行業新聞與博客

#Infosec2024：勒索軟件生態系統發生轉變，新團體 “改變規則”

2024年06月07日|亞洲註冊

2024 年歐洲信息安全大會的專家警告稱，2024 年勒索軟件生態系統已發生翻天覆地的變化，各組織必須相應地調整防禦措施。

Bitdefender 技術解決方案總監 Martin Zugec 告訴與會者“忘記你所知道的有關勒索軟件的知識”，並瞭解新團體如何改變遊戲規則。

他解釋説，這種變化是由於最近兩家領先的勒索軟件即服務 (RaaS) 運營商的倒閉所致：LockBit 的基礎設施於 2024 年 2 月被執法部門摧毀，而 BlackCat 在 3 月份從美國醫療保健支付提供商 Change Healthcare 獲得贖金後，似乎進行了一場“退出騙局” 。

這導致了新的 RaaS 模式的出現，其中關聯企業在不同的 RaaS 運營商之間轉移。

Rapid7 威脅分析高級總監 Christiaan Beek 告訴Infosecurity，勒索軟件的形勢現在感覺就像“狂野西部”。

例如，雖然像 LockBit 這樣的組織告訴其附屬機構不要針對醫療保健組織，但新組織似乎沒有任何此類限制。

Rapid7 在 2024 年 5 月觀察到 78 個活躍團體，並且聯盟成員不斷地在與其合作的運營商之間跳轉，評估諸如速度、可靠性以及其菌株避免端點安全工具的能力等因素。

“信譽在地下活動裏至關重要 —— 它就像一個正常的商業市場，”比克評論道。

2024 年上半年，勒索軟件運營商及其關聯組織針對組織的方式發生了一些顯著變化：

Zugec 指出，勒索軟件攻擊者越來越多地利用邊緣網絡設備和軟件供應鏈中的漏洞，然後針對特定組織發起攻擊，使他們能夠一次性入侵多個受害者。一個關鍵的例子是 2023 年的 MOVEit 文件傳輸攻擊，該攻擊影響了全球數千家組織。

他指出， 2024 年，漏洞利用首次超過網絡釣魚和社會工程攻擊，成為勒索軟件事件的原因。

在許多情況下，最初的入侵和勒索軟件部署之間存在很大差距。這是因為聯盟成員入侵瞭如此多的組織，然後根據組織規模、訪問受害者數據的難易程度以及它們是否為更有利可圖的目標提供了通道等因素來確定優先攻擊哪些組織。

Zugec 表示，數據泄露現在是勒索受害者的主要方式，加密通常被視為一種“不錯的”附加功能，而許多攻擊者根本不會鎖定數據。

這一趨勢源於改進的備份解決方案，這些解決方案可以幫助受害者在數據被加密時快速恢復。

Zugec 指出，初始入侵後的活動依賴於手動操作來橫向移動並訪問敏感數據。Beek 也觀察到了這種趨勢，他表示攻擊者在受害者網絡內部經常使用離地攻擊技術。

“如今我們看到的是他們利用漏洞進入，然後提升他們的權限。然後他們做的第一件事就是找出這家公司的大部分數據存放在哪裏。在發生泄露後，他們就會部署勒索軟件，”他解釋道。

儘管勒索軟件的威脅日益嚴重，但 Infosecurity Europe 的專家指出，不斷變化的策略確實為防禦者提供了機會。Beek 表示，攻擊者專注於數據泄露的趨勢為在部署勒索軟件之前檢測活動提供了更多機會。

他指出：“如果您實施了適當的控制，您應該會看到當網絡出現異常活動時流量會出現峯值。”

Bugec 認為，目前人們過於關注勒索軟件事件的結束部分，當攻擊者進入網絡時，組織應該考慮部署防禦措施，防止橫向移動和手動黑客操作。

Fleet Mortgages 安全與技術總監 Erhan Temurkan 也提倡這種方法，他表示，組織必須圍繞其關鍵數據建立防禦控制措施，以防止數據泄露。

“瞭解你的數據，瞭解你的數據在哪裏。我們試圖避免的是‘打砸搶’，”他概述道。

此外，由於漏洞利用現在是攻擊者獲取初始訪問權限的主要方式之一，修補過程變得越來越重要。

比克表示，攻擊者現在通常在補丁發佈後的 24 小時內利用嚴重漏洞，因此以數據為主導的優先排序是必要的。

他建議安全團隊與威脅研究人員合作，他們可以快速洞察實時被利用的關鍵漏洞。

比克敦促道：“如果某個漏洞正在被利用來發起勒索軟件攻擊，那麼就忘掉其他漏洞，集中精力解決這個漏洞。”