都有所增加，進(jìn)行攻擊的獨(dú)立組織的數(shù)量也有所增加。

ReliaQuest的高級網(wǎng)絡(luò)威脅情報分析師Chris Morgan告訴記者：“我們現(xiàn)在追蹤的組織比過去多了幾十個。許多這樣的組織從一次行動中吸取經(jīng)驗，在行動的背后開始自己的行動，通常是在執(zhí)法活動之后?！盡organ說，隨著更多的商業(yè)活動在網(wǎng)上進(jìn)行，勒索軟件攻擊的潛在受害者也更多，此外，在一些國家，執(zhí)法部門的管轄權(quán)有限，出現(xiàn)團(tuán)體的機(jī)會很少。

每筆支付的金額也在上升，超過75%的支付總額為100萬美元或更多——高于2021年的一半多一點。去年唯一的亮點是，更多的受害者拒絕支付贖金，轉(zhuǎn)而從備份中恢復(fù)。根據(jù)Coveware的數(shù)據(jù)，2023年第四季度，只有29%的受害者支付了欠款，創(chuàng)歷史新低，低于2019年的85%。同樣，來自Corvus Insurance的網(wǎng)絡(luò)保險索賠數(shù)據(jù)顯示，只有27%的受害者支付了贖金。

網(wǎng)絡(luò)釣魚仍然是網(wǎng)絡(luò)攻擊的首要方式

網(wǎng)絡(luò)釣魚仍然是勒索軟件攻擊的頭號攻擊媒介。ReliaQuest的Morgan說：“勒索軟件組織通過多種方式促進(jìn)最初的訪問，社交攻擊是我們最常見到的一種方式，主要是網(wǎng)絡(luò)釣魚和魚叉式釣魚?！?/p>

根據(jù)2月發(fā)布的IBM X-Force威脅情報報告，在所有勒索軟件攻擊中，30%的初始訪問媒介是釣魚電子郵件。受攻擊的帳戶并列第一，也是30%，緊隨其后的是應(yīng)用程序漏洞攻擊，占29%。

盡管進(jìn)行了所有的釣魚模擬和安全意識培訓(xùn)，但用戶在發(fā)現(xiàn)釣魚電子郵件方面似乎并沒有變得更好。同樣在2月份發(fā)布的Fortra的全球網(wǎng)絡(luò)釣魚基準(zhǔn)報告顯示，10.4%的用戶點擊了釣魚郵件，而一年前這一比例為7%，而且，在那些點擊的人中，60%的人交出了他們進(jìn)入惡意網(wǎng)站的密碼。

Cohesiity的CISO和IT主管Brian Spswick說：“我認(rèn)為培訓(xùn)計劃行不通，我們每季度都會進(jìn)行釣魚模擬，但我的百分比保持不變——而且沒有關(guān)于誰點擊了和沒有點擊的模式?，F(xiàn)在，隨著AI使社交攻擊變得如此聰明，我的信心甚至更低了。”

Spswick說，盡管用戶接受了網(wǎng)絡(luò)安全方面的培訓(xùn)，并警告說會發(fā)生網(wǎng)絡(luò)釣魚模擬，但仍有17%的用戶點擊?！拔覀円呀?jīng)這樣做了幾年，而且看起來很穩(wěn)定，就在那里。在我之前的公司，情況是一樣的，而且行業(yè)標(biāo)準(zhǔn)也是一樣的?！? 解決方案是建立控制措施，從一開始就阻止這些電子郵件通過，并在它們通過時限制其影響，例如，不允許人們在其筆記本電腦上擁有管理權(quán)限，不允許他們下載視頻游戲或連接存儲設(shè)備，以及確保環(huán)境是分段的。

基于AI的網(wǎng)絡(luò)釣魚

社會攻擊的日益復(fù)雜是一個特別令人擔(dān)憂的問題。Spswick說，他看到AI產(chǎn)生的釣魚嘗試明顯增加，或者，至少很可能是AI。他說：“他們可能雇傭了更好的英語專業(yè)學(xué)生，并閱讀了這位首席執(zhí)行官的大量新聞稿，以了解他的語氣，他們使用GenAI的可能性要大得多?！?/p>

根據(jù)IBM X-Force的數(shù)據(jù)，一封人工制作的釣魚郵件平均需要16個小時才能創(chuàng)建，相比之下，AI可以在5分鐘內(nèi)生成一個欺騙性的網(wǎng)絡(luò)釣魚。

