勒索软件生态系统正经历显著的活动激增,反映出威胁格局的深刻碎片化。最近出现的新泄露站点列表,影响了美国多个关键部门的组织,清晰地说明了这种不断演变且日益复杂的威胁。
发生了什么
最近,一个勒索软件团伙发布了新的受害者名单,严重影响了医疗、教育、保险、能源和技术等行业的组织。值得注意的目标包括横跨多个行业的知名实体。这些披露通常发生在谈判失败之后,数据要么被发布,要么被威胁发布。
威胁行为者声称拥有大量高度敏感的数据集。例如,据称包括一家大公司的重要记录、一家医疗服务提供商的大量受损数据,以及一个全国性协会的大量保险行业数据。这些数字凸显了潜在数据外泄的规模以及对受害组织的严重影响。特别是教育和医疗保健,由于其管理着大量的个人、财务和运营信息,仍然是主要目标。
为什么这种模式会不断重复
勒索软件即服务(RaaS)运营的基本经济学和运营弹性推动了这种持续的模式。团伙的扩散和全球受害者数量的众多,表明了这些犯罪活动的盈利能力和相对较低的进入门槛。生态系统已经碎片化,从少数几个主导者转向众多规模较小、更灵活、更难以归因的行动。
这种碎片化使得对执法工作的快速适应和抵抗成为可能。当一个团伙被瓦解时,新的团伙就会出现,通常利用共享的基础设施或从 defunct 的行动中招募关联人员。RaaS 模式,即开发者向关联人员提供工具和基础设施以换取赎金分成,进一步普及了对复杂攻击能力的访问。
勒索软件泄露站点的激增是碎片化且具有弹性的 RaaS 生态系统的直接结果,其中对利润的追求始终超过了被动防御。
攻击者的逐步策略
勒索软件操作通常遵循多阶段攻击方法,通常从初始访问代理开始。这些攻击者通过各种方式获取入口,包括利用已知漏洞、网络钓鱼或凭证填充。例如,安全研究发现与各种团伙相关的许多常见漏洞,表明其依赖于利用常见弱点。
一旦建立初始访问,攻击者就会在受害者的网络内进行侦察和横向移动。这个阶段涉及映射网络拓扑、提升权限,以及识别用于数据外泄和加密的高价值目标。已知威胁行为者使用各种加密器来针对不同的操作系统和环境,这表明其攻击工具的多功能性。
数据外泄是一个关键步骤,通常在加密之前进行,以最大限度地勒索。然后,威胁行为者部署勒索软件来加密系统,使其无法运行,并留下勒索信息。如果谈判失败,如最近的泄露站点活动所示,被盗数据将在公共泄露站点上发布,从而增加进一步的压力和声誉损害。
防御者错过了什么
新泄露站点和受害者披露的反复出现,表明防御策略存在重大漏洞。许多组织继续使用回顾性威胁情报,在主要事件发生后才关注妥协指标(IOC)和已记录的战术、技术和程序(TTP)。这种被动姿态使其容易受到新兴团伙和不断演变的攻击技术的影响。
此外,缺乏主动的进攻性安全测试意味着可利用的漏洞通常在攻击者利用它们之前仍未被发现。这包括外部系统中的弱点、错误配置和权限升级路径,这些都可以通过自主进攻性测试来识别。攻击者从某些受害者那里声称的大量数据表明,强大的数据分段、访问控制和外泄检测机制可能不足。
对内部系统的关注往往掩盖了第三方供应商带来的关键风险。勒索软件可以穿透供应商生态系统,通过受损的供应商影响组织。如果不能清楚地了解供应商的脆弱性,组织将继续面临级联风险。
实用的防御清单
为了应对不断升级的勒索软件威胁,首席信息安全官和安全工程师必须采取主动和全面的防御姿态:
- 优先进行漏洞管理: 持续识别和修补关键漏洞,特别是那些经常被勒索软件团伙利用的漏洞。
- 实施强大的访问控制: 在所有关键系统上强制执行最小权限原则、多因素身份验证(MFA),并定期审查管理访问权限。
- 加强网络分段: 隔离关键资产和敏感数据,以限制在发生泄露时的横向移动。
- 增强端点检测和响应(EDR): 部署和微调 EDR 解决方案,以检测和响应可疑活动,包括侦察和数据外泄尝试。
- 制定和测试事件响应计划: 定期演练事件响应场景,包括勒索软件攻击,以确保迅速有效的遏制和恢复。
- 进行主动进攻性测试: 实施自主进攻性测试,持续识别可利用的漏洞和错误配置,抢在攻击者之前。
- 评估第三方风险: 将勒索软件易感性情报整合到第三方风险管理计划中,以了解和缓解供应链漏洞。
现代进攻性测试将如何发现这些问题
传统的漏洞扫描和渗透测试通常提供一次性评估,这在动态的威胁环境中很快就会过时。现代进攻性测试,特别是自主进攻性测试,提供了一种持续和适应性强的方法。我们的平台凭借其自主进攻性测试能力和可执行的 PoC(概念验证),提供了显著的优势。
这种方法持续模拟真实世界的攻击者技术,识别导致关键资产或数据外泄的可利用路径。通过生成可执行的 PoC,安全团队可以获得漏洞的具体证据和攻击者将采取的精确步骤。这使得能够主动修复可能导致初始访问、横向移动或数据外泄的缺陷,直接反映了勒索软件攻击的早期阶段。
例如,如果威胁行为者利用已知漏洞(例如安全研究人员发现的漏洞),自主进攻性测试将识别该漏洞,通过 PoC 演示其可利用性,并允许在勒索软件攻击中利用它之前进行修复。这使得防御从被动的事件响应转向主动的威胁缓解。
接下来要关注什么
勒索软件格局将继续快速演变。碎片化为更小、更快的操作将持续存在,这使得归因和破坏更具挑战性。预计供应链和第三方供应商将继续被利用,因为攻击者寻求进入大型组织的阻力最小的路径。
勒索软件生态系统中的不成文规则,即某些地理区域在很大程度上是禁区,以避免当地执法干预,仍然是一个关键的动态。过去发生的一起事件涉及一个知名团伙的关联人员,该关联人员因意外攻击一家在敏感地区设有公司办事处的公司而道歉并禁止了该关联人员,这凸显了这种地缘政治限制。这种动态的任何转变都可能显著改变全球威胁格局。
此外,大量数据外泄的说法日益增多,表明除了单纯的加密之外,对数据货币化的关注也日益增加。组织必须为更复杂的双重和三重勒索方案做好准备,其中数据泄露、拒绝服务和与客户直接沟通被利用。持续的威胁情报和主动的安全措施对于在这种不断升级的环境中生存至关重要。
