本文来自微信公众号“安全419”,作者/西西。
自1989年首次出现以来,勒索软件经历了三十多年的发展,已经成为全球网络空间安全面临的重大威胁和挑战。在今年,其攻击声势和复杂程度都在进一步变严峻。
根据安全419的勒索软件攻击季度盘点和全球各机构发布的相关调研报告,VMware ESXi、GoAnywhere MFT、MOVEIT等漏洞的曝出导致了广泛的供应链威胁,全球的政府公共部门、教育医疗机构、金融机构、关基单位、商业组织等重点行业都惨遭勒索组织的毒手。
除了重大软件漏洞的利用,勒索软件攻击过程正变得越来越复杂,比如结合了人工智能等数字化新技术不断增强了新的攻击面,比如采用新的编程语言逐渐具备了覆盖Linux、VMwareESXi、MacOS等跨平台攻击能力,比如多重勒索模式盛行让受害者陷入被勒索攻击、数据遭窃取、进而更易被攻击的恶性循环。
遗憾的是,虽然攻击愈加“高端”,但勒索软件即服务RaaS在暗网已成规模,被快速出售的工具和服务,甚至被公开流转的源码和构建器,吸纳衍生出更多的新型犯罪团伙,让勒索组织/家族的生态更加庞大、猖獗。
从结果来看,便是勒索攻击事件爆发的数量和索要/支付的赎金都呈现明显上升趋势。
仅2023年上半年,全球披露的勒索攻击事件达2000多次,同比去年有较大增长。有机构通过监测近150个网络犯罪集团发现,平均每天至少有10家企业遭受勒索软件攻击。
在Chainalysis公布的一组数据中,2023年全球的勒索软件赎金从虚拟货币市场追踪的总金融可能达到8.98亿美元,其中仅上半年受害者就向勒索软件团伙支付了4.49亿美元赎金。知名个案比如凯撒娱乐在8月遭到入侵,其向勒索团伙支付了1500万美元。
遭遇勒索攻击后,与绑匪硬刚到底同样需要花费巨大的精力和财力来恢复运营,选择支付赎金自然成为部分受害机构的“便利”选择。虽然监管机构和舆论环境一直不支持花钱消灾,但在实际实施中,选择支付赎金的机构仍不在少数,知名机构的妥协也容易让更多的潜在受害者效仿。
但是,一票的损失就可以换来确切的、长久的安稳了吗?
Cybereason的调查数据显示,首先,付费并不能保证运营会恢复正常,46%的人在付款后重新访问了他们的数据,但部分或全部数据已损坏,25%的受访者表示,勒索软件攻击导致他们的组织关闭。
更令人不安的是,大约80%选择支付赎金的组织会遭到第二次攻击,近一半的人表示他们认为是同一个团伙所为。
对于勒索组织来说,付费传递出商业模式的可行性,只会鼓励更多攻击从而加剧问题。而且盈利将帮助其提升技术和运营,后续的攻击不仅更多而且更难以抗衡,无疑是助长勒索市场的进一步扩大,而往往正是这些选择支付赎金的机构,以及同行业或同地区的机构,会成为首当其冲的受害者。
受害机构可能十分委屈,遭遇攻击的当下无法考虑长远的生态问题,选择付款只是为了解决眼前迫在眉睫的困境。需要明确的是,勒索攻击是一个过程,而不是一个瞬时动作,被攻击并非就无法生还,根据奇安信《2023年中国企业勒索病毒攻击态势分析报告》绘制的勒索病毒攻击“生存曲线”,0~30分钟是勒索病毒攻击应急响应的“黄金救援期”,系统生存率仍在90%以上;以590分钟为临界点,超过该临界时间点,系统被成功投毒的概率就会大于生存概率。
此外,赎金只是勒索攻击事件成本中最为直观外显的一部分而已,无论是否选择付款,更多的隐藏成本和影响都是巨大、持久、必然的。
攻击期间和之后的停机成本
勒索软件攻击会直接影响业务的正常运营。而机构用于应对攻击所花费的时间和精力,比如查找问题来源、溯源攻击、应对监管等等,势必会耽误原本计划要完成的工作任务,造成其他业务和生产力的损失成本,同时极有可能导致失去商业机会。
响应、恢复和重新运营的成本
很少有机构在日常配备足够庞大专业的安全运营团队,遭遇攻击后,往往需要聘请外部专家和顾问来帮助恢复生产。根据恶意软件类型的不同,可能还需要升级或更换技术,此举也将产生相应的成本。此外,数据备份的质量也是非常重要的因素,亦或者攻击者有能力删除或加密备份文件,那么成本将会更多。总的来说,系统瘫痪的时间越长,造成的损失就会越大。
数据泄露成本
双重及多重勒索的流行,让受害机构不仅面临系统被锁,还面临敏感数据被窃取外泄的风险。这就意味着,又将增添一项有关泄露通知、危机公关以及潜在监管或法律制裁的成本。此外,数据泄露还可能会引发与法律和诉讼相关的费用,以及接受监管审查和完成法律合规性要求相关的成本等。
供应链成本
最容易忽视的一项成本是勒索软件攻击可能会对供应商和其他第三方造成负面影响。在这些与直接受害机构存在合作和供应关系的企业中,有些遭受了生产力损失,而有些遭受了财务损失。
声誉成本
声誉损失是最难衡量和评估的,被勒索被曝光塑造的是该机构没有承担起安全保障义务的形象,无论是安全意愿不足或能力不足,都是非常负面的印象,客户可能会很难再次信任并选择该机构,对品牌和未来业务都将产生难以挽回的深远影响。
观察今年的诸多典型勒索事件也可以得到印证,比如:
1
米高梅9月发生的勒索事件,对其造成1亿美元左右的经济损失,运营中断占据大头,在网络安全方面该公司另外支付了1000万美元用以清理受感染的系统和相关安全建设;