曾經(jīng)有一段時間，釣魚電子郵件相對容易被發(fā)現(xiàn)，F(xiàn)ortitude Re的CISO Elliott Franklin表示，該公司為其他保險公司提供保險?！斑^去，你只需要查找拼寫錯誤的單詞?！爆F(xiàn)在，壞人們正在使用AI來創(chuàng)建這些消息——而改進(jìn)遠(yuǎn)遠(yuǎn)不止擁有完美的語法。

Franklin說：“他們正在使用AI來檢查LinkedIn，當(dāng)有人換工作時，他們會及時獲知，然后他們給他們發(fā)一封電子郵件，歡迎他們，來自該公司的首席執(zhí)行官?！彼麄冋诎l(fā)送完美的電子郵件，要求員工重新驗證他們的多因素身份驗證，他說?；蛘咭笏麄兒炇鸺傥募辛薌enAI，電子郵件看起來絕對真實。

此外，當(dāng)你加上所有這些被泄露的賬戶時，返回的電子郵件地址也可能是完全真實的。“我們的大多數(shù)用戶每天都會收到幾百封電子郵件，”Franklin說，“所以，你不能責(zé)怪他們點擊這些鏈接?！?/p>

AI并不只是讓攻擊者完美地模仿高管的寫作風(fēng)格。今年1月，在一次視頻電話會議上，一位虛偽的首席財務(wù)官說服了香港的一名金融工作者，讓他匯出了一筆2500萬美元的電匯。通話中還有其他幾名工作人員——財務(wù)工作人員認(rèn)出了他們——他們也都是AI偽造。

這讓Franklin感到擔(dān)憂，因為如今，當(dāng)一名堅韌再保險公司的員工想要重置密碼時，他們需要進(jìn)行視頻通話，并拿出自己的ID?！斑@將在一段時間內(nèi)發(fā)揮作用，”Franklin說，但最終，這項技術(shù)將變得足夠簡單和可擴(kuò)展，任何黑客都可以做到。“最終，這就是我們將擁有的，”他說。

Fortitude Re正在從幾個方面解決這個問題。首先，有業(yè)務(wù)風(fēng)險緩解流程?！拔覀儾荒芡侠畚覀兊纳虡I(yè)伙伴，但我們絕對必須有一項書面和強(qiáng)制執(zhí)行的政策。比如說，在這里，你必須用這個號碼給這個人打電話，并得到他們的批準(zhǔn)——你不能只發(fā)送電子郵件或短信，或者你必須進(jìn)入我們公司的文檔管理系統(tǒng)——不是一封電子郵件，不是一條短信，也不是WhatsApp上的一條直接消息。員工們開始意識到這一點很重要，值得付出努力?！?/p>

然后是對網(wǎng)絡(luò)安全的基本攔截和解決?！斑@是人們不愿再談?wù)摰睦仙Ｕ劦脑掝}。打補(bǔ)丁，身份和訪問管理，漏洞管理，安全意識。”Franklin說，這可能是陳舊的東西，但如果很容易做到，他就不會有工作了，這一切都必須在預(yù)算內(nèi)完成，并與他擁有的人一起完成。

最后，為了應(yīng)對勒索軟件的最新演變，F(xiàn)ranklin以牙還牙。如果壞人在使用AI，那么好人也可以。過去，該公司使用Mimecast來防御釣魚電子郵件，但在2023年年中，F(xiàn)ortitude Re改用了一個新平臺，該平臺使用GenAI來檢測偽造，并幫助保護(hù)公司免受勒索軟件的侵害?！半娮余]件是勒索軟件攻擊的主要來源，所以你必須有一個好的、可靠的、內(nèi)置了AI的電子郵件安全工具?！?/p>

老派的方法是查看特定的指標(biāo)，比如壞的IP地址和特定的關(guān)鍵字，這已經(jīng)不夠了。Franklin說：“壞人有電子郵件安全解決方案的副本，他們可以知道哪些被屏蔽了，哪些沒有被屏蔽?！边@意味著他們可以繞過傳統(tǒng)的過濾。

如今，電子郵件安全工具必須能夠閱讀整個郵件，并了解其周圍的上下文——例如，應(yīng)該發(fā)送郵件的員工正在度假，或者該電子郵件正試圖讓用戶采取緊急、不尋常的操作。

IronScale自動過濾掉最糟糕的電子郵件，給其他有可疑內(nèi)容的郵件貼上警告標(biāo)簽，并使用GenAI來理解單詞的含義，即使沒有特定的關(guān)鍵字。Franklin說，“Mimecast和Proofpoint長期以來一直是電子郵件安全的黃金標(biāo)準(zhǔn)。他們擁有市場，我是Proofpoint的鐵桿粉絲，并在許多公司實施了Proofpoint，但我不認(rèn)為他們現(xiàn)在真的在創(chuàng)新。”

