在采訪中，WithSecure的威脅情報(bào)與外聯(lián)總監(jiān)Tim West討論了勒索軟件即服務(wù)（RaaS），重點(diǎn)分析了這些網(wǎng)絡(luò)犯罪活動(dòng)如何適應(yīng)日益激烈的競(jìng)爭(zhēng)、結(jié)構(gòu)變化以及分散的生態(tài)系統(tǒng)。

West探討了這些變化對(duì)受影響行業(yè)，特別是工程和制造業(yè)的影響，并深入分析了勒索軟件行為者日益依賴“雙重用途”工具的趨勢(shì)。

勒索軟件即服務(wù)（RaaS）的格局如何演變？我們是否看到這些運(yùn)營(yíng)的結(jié)構(gòu)或吸引的附屬群體發(fā)生了變化？

我們確實(shí)看到了競(jìng)爭(zhēng)的加劇，特別是在知名品牌為了吸引附屬成員而展開激烈競(jìng)爭(zhēng)。隨著 LockBit和 ALPHV等著名團(tuán)伙的倒臺(tái)，許多附屬群體變得“游牧化”，尋求新的RaaS組織來(lái)結(jié)盟，這使得生態(tài)系統(tǒng)內(nèi)的競(jìng)爭(zhēng)加劇，不同的RaaS品牌通過(guò)提供更有吸引力的條件、更好的工具和更可靠的支付來(lái)吸引這些有經(jīng)驗(yàn)的操作員。

較小的團(tuán)伙如 Medusa和 Cloak提供了具有吸引力的激勵(lì)措施，吸引解散組織的附屬成員。例如，Medusa向 LockBit和 ALPHV的附屬成員提供高達(dá)90%的利潤(rùn)分成，而 Cloak則允許附屬成員免費(fèi)加入，不需任何初始支付。

從結(jié)構(gòu)上看，許多勒索軟件運(yùn)營(yíng)已經(jīng)轉(zhuǎn)向了更模塊化和分散化的模式。現(xiàn)在，許多成功的RaaS模型可以被視為松散關(guān)聯(lián)的網(wǎng)絡(luò)，而不是一個(gè)單一的垂直整合的團(tuán)伙處理整個(gè)攻擊鏈。 

不同的團(tuán)伙專注于攻擊的特定階段，例如初始訪問(wèn)、橫向移動(dòng)或勒索，這種角色的分離使歸因變得更加復(fù)雜，并增強(qiáng)了生態(tài)系統(tǒng)在面對(duì)執(zhí)法行動(dòng)等干擾時(shí)的恢復(fù)能力。

在RaaS生態(tài)系統(tǒng)中，初始訪問(wèn)經(jīng)紀(jì)人（IAB）的角色也發(fā)生了變化，這些IAB資金雄厚，能力強(qiáng)大，通過(guò)提供可靠且可擴(kuò)展的訪問(wèn)權(quán)限來(lái)支持各種惡意行為者。

這些行為者將全球范圍的漏洞利用過(guò)程工業(yè)化，降低了勒索軟件運(yùn)營(yíng)者的進(jìn)入門檻。IAB專注于發(fā)現(xiàn)、武器化和出售對(duì)易受攻擊系統(tǒng)的訪問(wèn)權(quán)限，他們處理漏洞利用的復(fù)雜性，繞過(guò)過(guò)濾器，并管理大規(guī)模的掃描和漏洞利用操作，這種服務(wù)模式現(xiàn)在使勒索軟件的附屬成員無(wú)需深厚的技術(shù)知識(shí)就能購(gòu)買現(xiàn)成的訪問(wèn)權(quán)限。

針對(duì)工程和制造業(yè)的勒索軟件似乎在增加。這對(duì)這些行業(yè)意味著什么？為什么它們會(huì)成為特別有吸引力的目標(biāo)？

我們最新的研究顯示，在2024年上半年，工程和制造業(yè)是受影響最嚴(yán)重的行業(yè)，占觀察到的所有受害者的20.59%，這些行業(yè)在遭受干擾時(shí)的高運(yùn)營(yíng)影響使它們成為有吸引力的目標(biāo)。停機(jī)時(shí)間會(huì)導(dǎo)致巨大的財(cái)務(wù)損失、錯(cuò)過(guò)的截止日期，甚至是合同處罰。時(shí)間緊迫的生產(chǎn)計(jì)劃增加了他們迅速支付贖金以恢復(fù)運(yùn)營(yíng)的壓力。 