2
爱尔兰卫生局下属医院大面积终端感染勒索病毒,其恢复总成本后期统计就接近8000万欧元;
3
世界水果巨头都乐在5月披露其遭遇勒索攻击,造成了1050万美元的直接成本,其中480万美元用于受影响系统的紧急恢复上;
4
英国外包巨头Capita同样披露今年3月遭受勒索攻击的事后成本,已花费2000万英镑,包含专家服务费,补救措施,以及新的安全投资。
所以,最好的办法是建设安全,而不是牺牲安全,赎金本身是损失的同时,支付赎金并不意味着不会造成其他损失。
防御勒索软件攻击,贯穿事前、事中、事后不同时间段,机构既需要能够自救和及时响应,也需要重视日常的安全建设和运营。
比如,奇安信安全专家归纳了以下几点实用建议,方便各机构IT及安全人员参考:
1
重视常态化安全运营
○系统、应用相关的用户杜绝使用弱口令,同时,应该使用高复杂强度的密码;
○定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;
○加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。
2
打造体系化与细粒度的安全防护
○部署全流量监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;
○部署高级威胁监测设备;
○禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制;
○有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口;
○配置并开启相关关键系统、应用日志,对系统日志进行定期异地归档、备份,避免在攻击行为发生时,导致无法对攻击途径、行为进行溯源等;
○重点建议在服务器上部署安全加固软件,并安装相应的防病毒软件或部署防病毒网关,及时对病毒库进行更新,并且定期进行全面扫描。
3
提升勒索发生后的快速响应处置能力
○对于已中招的服务器应下线隔离,使用杀毒软件对中毒服务器进行全盘查杀,避免病毒的残留;
○对于未中招的服务器,在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放,远程连接类访问只允许白名单内IP连接;
○开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口;
○每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构。
在强实操性的安全运维工作之外,安全供应商也一直致力于构建更全面更智能的产品以应对勒索攻击。不同于传统的反病毒工具,基于如今勒索攻击起点及过程的百变花招,勒索家族衍生的复杂变种,以及与数据资产泄露危害的强绑定,反勒索攻击工具也在进化升级。
根据安全419在业界的走访了解,以下解决方案在遏制勒索攻击方面具有独特的优势亮点或出众的安全能力,值得相关机构关注:
瑞数信息11月召开其年度新品发布会,发布一款数据备份和快速恢复备份数据的数据安全检测与应急响应(DDR)系统。其设计思路跳出了大多数方案将重心放在网络边界、应用和主机侧,以防止勒索软件入侵、阻断勒索软件扩散,观察到勒索软件具有很高的隐蔽性和伪装性,进入网络/主机层后往往长期潜伏,在获取更高权限并掌握大量关键数据后才会发起勒索,此时网络/主机层已经无法阻止攻击。
因此,在勒索软件的潜伏期保护好企业的核心关键数据至关重要。该DDR系统从事前数据健康体检、事中智能威胁检测、事后快速响应恢复三个维度构建数据安全闭环防护体系,核心技术包括智能深度健康监测引擎,对文件的检测并不仅仅关注是否被加密,而且还包括检测文件特征、重复文件,勒索申明内容等与勒索行为相关的多重维度;在智能检测引擎部分,瑞数还引入了许多AI技术,去对勒索软件的加密特性进行学习和提取,同时进行数据的预处理和关联分析等一系列自动化检测动作;还基于数据原始格式备份技术搭建了一个数据安全底座,将恢复效率提高二十余倍以上。
威努特打造的主机防勒索系统,是一款专防专治勒索病毒的终端安全产品。其观察到基于威胁情报和病毒特征的防护软件或安全平台,在面对新型勒索病毒时很容易失效,攻击手法的演进变化依靠单一的功能无法确保有效防御,提出需要综合勒索行为检测、数据安全保护、系统资源保护、数据备份与恢复等完整的、闭环的安全能力,才能实现勒索病毒的有效防范。
勒索行为深度检测技术原理
与传统采用黑名单的杀毒方式不同,该系统结合操作系统内核驱动,以勒索行为监测、勒索病毒诱捕、系统资源保护、关键业务保护、核心数据保护、数据智能备份等多项创新技术,形成多层次纵深防御机制,能够应对新型的、变异的勒索病毒,精准识别勒索软件、保护系统资源不被破坏、保护业务应用免遭中断、保护业务数据不被篡改、备份业务数据并恢复,实现事前预防、事中检测/阻断、事后恢复的勒索病毒综合防范。在实践上,该系统已经帮助国内医疗、政府及监管机构、制造业、轨交等行业的多个客户成功防范勒索攻击。