壞人使用的另一個詭計是在釣魚電子郵件中包含二維碼。大多數(shù)傳統(tǒng)的安全工具都無法捕捉到它，他們只是將其視為另一個無害的嵌入圖像。Franklin說，“IronScale可以識別二維碼，并判斷它們是否是惡意的，這是一項真正讓我們對該程序感興趣的功能”。

藥房服務(wù)提供商Remedi SeniorCare的信息安全總監(jiān)格雷格·帕斯特預(yù)計，勒索軟件攻擊今年將繼續(xù)增加?！拔覀儽仨氂肁I來對抗AI，”帕斯特告訴記者。他使用AI支持的安全工具來防止勒索軟件攻擊，而不是傳統(tǒng)的基于簽名的反病毒工具，如托管檢測和響應(yīng)以及終端檢測和響應(yīng)。

此外，該公司使用Menlo Security的瀏覽器隔離工具和Mimecast的電子郵件安全。“但是，以防萬一還有什么東西通過，我們有個計劃，我們有一個全面的事件響應(yīng)計劃，我們模擬勒索軟件攻擊。我們絕對是在為AI攻擊做準(zhǔn)備。”帕斯特說，“攻擊者將把AI集成到他們的勒索軟件即服務(wù)工具中。如果他們不這么做就太愚蠢了。作為一名網(wǎng)絡(luò)罪犯，如果你不能與時俱進(jìn)，你就不會賺到任何錢。這是一個連續(xù)的循環(huán)——在公司方面，在供應(yīng)商方面，以及網(wǎng)絡(luò)罪犯方面?！?/p>

另一家使用AI防御勒索軟件的公司是文檔存儲公司Spectra Logic。據(jù)該公司IT副總裁托尼·門多薩稱，該公司現(xiàn)在擁有北極狼和Sophos的工具，可以自動檢測可疑行為。他說：“我們努力保持自己在競爭中的領(lǐng)先地位，現(xiàn)在我看到了更多基于AI的攻擊。威脅參與者正在利用每個人都可以使用的AI工具?！?/p>

2020年，當(dāng)該公司的團(tuán)隊在疫情期間首次遠(yuǎn)程訪問時，該公司受到了社會攻擊。有人打開了他們不應(yīng)該打開的電子郵件，攻擊者獲得了訪問權(quán)限，這次攻擊通過該公司的網(wǎng)絡(luò)迅速傳播開來。他說，“基礎(chǔ)設(shè)施是99%的內(nèi)部設(shè)施，互聯(lián)互通，不是隔離的。我們所有的系統(tǒng)都是實時的交易系統(tǒng)，速度快得令人難以置信——它們可以在一瞬間傳播病毒?！?/p>

他們甚至破壞了備份和用來進(jìn)行備份的軟件?！八麄兿朐谌靸?nèi)賺到360萬美元，”門多薩說，“這是我職業(yè)生涯中遇到過的壓力最大的情況?！毙疫\(yùn)的是，該公司還擁有數(shù)據(jù)和系統(tǒng)的快照，這些快照是隔空的，不會受到攻擊?！耙虼?，我們立即切斷了與他們的聯(lián)系?！?/p>

門多薩說，現(xiàn)在他變得更加積極主動。他說：“我知道這種事還會發(fā)生。沒有安全是100%的，特別是在基于AI的攻擊下。”此后，Spectra Logic在安全基礎(chǔ)設(shè)施、網(wǎng)絡(luò)分段、完全加密、可自動隔離設(shè)備的異常檢測、事件響應(yīng)框架和網(wǎng)絡(luò)攻擊恢復(fù)計劃方面進(jìn)行了投資。此前，它只有一個針對物理災(zāi)難的恢復(fù)計劃。

他說，異?，F(xiàn)象經(jīng)常出現(xiàn)——一天幾千次?！霸谶^去，我們必須看著它，做出人類的決定，如果一個人突然從朝鮮連接上，我們可能會切斷他的網(wǎng)絡(luò)?！钡捎趤硪u威脅的數(shù)量如此之大，只有AI才能足夠快地做出反應(yīng)?！澳惚仨氂幸粋€自動化的工具。”他說，一開始有假陽性，但就像AI一樣，系統(tǒng)也學(xué)會了。