雖然大多數(shù)RaaS行為者傾向于利用漏洞和機(jī)會(huì)，而不是針對(duì)特定行業(yè)，但復(fù)雜的供應(yīng)鏈?zhǔn)沟眠@些行業(yè)的網(wǎng)絡(luò)安全運(yùn)營(yíng)變得更加困難。工程和制造業(yè)與多個(gè)供應(yīng)商、合作伙伴和客戶緊密相連。對(duì)單一實(shí)體的成功攻擊可能會(huì)對(duì)整個(gè)供應(yīng)鏈產(chǎn)生連鎖反應(yīng)，放大攻擊的影響，這種互聯(lián)性增加了勒索軟件團(tuán)伙在談判時(shí)的籌碼，因?yàn)殚L(zhǎng)期停機(jī)的后果遠(yuǎn)遠(yuǎn)超出了直接受害者。

專有數(shù)據(jù)和知識(shí)產(chǎn)權(quán)（IP），包括設(shè)計(jì)、藍(lán)圖和商業(yè)機(jī)密，對(duì)保持競(jìng)爭(zhēng)優(yōu)勢(shì)至關(guān)重要，因此也是極具價(jià)值的盜竊或出售資產(chǎn)。

 我們還發(fā)現(xiàn)，勒索軟件團(tuán)伙正逐漸放棄之前避免攻擊關(guān)鍵行業(yè)（如醫(yī)療保?。┑淖龇ā纳鐣?huì)影響的角度來(lái)看，這些攻擊通常更加嚴(yán)重。過(guò)去，勒索軟件團(tuán)伙大多避免針對(duì)那些可能引發(fā)嚴(yán)厲政府或執(zhí)法機(jī)構(gòu)反應(yīng)的行業(yè)。雖然2024年整體醫(yī)療保健行業(yè)遭受的攻擊數(shù)量與總受害者比例保持一致。

勒索軟件團(tuán)伙將無(wú)差別地攻擊任何被認(rèn)為有能力支付贖金的組織，此外，這些行業(yè)在網(wǎng)絡(luò)安全方面的歷史性投入相對(duì)較少，尤其是與金融或技術(shù)行業(yè)相比，使它們成為有吸引力的目標(biāo)。

勒索軟件行為者之間的信任似乎正在減弱。這樣的不信任會(huì)如何影響勒索軟件生態(tài)系統(tǒng)，是否會(huì)導(dǎo)致更多的碎片化或去中心化運(yùn)營(yíng)？

我們經(jīng)常聽(tīng)到“盜賊之間沒(méi)有誠(chéng)信”這個(gè)說(shuō)法，最近的一些勒索軟件事件確實(shí)顯示了這一點(diǎn)。我們最近看到ALPHV發(fā)生了“跑路騙局”（exit scam），據(jù)稱其附屬成員的收益被欺詐事件剝奪了。因此，類似的事件和對(duì)LockBit等大團(tuán)伙的打擊，可能正在引發(fā)網(wǎng)絡(luò)犯罪社區(qū)中的不信任感和緊張局勢(shì)加劇。

隨著信任的瓦解，我們可能會(huì)看到勒索軟件生態(tài)系統(tǒng)的進(jìn)一步碎片化。忠誠(chéng)的附屬成員可能會(huì)分裂出來(lái)，創(chuàng)建自己的品牌，或轉(zhuǎn)向他們認(rèn)為更可靠的其他團(tuán)伙，這種分裂可能導(dǎo)致出現(xiàn)規(guī)模較小、不太可預(yù)測(cè)的勒索軟件集體。

我們可能會(huì)看到直接的1對(duì)1品牌重塑，就像DarkSide在2021年對(duì)Colonial Pipeline攻擊后重塑為BlackMatter一樣，然而，我們也在看到1對(duì)多的重塑變得更為突出，即一個(gè)變種的附屬成員可能衍生出多個(gè)新品牌。例如，8base和Faust勒索軟件變種可能都源于同一個(gè)變種。

無(wú)論是哪種形式的分裂和去中心化，這都使得執(zhí)法機(jī)構(gòu)更難以針對(duì)特定團(tuán)伙，因?yàn)閭鹘y(tǒng)的層級(jí)模型正讓位于更靈活、分散的行為者網(wǎng)絡(luò)。同時(shí)，從防御者的角度來(lái)看，網(wǎng)絡(luò)犯罪分子之間的不信任實(shí)際上是有利的，因?yàn)檫@可能使他們的效率和效果下降，從而更容易進(jìn)行防御。

勒索軟件行為者越來(lái)越多地使用“雙重用途”工具，這使得檢測(cè)和應(yīng)對(duì)變得更加復(fù)雜。安全團(tuán)隊(duì)?wèi)?yīng)如何調(diào)整策略，更好地識(shí)別和緩解這些工具帶來(lái)的威脅？

