行業新聞與部落格

#Infosec2024:勒索軟體生態系統發生轉變,新團體 “改變規則”

2024 年歐洲資訊保安大會的專家警告稱,2024 年勒索軟體生態系統已發生翻天覆地的變化,各組織必須相應地調整防禦措施。

Bitdefender 技術解決方案總監 Martin Zugec 告訴與會者“忘記你所知道的有關勒索軟體的知識”,並瞭解新團體如何改變遊戲規則。

他解釋說,這種變化是由於最近兩家領先的勒索軟體即服務 (RaaS) 運營商的倒閉所致:LockBit 的基礎設施於 2024 年 2 月被執法部門摧毀,而 BlackCat 在 3 月份從美國醫療保健支付提供商 Change Healthcare 獲得贖金後,似乎進行了一場“退出騙局” 。

這導致了新的 RaaS 模式的出現,其中關聯企業在不同的 RaaS 運營商之間轉移。

Rapid7 威脅分析高階總監 Christiaan Beek 告訴Infosecurity,勒索軟體的形勢現在感覺就像“狂野西部”。

例如,雖然像 LockBit 這樣的組織告訴其附屬機構不要針對醫療保健組織,但新組織似乎沒有任何此類限制。

Rapid7 在 2024 年 5 月觀察到 78 個活躍團體,並且聯盟成員不斷地在與其合作的運營商之間跳轉,評估諸如速度、可靠性以及其菌株避免端點安全工具的能力等因素。

“信譽在地下活動裡至關重要 —— 它就像一個正常的商業市場,”比克評論道。

不斷變化的勒索軟體攻擊技術

2024 年上半年,勒索軟體運營商及其關聯組織針對組織的方式發生了一些顯著變化:

針對漏洞 

Zugec 指出,勒索軟體攻擊者越來越多地利用邊緣網路裝置和軟體供應鏈中的漏洞,然後針對特定組織發起攻擊,使他們能夠一次性入侵多個受害者。一個關鍵的例子是 2023 年的 MOVEit 檔案傳輸攻擊,該攻擊影響了全球數千家組織。

他指出, 2024 年,漏洞利用首次超過網路釣魚和社會工程攻擊,成為勒索軟體事件的原因。

在許多情況下,最初的入侵和勒索軟體部署之間存在很大差距。這是因為聯盟成員入侵瞭如此多的組織,然後根據組織規模、訪問受害者資料的難易程度以及它們是否為更有利可圖的目標提供了通道等因素來確定優先攻擊哪些組織。

資料洩露是主要目標 

Zugec 表示,資料洩露現在是勒索受害者的主要方式,加密通常被視為一種“不錯的”附加功能,而許多攻擊者根本不會鎖定資料。

這一趨勢源於改進的備份解決方案,這些解決方案可以幫助受害者在資料被加密時快速恢復。

入侵後是手動駭客操作 

Zugec 指出,初始入侵後的活動依賴於手動操作來橫向移動並訪問敏感資料。Beek 也觀察到了這種趨勢,他表示攻擊者在受害者網路內部經常使用離地攻擊技術。

“如今我們看到的是他們利用漏洞進入,然後提升他們的許可權。然後他們做的第一件事就是找出這家公司的大部分資料存放在哪裡。在發生洩露後,他們就會部署勒索軟體,”他解釋道。

如何防禦現代勒索軟體攻擊

儘管勒索軟體的威脅日益嚴重,但 Infosecurity Europe 的專家指出,不斷變化的策略確實為防禦者提供了機會。Beek 表示,攻擊者專注於資料洩露的趨勢為在部署勒索軟體之前檢測活動提供了更多機會。

他指出:“如果您實施了適當的控制,您應該會看到當網路出現異常活動時流量會出現峰值。”

Bugec 認為,目前人們過於關注勒索軟體事件的結束部分,當攻擊者進入網路時,組織應該考慮部署防禦措施,防止橫向移動和手動駭客操作。

Fleet Mortgages 安全與技術總監 Erhan Temurkan 也提倡這種方法,他表示,組織必須圍繞其關鍵資料建立防禦控制措施,以防止資料洩露。

“瞭解你的資料,瞭解你的資料在哪裡。我們試圖避免的是‘打砸搶’,”他概述道。

此外,由於漏洞利用現在是攻擊者獲取初始訪問許可權的主要方式之一,修補過程變得越來越重要。

比克表示,攻擊者現在通常在補丁釋出後的 24 小時內利用嚴重漏洞,因此以資料為主導的優先排序是必要的。

他建議安全團隊與威脅研究人員合作,他們可以快速洞察實時被利用的關鍵漏洞。

比克敦促道:“如果某個漏洞正在被利用來發起勒索軟體攻擊,那麼就忘掉其他漏洞,集中精力解決這個漏洞。”

需要幫助嗎?聯絡我們的支援團隊 線上客服