“三重勒索”抬頭

根據(jù)NCC威脅監(jiān)測2023年的報告，值得注意的趨勢包括“三重勒索”攻擊的增加，攻擊者將加密數(shù)據(jù)并將其扣為人質(zhì)，但是，隨著越來越多的受害者簡單地從勒索軟件中恢復(fù)，他們也在泄露數(shù)據(jù)，并威脅要公開這些數(shù)據(jù)。為了結(jié)束這三重影響，攻擊者還將向監(jiān)管機(jī)構(gòu)通報攻擊情況，并直接向受害者施加額外壓力，要求組織支付費(fèi)用。

而且情況變得更糟，2023年末，一個名為亨特斯國際的犯罪組織侵入了西雅圖的弗雷德·哈欽森癌癥中心，當(dāng)該中心拒絕支付贖金時，襲擊者威脅要對癌癥患者進(jìn)行“毆打”。他們還直接給病人發(fā)電子郵件，勒索他們更多的錢。“獵人國際實際上是在施加壓力，”網(wǎng)絡(luò)安全公司Nuspire的安全分析師喬希·史密斯說，“他們在勒索策略上加倍下注，他們已經(jīng)升級到這一點，這一事實非常令人震驚?！?/p>

2024年，如果這些策略被證明是成功的，其他勒索軟件組織可能會效仿?！安恍业氖?，我相信我們會看到更多這樣的事情，”史密斯說。

更快地利用漏洞

2023年，攻擊者還加倍利用新漏洞進(jìn)行攻擊。史密斯說，“釣魚和基于漏洞的攻擊策略在2024年都可能繼續(xù)流行，他們喜歡最容易摘到的果子，最少的努力。當(dāng)釣魚仍在工作，漏洞仍在工作時，他們將繼續(xù)這樣做。”

事實上，當(dāng)網(wǎng)絡(luò)安全公司Black Kite分析4000名受害者的經(jīng)歷時，利用漏洞是頭號攻擊載體?！八麄儞碛写笠?guī)模開采的自動化工具，”Black Kite的研究主管費(fèi)爾哈特·迪克比伊克說，“去年，他們進(jìn)入了波音和其他大公司?！?/p>

以MoveIt攻擊為例，這是一次網(wǎng)絡(luò)攻擊，利用了Progress Software的MoveIt托管文件傳輸產(chǎn)品中的一個漏洞。勒索軟件集團(tuán)Cl0p于5月份開始利用零日漏洞，接觸到MoveIt的客戶。迪克比伊克說，這些襲擊是毀滅性的?！拔覀兇_定了600家可以通過開源工具發(fā)現(xiàn)這個漏洞的公司——攻擊者攻擊了所有這些公司?！?/p>

根據(jù)Emsisoft的數(shù)據(jù)，截至2024年2月，受該漏洞影響的組織總數(shù)超過2700個，個人總數(shù)超過9000萬人。

今年1月，Black Kite發(fā)布了一項新的指標(biāo)——勒索軟件敏感度指數(shù)，該指標(biāo)使用機(jī)器學(xué)習(xí)，根據(jù)從開源情報以及面向公眾的漏洞、錯誤配置和開放端口收集的數(shù)據(jù)，預(yù)測公司面臨勒索軟件的風(fēng)險。“在所有指數(shù)在0.8到1之間的公司中，46%的公司去年經(jīng)歷了一次成功的勒索軟件攻擊，”Dikbiyi說，“這表明，如果你在海洋中向海盜船揮舞旗幟，你就會被擊中。與這些家伙作戰(zhàn)的最好方法就是成為一艘幽靈船?！?/p>

關(guān)于零日，有一些積極的消息。根據(jù)IBM X-Force報告，與2022年相比，2023年的零日減少了72%，只有172個新的零日，而且，在2022年，與2021年相比下降了44%，然而，去年累計漏洞總數(shù)超過26萬個，其中8.4萬個漏洞具有武器化漏洞。

然而，由于許多組織在修補(bǔ)方面仍然滯后，漏洞仍然是主要的攻擊媒介。根據(jù)IBM的數(shù)據(jù)，面向公眾的應(yīng)用程序中的漏洞攻擊是去年所有網(wǎng)絡(luò)攻擊中29%的初始訪問媒介，高于2022年的26%。

Rust、間歇性加密等

勒索軟件犯罪集團(tuán)的創(chuàng)新步伐再創(chuàng)新高。網(wǎng)絡(luò)安全公司Conversant Group的CSO兼創(chuàng)始人約翰·安東尼·史密斯表示：在過去兩年里，我們見證了這些犯罪在復(fù)雜性、速度、復(fù)雜性和攻擊性方面的演變速度呈曲棍球棒曲線。

