為了評估勒索軟件威脅的現狀,PaloAltoNetworks(派拓網絡)威脅情報團隊Unit42和事件響應團隊TheCrypsisGroup合作分析了2020年的勒索軟件威脅狀況(研究基于Unit42的全球數據以及Crypsis的美國、加拿大和歐洲數據)。
這份報告詳細介紹了最主要的勒索軟件變種(附有每個變種的威脅評估鏈接)、勒索軟件平均支付額、勒索軟件預測以及可立即降低勒索軟件風險的可行性步驟。
網絡犯罪分子賺取和索取的金錢比以往任何時候都多
企業平均支付的贖金從2019年的115,123美元增加到2020年的312,493美元,同比增長171%。此外,企業支付的最高贖金從2019年到2020年翻了一番,從500萬美元增加到1000萬美元。與此同時,網絡犯罪分子也越來越貪婪。從2015年到2019年,勒索軟件的最高贖金是1500萬美元。2020年,勒索軟件的最高贖金增長到3000萬美元。
值得注意的是,2020年Maze勒索軟件的平均贖金為480萬美元,與2020年所有勒索軟件的平均贖金847,344美元相比,有了顯著增長。網絡犯罪分子知道他們可以通過勒索軟件賺錢,并且在索要贖金方面變得越發大膽。
醫療機構成為新目標
世界因新冠疫情而改變,勒索軟件運營商則利用疫情對企業進行掠奪,特別是醫療行業,成為2020年勒索軟件最關注的行業。勒索軟件運營商在攻擊中厚顏無恥地試圖賺取盡可能多的錢,因為他們知道醫療機構需要繼續運營以治療新冠患者并幫助拯救生命,無法承擔系統被鎖定的后果,更有可能支付贖金。
Ryuk勒索軟件在眾多勒索軟件中脫穎而出。2020年10月,美國網絡安全與基礎設施安全局(CISA)、聯邦調查局(FBI)、衛生與人類服務部(HHS)聯合發布網絡安全預警,警告醫療機構防范Ryuk勒索軟件攻擊。
雙重勒索的興起
常見的勒索軟件攻擊包括勒索軟件運營商對數據進行加密,并強迫受害者支付贖金以解鎖數據。在雙重勒索中,勒索軟件運營商會加密并竊取數據,進一步脅迫受害者支付贖金。如果不支付,勒索軟件運營商就會將數據公布到泄漏網站或暗網,大部分數據泄漏網站都托管在暗網,而這些托管站點由勒索軟件運營商創建和管理。現在至少有16種不同的勒索軟件變種威脅要泄漏數據或利用泄漏網站,更多的勒索軟件變種可能會延續這種趨勢。
利用這種手段最多的勒索軟件是NetWalker。從2020年1月到2021年1月,NetWalker泄漏了全球113家受害企業的數據(見下圖),遠遠超過了其他勒索軟件。RagnarLocker排名第二,泄漏了全球26家受害企業的數據。值得一提的是,美國司法部在2021年1月宣布協調國際執法行動,瓦解NetWalker勒索軟件團伙。由NetWalker運營商管理的托管泄漏數據的暗網域名已經無法訪問。
圖:2020年1月至2021年1月,按勒索軟件劃分且數據公布在泄漏網站的全球受害企業數量
建議
防范勒索軟件攻擊與防范其他惡意軟件類似。然而,它對企業的風險要高得多。
初始訪問
所有勒索軟件變種的初始訪問相對一致。企業應保持用戶對電子郵件安全的認識和培訓,并考慮如何在惡意電子郵件進入員工郵箱后立即識別和補救。企業還應該確保進行適當的補丁管理,并審查哪些服務可能暴露在互聯網上。遠程桌面服務應正確配置并確保安全,盡可能使用最低權限原則,并制定策略以檢測與暴力攻擊相關的模式。
備份和恢復流程
企業應繼續備份數據,并提前規劃好適當的恢復流程。勒索軟件運營商將針對現場備份進行加密,因此企業應確保所有備份都在離線狀態下安全保存。必須與關鍵利益相關者一起實施并演練恢復流程,以便在發生勒索軟件攻擊時盡量縮短企業的停機時間并降低成本。
安全控制
防范勒索軟件的最有效形式是端點安全、URL過濾或Web保護、高級威脅防御(未知威脅/沙盒)以及部署到所有企業環境和設備的反釣魚解決方案。雖然這些不能完全保證預防,但它們將極大地降低常見變種的感染風險,并提供應急措施,讓一種技術在另一種技術可能無效時提供一系列強制措施。
PaloAltoNetworks(派拓網絡)的實力
云交付安全服務通過各種安全技術為成千上萬的客戶帶來網絡效應,以協調情報并為所有攻擊載體提供一致的保護。我們的服務部署在一系列基于機器學習技術的下一代防火墻(PA-Series硬件、VM-Series和CN-Series軟件,以及云交付的Prisma®Access)上,消除了獨立網絡安全工具造成的覆蓋缺口:
●WildFire®惡意軟件防御服務可檢測與已知和未知勒索軟件變種以及其他文件威脅相關的活動。
●URL過濾功能可配置為阻止訪問可疑類別的URL,防止主機通過HTTP接觸到PaloAltoNetworks(派拓網絡)已經監測到的主機可疑內容/惡意軟件的Web服務器。
●威脅防御功能利用防火墻的可視能力檢查所有流量,并自動防御已知威脅,不受端口、協議或SSL加密影響,在攻擊的每個階段都可對抗威脅。啟用漏洞保護配置文件后,該服務還可以檢測暴力攻擊。
●企業級數據防泄漏服務可防止企業敏感數據離開企業網絡。
Cortex®XDR™包含一個反勒索軟件模塊以及一個漏洞防御和反惡意軟件模塊,除了檢測橫向移動外,還可檢測與勒索軟件和其他商業惡意軟件相關的加密活動。本地分析檢測和行為威脅防御功能可以識別異常活動和惡意文件。
如欲了解完整報告,敬請下載《2021年Unit42勒索軟件威脅報告》。
