新型勒索軟件攻擊: 三重勒索
與 2020 年初相比,今年全球遭受勒索軟件攻擊的機構增加 102%,並且絲毫不見減弱之勢
- 2021 年上半年,全球遭受勒索軟件攻擊的機構比 2020 年增加一倍以上
- 本港的機構平均每間每週遭受 5 次攻擊。這一比例比今年年初增長了 107%
- 自2021 年四月初以來,醫療和公用事業行業成為攻擊者的頭號攻擊目標
- 與其他地區相比,攻擊者將矛頭更多指向亞太地區的機構。
- Check Point Research (CPR) 警告要留意新型勒索軟件的威脅 – 三重勒索
美國聯邦調查局上週一發布聲明證實,Colonial Pipeline 網絡這次遭遇的勒索軟件攻擊由一個名為DarkSide 的專業網絡犯罪組織發起。 DarkSide 採用勒索軟件即服務 (RaaS) 模式,利用合作夥伴程式來發動網絡攻擊。這增加了調查難度,令目前我們對這次攻擊幕後黑手的了解少之又少。
DarkSide 勒索軟件利用網絡社區中極為少見的系統(例如 ESXi服務器)發起攻擊。在這次攻擊中,疑似涉及 ICS 網絡。該勒索軟件已被用於發起眾多定向勒索軟件攻擊,Forbes Energy Services 和 Gyrodata 等許多其他油氣公司深受其害。
繼美國塔爾薩市遭遇的其他大規模攻擊以及企圖勒索蘋果公司的 REvil 勒索軟件攻擊之後,勒索軟件攻擊顯然引發了全球密切關注,但機構在防範這類攻擊事件方面仍缺乏實際行動,甚至毫無防範意識。
全球數據
CPR 三月份報告稱,自 2021 年初以來,利用 Microsoft Exchange 漏洞發起的勒索軟件攻擊數量增加了 57%。近日,美國最大的燃油管道運營商Colonial Pipeline 遭遇勒索軟件攻擊,據估計,2020 年勒索軟件給全球企業造成的損失約為 200 億美元,比 2019 年增加了近 75%。
自四月份開始,CPR 研究人員觀察到每週平均超過 1,000 個機構受到勒索軟件影響。受影響的機構數量顯著增加,2021 年第一季度為 21%,第二季度截至目前為 7%。與 2020 年初相比,今年受勒索軟件影響的機構增加高達 102%。
機構遭受的攻擊次數(按行業劃分)
目前為止,醫療行業成為勒索軟件攻擊的重災區,每個機構平均每週遭受109 次攻擊(比年初增長3%),其次是公用事業(59 次,增長4%)和保險/法律行業(34 次,增長1%)。
地理數據
勒索軟件影響(按地區劃分)
如下圖所示,亞太地區的機構目前所遭受的勒索軟件攻擊次數最多。亞太地區的機構平均每間每週遭受 51 次攻擊。這一比例比今年年初增長了 14%。非洲地區的機構則受勒索軟件攻擊次數的增長最快,自四月起達34%
北美地區僅隨其後,每個機構平均每週遭受29 次攻擊(增長25%),其次是歐洲和拉丁美洲地區(14 次,分別減少6% 和25%)和非洲地區(4 次,增長34%)。
受勒索軟件影響的首五個國家
自 2021 年初,印度成為受勒索軟件攻擊影響的機構數量最多的國家,平均每週受到213次的攻擊。其次是阿根廷 (104)、智利 (103)、法國 (61)和台灣 (50)。
在2021年遭受攻擊的熱門行業(按地區劃分)
如下表所示,攻擊者涉足全球各個行業。自年初,在北美地區的醫療機構遭受的攻擊最多;而在歐洲地區,遭受攻擊最多的則是公用事業部門。在亞太地區,保險/法律和製造業受到的影響最大,而在拉丁美洲地區,通訊業則位居第一。在非洲地區,金融和銀行部門受到的攻擊最多。
| 亞太地區 | 拉丁美洲地區 | 非洲地區 | 歐洲地區 | 北美地區 |
| 保險/法律 | 通信 | 金融/銀行 | 公用事业 | 醫療 |
| 製造業 | 製造業 | 製造業 | 軟件廠商 | 軟件廠商 |
| 醫療 | 零售/批发 | 零售/批发 | 醫療 | 保險/法律 |
| ISP/MSP | 金融/銀行 | ISP/MSP | ISP/MSP | 教育/研究 |
| 政府/軍事 | 政府/軍事 | 政府/軍事 | 政府/軍事 | 政府/軍事 |
三重勒索勒索軟件:第三方威脅
不可否認的是,在過去的 2020 年,尤其是自新冠疫情爆發以來,雙重勒索開始盛行。雖然無法掌握有關所有雙重勒索事件及其結果(並非全部予以披露和公佈)的信息,但僅根據 2020-2021 年期間收集的統計數據,就可以感受到該攻擊向量的強大破壞力。在過去的一年裡,平均支付的贖金增長了 171%,目前約為 31 萬美元。 2020 年,上千間公司在拒絕黑客贖金要求之後遭遇了數據洩漏,在所有新發現的勒索軟件家族中,約 40% 的勒索軟件在攻擊過程中採用了數據滲透手段。這些數字充分反映了將數據洩露和勒索軟件威脅相結合的攻擊技術的巨大破壞性,但更令人擔憂的是,攻擊者仍在設法提高贖金支付額和威脅效率。
