自Popp于1989年推出AIDS木馬病毒以來,勒索軟件一直在穩步發展。在網絡鏈接或電子郵件附件尚未普及之前,勒索軟件的第一個版本是通過軟盤傳輸的。雖然傳播方式確實發生了變化,但勒索軟件啟動后的行為卻呈現出一致性和多變性并存的現象。
看看勒索軟件生命周期的不同階段,以便更好地了解攻擊者如何發動攻擊以及防御者如何更好地抵抗。
1. 目標選擇與偵察
勒索軟件團伙就像銀行劫匪一樣,需要一個有能力支付贖金的目標。攻擊者會收集公開數據,包括查找目標網站的所有者和運營者,以確定該網站是自主管理的,還是已將管理外包給云服務提供商或其他實體。攻擊者還可能試圖收集網站關鍵人員的信息,有時甚至試圖在社交媒體上與他們建立信任。一旦建立信任,目標個人就更容易受到通過鏈接或電子郵件傳播的惡意軟件的攻擊。
對于受害組織而言,被選中并非他們所能掌控。企業避免這種命運的最佳方式是強化防御,降低受攻擊的幾率。這可以通過做好用戶和系統的準備來實現。一些常見的防御措施包括用戶安全意識培訓、補丁安裝和常規的網絡衛生實踐。
2.惡意軟件傳播和感染
網絡釣魚、惡意網站上的惡意鏈接以及社交媒體垃圾郵件是常見的惡意軟件傳播手段。這些手段之所以持續存在,是因為盡管用戶接受了安全意識培訓,但它們仍然有效。目標用戶可能很著急、精神負擔過重、想提供幫助,或者僅僅是出于好奇。無論出于何種原因,他們都會落入陷阱。一旦點擊鏈接或附件,惡意軟件就會運行,滲透就此開始。
另一種勒索軟件攻擊方式是社交媒體垃圾郵件。這種方法在一定程度上依賴于點擊誘餌。視頻或鏈接看起來太有吸引力,目標用戶難以抗拒,出于好奇或因為看起來像是來自可信的發件人,他們就會點擊。
竊取用戶憑證也可能是勒索軟件傳播的因素之一。如果網絡犯罪分子通過釣魚計劃或惡意鏈接提前獲取登錄憑證,他們就可以通過受信任的用戶植入勒索軟件。
研究人員還發現,利用服務漏洞作為攻擊媒介的情況日益增多。攻擊者并非創建并使用傳播軟件,而是有時會利用面向公眾的應用程序中已知的漏洞。鑒于用戶已經接受了更深入的培訓,能夠更好地避開可疑鏈接,攻擊者可能會認為這種途徑更有希望。
安全供應商發現,攻擊者越來越多地將合法工具(例如操作系統功能或軟件)作為攻擊目標。利用遠程桌面服務就是這種策略的一個例子。通過混入合法流量,攻擊者可以更好地隱藏在眾目睽睽之下。此外,這些更隱蔽的攻擊有時可以逃避傳統的檢測軟件,因為傳統的檢測軟件依賴于發現可疑的新進程或新端口的開放。
3. 命令與控制
命令和控制階段仍然是勒索軟件殺傷鏈的核心要素。
一旦成功感染目標設備,惡意軟件通常會開始與命令與控制服務器(C&C 服務器)進行通信。在威脅行為者的控制下,該外部服務器負責向目標設備發送加密密鑰。還可能下載其他惡意軟件和網絡探測軟件。
4. 探索和橫向移動
在此階段,攻擊者會尋找途徑深入滲透組織的 IT 系統,通常是通過濫用員工憑證或管理員賬戶。如果成功,他們可以造成更大的破壞并竊取寶貴的數據。這種在不被察覺的情況下跨系統攻擊的能力被稱為橫向移動。
現在,這一運動通過人工智能得到了增強,它可以在主機上進行探測和響應,而不需要與外部控制服務器通信。
橫向移動使勒索軟件攻擊者能夠在加密之前最大限度地滲透。如果利用零日漏洞,攻擊者可以在不被發現的情況下滲透多個站點,從而傳播攻擊并最大化潛在獲利能力。云環境仍然是頗具吸引力的目標,因為可能為攻擊者提供訪問許多站點以及虛擬機管理程序的權限,而虛擬機管理程序是某些安全工具無法觸及的層級。
