自Popp于1989年推出AIDS木马病毒以来,勒索软件一直在稳步发展。在网络链接或电子邮件附件尚未普及之前,勒索软件的第一个版本是通过软盘传输的。虽然传播方式确实发生了变化,但勒索软件启动后的行为却呈现出一致性和多变性并存的现象。
看看勒索软件生命周期的不同阶段,以便更好地了解攻击者如何发动攻击以及防御者如何更好地抵抗。
1. 目标选择与侦察
勒索软件团伙就像银行劫匪一样,需要一个有能力支付赎金的目标。攻击者会收集公开数据,包括查找目标网站的所有者和运营者,以确定该网站是自主管理的,还是已将管理外包给云服务提供商或其他实体。攻击者还可能试图收集网站关键人员的信息,有时甚至试图在社交媒体上与他们建立信任。一旦建立信任,目标个人就更容易受到通过链接或电子邮件传播的恶意软件的攻击。
对于受害组织而言,被选中并非他们所能掌控。企业避免这种命运的最佳方式是强化防御,降低受攻击的几率。这可以通过做好用户和系统的准备来实现。一些常见的防御措施包括用户安全意识培训、补丁安装和常规的网络卫生实践。
2.恶意软件传播和感染
网络钓鱼、恶意网站上的恶意链接以及社交媒体垃圾邮件是常见的恶意软件传播手段。这些手段之所以持续存在,是因为尽管用户接受了安全意识培训,但它们仍然有效。目标用户可能很着急、精神负担过重、想提供帮助,或者仅仅是出于好奇。无论出于何种原因,他们都会落入陷阱。一旦点击链接或附件,恶意软件就会运行,渗透就此开始。
另一种勒索软件攻击方式是社交媒体垃圾邮件。这种方法在一定程度上依赖于点击诱饵。视频或链接看起来太有吸引力,目标用户难以抗拒,出于好奇或因为看起来像是来自可信的发件人,他们就会点击。
窃取用户凭证也可能是勒索软件传播的因素之一。如果网络犯罪分子通过钓鱼计划或恶意链接提前获取登录凭证,他们就可以通过受信任的用户植入勒索软件。
研究人员还发现,利用服务漏洞作为攻击媒介的情况日益增多。攻击者并非创建并使用传播软件,而是有时会利用面向公众的应用程序中已知的漏洞。鉴于用户已经接受了更深入的培训,能够更好地避开可疑链接,攻击者可能会认为这种途径更有希望。
安全供应商发现,攻击者越来越多地将合法工具(例如操作系统功能或软件)作为攻击目标。利用远程桌面服务就是这种策略的一个例子。通过混入合法流量,攻击者可以更好地隐藏在众目睽睽之下。此外,这些更隐蔽的攻击有时可以逃避传统的检测软件,因为传统的检测软件依赖于发现可疑的新进程或新端口的开放。
3. 命令与控制
命令和控制阶段仍然是勒索软件杀伤链的核心要素。
一旦成功感染目标设备,恶意软件通常会开始与命令与控制服务器(C&C 服务器)进行通信。在威胁行为者的控制下,该外部服务器负责向目标设备发送加密密钥。还可能下载其他恶意软件和网络探测软件。
4. 探索和横向移动
在此阶段,攻击者会寻找途径深入渗透组织的 IT 系统,通常是通过滥用员工凭证或管理员账户。如果成功,他们可以造成更大的破坏并窃取宝贵的数据。这种在不被察觉的情况下跨系统攻击的能力被称为横向移动。
现在,这一运动通过人工智能得到了增强,它可以在主机上进行探测和响应,而不需要与外部控制服务器通信。
横向移动使勒索软件攻击者能够在加密之前最大限度地渗透。如果利用零日漏洞,攻击者可以在不被发现的情况下渗透多个站点,从而传播攻击并最大化潜在获利能力。云环境仍然是颇具吸引力的目标,因为可能为攻击者提供访问许多站点以及虚拟机管理程序的权限,而虚拟机管理程序是某些安全工具无法触及的层级。
微软和其他公司已经注意到勒索软件团体利用横向移动来提升访问权限并操纵目标安全产品内的设置,从而使他们拥有更大的移动自由而不会触发警报。
5. 数据泄露和加密
一旦被发现,数据就会被复制,然后被窃取。泄露通常是安全软件首次检测到错误的时刻。
这也是勒索软件攻击的阶段,攻击者可能会加密窃取的数据。加密是典型的加密勒索软件策略。恶意攻击者会提供解密密钥,以换取赎金。
最近,一些攻击者决定跳过这一步。赛门铁克在其2024年威胁报告中表示,其观察到无加密攻击有所增加。在不加密的情况下进行数据泄露可以显著减少攻击者在勒索软件操作上花费的时间。相反,勒索软件团伙会使用一小段数据来让目标组织误以为他们拥有完整的数据集。
6. 敲诈勒索
此时,勒索软件目标通常会看到包含以下部分或全部信息的消息:
感染通知。
犯罪分子为获取解密密钥所要求的金额。
提交付款的说明。
倒计时器用于指示攻击者在永久窃取数据或增加赎金金额之前等待赎金支付的时间。
如果网络犯罪分子将文件上传到 C&C 服务器,还可能威胁公开发布数据,这种策略被称为双重勒索软件。三重勒索软件涉及第三个元素,例如DDoS攻击或对目标组织的客户或合作伙伴的并行勒索。
受害者和攻击者之间的动态发生了一些变化。
以往,目标遭受勒索软件攻击后,会在等待解密密钥期间关闭系统,而现在的对抗更具互动性。攻击者可能会加密复制的有效载荷,但受害组织可能拥有可用的备份,意味着它不需要返还整个数据集。这种动态使得与勒索软件团伙谈判以获得较小数据子集的密钥或同意较低的赎金成为可能。谈判是勒索软件相关支付金额减少的一个因素。
7. 解决方案和升级
先进的安全工具和技术可以降低入侵风险,并提高发现和阻止勒索软件攻击(如果正在进行)的几率。
考虑以下几点:
自动补丁管理。恶意软件经常利用设备操作系统或应用程序中未修补的漏洞。自动修复已知软件安全漏洞的补丁管理工具可以显著降低勒索软件攻击的可能性。
反恶意软件和防病毒软件。反恶意软件和防病毒软件有助于识别和防御已知的勒索软件变种。安装在设备和电子邮件应用程序中后,这些工具可以阻止与已知恶意域的通信,并阻止可识别恶意软件的安装。
异常检测软件。基于人工智能的异常检测功能(例如用户行为分析软件中的功能)会持续扫描网络流量以识别可疑活动。确认勒索软件入侵后,安全团队可以隔离受感染的设备,以防止进一步的横向移动和感染。
网络微分段。 微分段可帮助 IT 团队限制横向移动。将网络逻辑划分为精细的子网,每个子网都具有定制的访问控制规则,从而防止恶意软件感染的传播。
改进的纵深防御策略依赖于多种检测、保护和强化技术,以降低潜在攻击链中每个环节的风险。为了防范新的勒索软件行为,请考虑两种策略。首先,进一步加强安全控制,以检测其他进程活动和有效载荷移动。其次,训练安全编排和自动响应软件,以检测并修复表明存在异常活动的环境变化。
勒索软件的演变和攻击者行为的变化是不可避免的,而且很可能还会继续演变,变得更加隐蔽。这些变化可以说反映了勒索服务的商品化。勒索软件即服务的兴起导致攻击者的数量激增。为了保护数据安全,网络安全专业人员需要跟上这些不断变化的勒索软件威胁的步伐。