我們發(fā)現(xiàn)RaaS行為者常用的工具包括PDQ Connect、Action1、AnyDesk和TeamViewer等用于遠(yuǎn)程訪問(wèn)的工具，以及rclone、rsync、Megaupload和FileZilla等用于數(shù)據(jù)外泄的工具，這些都是在IT操作中常用的合法軟件，因此其雙重用途性質(zhì)使得它們能夠規(guī)避傳統(tǒng)的反惡意軟件控制，并輕松融入正常的網(wǎng)絡(luò)活動(dòng)中，增加了檢測(cè)和應(yīng)對(duì)的難度。傳統(tǒng)的基于簽名的檢測(cè)方法對(duì)這些雙重用途工具的效果較差。

安全團(tuán)隊(duì)?wèi)?yīng)轉(zhuǎn)向行為分析，專注于識(shí)別異常或可疑的行為模式，而不僅僅依賴于已知的惡意軟件簽名。例如，如果TeamViewer這類通常無(wú)害的工具在非工作時(shí)間或從異常IP地址進(jìn)行使用，這可能表明存在惡意活動(dòng)。

為組織中的雙重用途工具建立正?；顒?dòng)基線至關(guān)重要。通過(guò)了解這些工具的典型使用模式，安全團(tuán)隊(duì)可以更有效地發(fā)現(xiàn)可能表明工具被濫用的偏差。例如，如果rclone工具突然被用于將大量數(shù)據(jù)傳輸?shù)揭粋€(gè)不熟悉的外部服務(wù)器，盡管該工具本身是合法的，但這仍然應(yīng)觸發(fā)警報(bào)。

暴露管理解決方案也可以發(fā)揮關(guān)鍵作用，這些技術(shù)為安全團(tuán)隊(duì)提供了跨越其擴(kuò)展網(wǎng)絡(luò)的全面可視性，幫助識(shí)別易受攻擊的系統(tǒng)、配置錯(cuò)誤或可能通過(guò)合法工具被利用的高風(fēng)險(xiǎn)資產(chǎn)。

勒索軟件行為者優(yōu)先考慮數(shù)據(jù)盜竊而非傳統(tǒng)的加密攻擊的趨勢(shì)日益明顯，這種變化對(duì)組織的風(fēng)險(xiǎn)格局有何影響？他們的防御措施應(yīng)關(guān)注哪些方面？

高價(jià)值數(shù)據(jù)（如知識(shí)產(chǎn)權(quán)、財(cái)務(wù)記錄和客戶信息）的盜竊為網(wǎng)絡(luò)犯罪分子在勒索談判中提供了強(qiáng)大的優(yōu)勢(shì)。組織還可能面臨因客戶信任喪失、監(jiān)管處罰和聲譽(yù)受損而帶來(lái)的長(zhǎng)期損害。

網(wǎng)絡(luò)犯罪分子發(fā)現(xiàn)，專注于數(shù)據(jù)盜竊比在整個(gè)組織范圍內(nèi)部署全面加密所需的時(shí)間和資源要少，這種“快攻速取”方式讓攻擊者能夠迅速執(zhí)行攻擊并轉(zhuǎn)向下一個(gè)目標(biāo)，從而提高了他們的整體效率。

要防御這些策略，必須緊急關(guān)注數(shù)據(jù)保護(hù)。關(guān)鍵優(yōu)先事項(xiàng)包括識(shí)別并保護(hù)敏感數(shù)據(jù)、實(shí)施嚴(yán)格的訪問(wèn)控制，以及持續(xù)監(jiān)控可疑的數(shù)據(jù)訪問(wèn)和外泄活動(dòng)。

此外，為靜態(tài)和傳輸中的數(shù)據(jù)實(shí)施加密可以降低被盜數(shù)據(jù)的價(jià)值。如果勒索軟件行為者設(shè)法竊取了數(shù)據(jù)，已加密的數(shù)據(jù)在沒(méi)有相應(yīng)的解密密鑰的情況下仍然是不可讀且無(wú)法使用的。 

同時(shí)，傳統(tǒng)的勒索軟件加密防御措施（如備份策略和網(wǎng)絡(luò)分段）依然重要。

企業(yè)還應(yīng)確保其事件響應(yīng)計(jì)劃能夠應(yīng)對(duì)數(shù)據(jù)盜竊帶來(lái)的獨(dú)特挑戰(zhàn)，這包括為潛在的雙重勒索場(chǎng)景做好準(zhǔn)備，并能夠妥善應(yīng)對(duì)與客戶和其他利益相關(guān)者的溝通和管理。

總體而言，企業(yè)必須加強(qiáng)對(duì)數(shù)據(jù)安全的關(guān)注，并為更復(fù)雜的勒索場(chǎng)景做好準(zhǔn)備。那些具備強(qiáng)大暴露管理和成熟安全工具、專注于遏制漏洞的企業(yè)，將能夠更好地應(yīng)對(duì)這些不斷演變的威脅。