微軟和其他公司已經注意到勒索軟件團體利用橫向移動來提升訪問權限并操縱目標安全產品內的設置,從而使他們擁有更大的移動自由而不會觸發警報。
5. 數據泄露和加密
一旦被發現,數據就會被復制,然后被竊取。泄露通常是安全軟件首次檢測到錯誤的時刻。
這也是勒索軟件攻擊的階段,攻擊者可能會加密竊取的數據。加密是典型的加密勒索軟件策略。惡意攻擊者會提供解密密鑰,以換取贖金。
最近,一些攻擊者決定跳過這一步。賽門鐵克在其2024年威脅報告中表示,其觀察到無加密攻擊有所增加。在不加密的情況下進行數據泄露可以顯著減少攻擊者在勒索軟件操作上花費的時間。相反,勒索軟件團伙會使用一小段數據來讓目標組織誤以為他們擁有完整的數據集。
6. 敲詐勒索
此時,勒索軟件目標通常會看到包含以下部分或全部信息的消息:
感染通知。
犯罪分子為獲取解密密鑰所要求的金額。
提交付款的說明。
倒計時器用于指示攻擊者在永久竊取數據或增加贖金金額之前等待贖金支付的時間。
如果網絡犯罪分子將文件上傳到 C&C 服務器,還可能威脅公開發布數據,這種策略被稱為雙重勒索軟件。三重勒索軟件涉及第三個元素,例如DDoS攻擊或對目標組織的客戶或合作伙伴的并行勒索。
受害者和攻擊者之間的動態發生了一些變化。
以往,目標遭受勒索軟件攻擊后,會在等待解密密鑰期間關閉系統,而現在的對抗更具互動性。攻擊者可能會加密復制的有效載荷,但受害組織可能擁有可用的備份,意味著它不需要返還整個數據集。這種動態使得與勒索軟件團伙談判以獲得較小數據子集的密鑰或同意較低的贖金成為可能。談判是勒索軟件相關支付金額減少的一個因素。
7. 解決方案和升級
先進的安全工具和技術可以降低入侵風險,并提高發現和阻止勒索軟件攻擊(如果正在進行)的幾率。
考慮以下幾點:
自動補丁管理。惡意軟件經常利用設備操作系統或應用程序中未修補的漏洞。自動修復已知軟件安全漏洞的補丁管理工具可以顯著降低勒索軟件攻擊的可能性。
反惡意軟件和防病毒軟件。反惡意軟件和防病毒軟件有助于識別和防御已知的勒索軟件變種。安裝在設備和電子郵件應用程序中后,這些工具可以阻止與已知惡意域的通信,并阻止可識別惡意軟件的安裝。
異常檢測軟件。基于人工智能的異常檢測功能(例如用戶行為分析軟件中的功能)會持續掃描網絡流量以識別可疑活動。確認勒索軟件入侵后,安全團隊可以隔離受感染的設備,以防止進一步的橫向移動和感染。
網絡微分段。 微分段可幫助 IT 團隊限制橫向移動。將網絡邏輯劃分為精細的子網,每個子網都具有定制的訪問控制規則,從而防止惡意軟件感染的傳播。
改進的縱深防御策略依賴于多種檢測、保護和強化技術,以降低潛在攻擊鏈中每個環節的風險。為了防范新的勒索軟件行為,請考慮兩種策略。首先,進一步加強安全控制,以檢測其他進程活動和有效載荷移動。其次,訓練安全編排和自動響應軟件,以檢測并修復表明存在異常活動的環境變化。
勒索軟件的演變和攻擊者行為的變化是不可避免的,而且很可能還會繼續演變,變得更加隱蔽。這些變化可以說反映了勒索服務的商品化。勒索軟件即服務的興起導致攻擊者的數量激增。為了保護數據安全,網絡安全專業人員需要跟上這些不斷變化的勒索軟件威脅的步伐。
