最近,作为负责支持和保护网络生活的云服务提供商的Akamai,结合自己的观察和分析,为我们介绍了勒索软件的最新趋势。同时,也给出了一些相对具体的应对方式。
勒索软件的最新趋势
Akamai北亚区技术总监刘烨表示,从Akamai看到的数据显示,2023年第一季度的勒索软件受害者数量与2022年第一季度同比增加了143%。
从Akamai的分享可见,过去一年,勒索软件受害者数量有了显著提高。
勒索软件团伙会使用“零日”和“一日”漏洞等攻击方法以及多种勒索攻击方法,最大限度地增加受害企业的损失。
刘烨的介绍也提到了一些独特的攻击特点,可以帮我们更好地认识勒索软件的一些趋势。
首先,65%的受害者其实都来自于中小企业的。这与很多人的印象相悖,这可能是因为大企业影响范围大,遭受攻击之后更容易受到关注所致。
之所以中小企业容易被攻击,刘烨认为,这与这些中小企业的安全体系架构、安全能力、对于安全的重视程度不足有关。反之,大企业防护能力会更强一些,不容易被攻破。
第二,亚太地区的勒索受害者数量增长率非常高,达到了204%,欧洲、中东和非洲地区的增幅是77%。
对此,刘烨的解释是,这可能与被攻击企业系统的完善程度、安全防护水平、被勒索后交赎金意愿以及行业内的安全从业者水平都有关系。
第三,只要被勒索过一次,很容易再次被勒索。刘烨介绍称,如果企业被勒索过一次,在三个月之内再次被勒索的概率,会是没有被勒索过的企业的6倍。
这是因为被勒索过的企业在安全防护方面肯定是有所欠缺的,意味着短期内再次被攻破的概率通常也会更高。
第四,制造行业的受害者数量增长了42%。在刘烨看来,这首先与制造行业仍然运行着一些陈旧的软件系统、安全防护和更新节奏慢有关。同时,制造业的大量IoT设备也会带来额外的安全风险。当然,制造业的数据通常包括图纸、知识产权资料等重要的数据,被加密勒索后企业有更高的付费意愿。因此,才更容易被攻击者“照顾”到。
越发成熟的勒索软件攻击产业
刘烨的介绍让我们意识到,攻击者也很讲究投入产出比,更关注如何拿到更多赎金。事实上,如今的勒索攻击产业“商业化”程度其实也挺高的,已经是一门非常成熟的产业。
Akamai的数据统计出了TOP5的勒索软件和组织。其中,最活跃的就是Lockbit,新闻报道中也经常能看到。除此之外,还有ALPHV、Royal、CL0P和HiveLeak。
勒索软件为自身发展进行了很多经营和投资。从刘烨的介绍中了解到,Lockbit软件经过了几次版本迭代,有了很多改进。而且,Lockbit组织会付费悬赏鼓励别人给软件提修改意见,为软件找Bug。
勒索软件已经进化到了RaaS(勒索软件即服务)的阶段。刘烨提到,ALPHV是一个“软件即服务”方案,软件的开发者并不直接参与勒索,如果攻击者利用ALPHV去勒索并拿到赎金之后,会分一部分赎金给开发者,这是RaaS的运营模式。
能注意到,在提到一些勒索软件和对应的组织时,通常都会提到“运营系统”的概念,可见,勒索软件攻击是成体系的事情。有人说,勒索软件将带来巨大的财富转移,在现实利益推动下,勒索软件已经发展到不得不防的阶段了。
当然,面对越发猖獗的勒索软件,正义的一方也采取了很多措施。
从刘烨的介绍中了解到,在LockBit出现之前,在勒索软件市场上占统治地位的Conti由于被很多政府悬赏,加上勒索软件的主要发起人的信息泄露,随后才不得不关停了Conti。
排名第四的CL0P因为攻击了很多企业,所以,目前也有很高的曝光率。不过,现在CL0P已被美国政府悬赏,如果能找到它的组织者、破坏勒索软件的机构和组织,基于CL0P的这一类攻击也会遭到沉重打击。
在此之前,还会有企业遭受攻击,也可能会出现新的勒索软件,企业自己还是要有所作为,掌握更多主动权。
企业如何主动应对勒索软件
在提到企业如何应对勒索软件时,刘烨提到了五点,包括,了解自身攻击面;制定可靠的流程/行动手册;监控出站流量,确定是否存在威胁指标;确保法律团队随时关注立法动态;开展修补、培训、防护。
首先,“攻击面”指的是用户环境中的应用系统或者网络系统中,可能被攻击的或者薄弱的部分。这里,刘烨特别提到了IoT设备部分,由于易被忽略,IoT设备容易被攻击或作为跳板。
第二个,清晰可靠的流程和行动手册。主要指,当攻击发生时,运维者或者安全的构建者要能紧急应对很多事情,应对时要按照手册或者流程来操作,避免不知道如何应对的情况。
第三个,监测一些入侵指标。通常,被攻击后会有一些典型特点。比如,可以通过检查日志等信息判断系统是否被入侵过,有没有数据被导出过等,更及时地发现问题。
第四个,在发生勒索事件后,注意所在企业或者所在地区在法律上的要求。因为,有些地区有法律要求不允许支付赎金。在具体操作前,除了要跟技术团队对接,还要咨询法务团队的具体建议。
最后,培训指的是培养员工的安全防范意识。比如,提醒员工谨慎打开来路不明的邮件,更不要轻易点击其中的链接,避免被勒索软件攻击。
除了这些建议,刘烨也提到了Akamai应对勒索软件的一些技术方案。
比如,Akamai Guardicore Segmentation(微分段),它能在企业的某一台服务器被攻陷后,阻止黑客将这台服务器作为跳板攻击别的系统,防止攻击在企业内部扩散。
除此之外,Akamai零信任方案里还有,Enterprise Application Access(Zero Trust远程访问),Secure Internet Access Enterprise(安全Web网关)、以及多因子认证(Multi Factor Authentication)。
安全评估与咨询服务(Akamai Hunt)是另外一个比较有意思的服务,它像在打猎一样在用户的系统里巡逻,看用户的系统是不是已经被人入侵,是否被安装了勒索软件,是否存在一些潜在的安全隐患。
这些是Akamai在应对勒索软件方面的主要产品服务,可以对企业在防范和应对勒索软件方面提供实质性的帮助。
结束语
总的来说,勒索软件的威胁是现代企业在网络安全方面不可忽视的重大挑战。不论是大型企业还是中小企业,都需提高警惕,加强安全防护措施。同时,企业也应该定期进行安全培训,提高员工对于网络安全的意识,这样才能在日益复杂的网络环境中保持坚固的安全防线。