2023年發(fā)生的入侵事件證明了這些威脅。史密斯說：“他們把創(chuàng)新的策略和復(fù)雜的方法結(jié)合在一起，損害了企業(yè)，讓它屈服，幾乎沒有談判的余地?！?/p>

這方面的一個跡象是，駐留時間-第一次進(jìn)入數(shù)據(jù)外泄、加密、備份銷毀或贖金要求之前的時間-已大幅縮短。史密斯說：“雖然過去需要幾周的時間，但現(xiàn)在威脅參與者往往只需4到48小時就能完成攻擊?！?/p>

另一種新策略是，攻擊者通過使用SIM交換攻擊和令牌捕獲或利用員工的MFA疲勞來逃避多因素身份驗證。一旦用戶對自己進(jìn)行身份驗證，令牌就被用來對進(jìn)一步的請求進(jìn)行身份驗證，這樣他們就不必繼續(xù)進(jìn)行身份驗證了。代幣可以通過中間人攻擊被竊取。攻擊者還可以從瀏覽器中竊取會話Cookie來實現(xiàn)類似的功能。

SIM交換攻擊允許勒索軟件團(tuán)伙獲得針對受害者的短信和電話。史密斯補(bǔ)充說，“使用個人設(shè)備訪問公司系統(tǒng)只會增加這些安全風(fēng)險。”

根據(jù)Resecity首席運(yùn)營官肖恩·洛夫蘭的說法，勒索軟件攻擊者繼續(xù)利用面向公眾的應(yīng)用程序中的漏洞，使用僵尸網(wǎng)絡(luò)，并在攻擊過程中使用合法軟件和操作系統(tǒng)功能“生活在陸地上”，但他表示，去年的攻擊也出現(xiàn)了一些新的技術(shù)方面。

例如，勒索軟件開發(fā)人員現(xiàn)在越來越多地使用Rust作為他們的主要編程語言，因為它的安全功能和難以反向工程?！斑@是該領(lǐng)域的一項重大發(fā)展，”洛夫蘭說，“還有一種新的趨勢是間歇性加密，它只加密文件的一部分，這使得檢測更具挑戰(zhàn)性，但加密過程更快?！?/p>

為應(yīng)對更多的勒索軟件即服務(wù)提供商做好準(zhǔn)備

每一位網(wǎng)絡(luò)安全專家都預(yù)計，隨著威脅參與者擴(kuò)大運(yùn)營規(guī)模，同時企業(yè)繼續(xù)加強(qiáng)防御，勒索軟件攻擊將繼續(xù)增長，但網(wǎng)絡(luò)犯罪經(jīng)濟(jì)中可能會發(fā)生變化的一個領(lǐng)域是勒索軟件即服務(wù)提供商。

這些系統(tǒng)的工作方式是，提供商創(chuàng)建勒索軟件工具包，個別附屬公司發(fā)送釣魚電子郵件并談判勒索，這兩個組織之間有一定程度的隔離，以創(chuàng)造彈性和與執(zhí)法部門的隔離，但當(dāng)局最近表示，他們將追查這些附屬公司。此外，事實證明，附屬公司本身也是中央勒索軟件提供商的安全風(fēng)險。

GuidePoint Security公司GRIT威脅情報部門的實踐主管德魯·施密特表示：“隨著LockBit被拿下，網(wǎng)絡(luò)犯罪分子將會有很多考慮，會對基于分支機(jī)構(gòu)的系統(tǒng)更加猶豫?！?/p>

與附屬公司分享資金也會減少中央勒索軟件集團(tuán)的利潤。施密特說：“如果他們可以使用生產(chǎn)性AI進(jìn)行談判，他們就可以提高效率?！边@將只剩下勒索軟件運(yùn)營商的核心群體，而不是附屬公司，從而降低了威脅參與者的總運(yùn)營成本?！斑@是我們正在考慮的問題?！?/p>

如果真的發(fā)生了，我們可能需要幾年時間才能看到這一變化的全面影響。2023年最大的勒索軟件運(yùn)營商LockBit在2月份被當(dāng)局取締。在被拿下時，該集團(tuán)有大約180家附屬公司。人們曾希望，此次攻擊將對2024年的勒索軟件造成影響，但Zscaler ThreatLabs在關(guān)閉僅一周后就已經(jīng)觀察到了新的LockBit勒索軟件攻擊。此外，根據(jù)BleepingComputer的說法，LockBit已經(jīng)更新了解密器，安裝了新的服務(wù)器，并已經(jīng)在招募新的五元組成員。