2020 年底和2021 年初發生的多起重大攻擊都源於一條新攻擊鏈,這條攻擊鏈本質上是對雙重勒索軟件技術的擴展,即在雙重勒索攻擊過程中集成了其他獨特威脅,我們稱之為「三重勒索」。第一個值得注意的是 Vastaamo 心理治療中心攻擊事件。該攻擊發生在 2020 年 10 月,當時這種攻擊方法極具創新性。這間擁有 40,000 名患者的芬蘭心理治療中心遭受了長達一年的數據洩露,最終黑客成攻竊取大量患者數據並發起勒索軟件攻擊。黑客要求該治療中心支付巨額贖金,更令人驚訝的是,他們亦向每個患者單獨發送了電子郵件,要求他們支付少量贖金,否則將公佈其心理治療記錄。該攻擊是在勒索軟件攻擊上首次出現的戰術。
而不久之後,REvil 勒索軟件組織在 2021 年 2月宣稱,他們在雙重勒索方案的基礎上又增加了兩個階段,即向受害者的業務合作夥伴和媒體發起 DDoS 攻擊並撥打騷擾電話。分發 Sodinokibi 勒索軟件的 REvil 勒索軟件組織採用「勒索軟件即服務」業務模式。該組織現在免費代其組織成員向記者和同事發起 DDoS 攻擊和撥打語音騷擾網絡電話,旨在對受害公司施加更大壓力,迫使他們在指定時間段內按要求支付贖金。
即便取得了巨大成功,威脅組織仍在不斷尋求更具創新性、更具成效的業務模式。我們只能推定是攻擊者的創造性思維以及對雙重勒索軟件攻擊複雜場景的明智分析推動了三重勒索技術的發展。儘管這些勒索軟件攻擊並未直接攻擊第三方受害者(例如公司客戶、外部同事和服務供應商)的網絡資源,但它們造成的數據洩露嚴重影響並損害了第三方受害者。無論黑客是否另外要求他們支付贖金,面對威脅他們都像是待宰的羔羊,一旦被瞄準,也將蒙受巨大損失。因此,他們自然是潛在的勒索目標,並且現在可能已經成為勒索軟件組織的攻擊目標。
防禦勒索軟件
- 在週末和節日假期提高警惕 — 在過去的一年裡,大多數勒索軟件攻擊都發生在人們更可能放鬆警惕的週末和節日假期。
- 安裝最新補丁 — 2017 年 5 月,攻擊者利用「永恆之藍」漏洞發起大規模 WannaCry 攻擊,其實當時已存在針對該漏洞的補丁。該補丁在攻擊發生前一個月便已發布,由於該漏洞很可能被利用,該補丁亦被標記為「關鍵」補丁。然而,許多機構和個人沒有及時安裝補丁,這導致了勒索軟件的急速爆發,三天之內便感染了 200,000 台電腦。令電腦保持最新狀態並及時安裝安全補丁,尤其是關鍵補丁,可幫助機構降低遭受勒索軟件攻擊的可能性。
- 反勒索軟件 — 儘管先前的勒索軟件防禦措施可幫助機構規避遭受勒索軟件威脅的風險,但它們無法提供完善的保護。一些勒索軟件運營商使用經過精心設計的具有高度針對性的魚叉式網絡釣魚電子郵件作為其攻擊向量。這些電子郵件甚至能夠騙過最謹慎的員工,幫助勒索軟件獲得對機構內部系統的存取權限。防範這種「漏網之魚」需要使用專門的安全解決方案。為了入侵目標,勒索軟件必須執行某些異常操作,例如打開和加密大量文件。反勒索軟件解決方案可監控電腦上運行的程序是否存在勒索軟件通常表現出的可疑行為,如果檢測到這些可疑行為,該程序會及時採取措施阻止加密,以防發生進一步損害。
- 培訓 — 培訓用戶如何識別和避免潛在的勒索軟件攻擊至關重要。當前的許多網絡攻擊都始於一封針對性電子郵件,該電子郵件甚至不包含惡意軟件,包含一則鼓勵用戶點擊惡意連結的社交工程消息。用戶培訓通常被視為機構可採用的最重要的防禦措施之一。
- 勒索軟件攻擊並非始於勒索軟件 — Ryuk 及其他勒索軟件會購買針對目標機構的感染程式。安全專家應注意網絡中的 Trickbot、Emotet、Dridex 和 CobaltStrik 感染程式,並使用威脅追踪解決方案將其刪除,否則它們會為 Ryuk 或其他勒索軟件攻擊打開大門,從而攻擊機構。
本報告中使用的數據為使用 Check Point 威脅防護技術檢測到的數據,這些數據儲存在ThreatCloud中,並在其中予以分析。 ThreatCloud 提供的實時威脅情報來自於位於在全球網絡、端點和流動設備上的數億個傳感器。 AI 引擎和 Check Point 情報與研究部門 Check Point Research 的獨家研究數據進一步豐富了情報內容。
發表迴響