事件經過
一個勒索軟體集團,此前以不同名稱為人所知,以驚人的運營敏捷性發起了其品牌重塑計劃,並立即產生了影響。在其以新身份公開運營的首七天內,該集團建立了一個專屬的暗網洩露網站。該平台迅速列出了三家不同的財富 500 強組織,展示了洩露的數據作為入侵證據。
最初的數據傾倒主要針對一家主要的快速服務餐廳 (QSR)、一家領先的汽車供應商和一家全球物流公司,其中主要包含敏感的合約文件。這包括供應商協議、附帶條款的客戶名單以及內部財務預測。迅速的公開曝光突顯了該集團在滲透和數據外洩方面的信心和能力。
這種由一個改頭換面的實體在短時間內執行多起高調入侵的現象,預示著戰略轉變。這表明他們有意擺脫歷史包袱,可能為了逃避執法部門的審查,並在網絡犯罪生態系統中重新建立市場地位。立即針對多個大型企業,暗示著預先存在的訪問權限或高效的初始訪問代理 (IAB) 網絡。
為何這種模式屢次重演
此類勒索軟體行動的持續成功源於多種因素的結合,主要是持續利用常見的安全漏洞和威脅行為者的適應性。組織通常在全面的資產可見性、補丁管理紀律以及強大的身份和訪問控制方面遇到困難。這些基本差距為初始入侵提供了肥沃的土壤。
威脅行為者,包括那些改頭換面的組織,擅長利用已知的漏洞和錯誤配置。他們不斷完善其戰術、技術和程序 (TTPs),從簡單的加密發展到雙重勒索,這顯著增加了受害者的壓力。巨大的經濟誘因持續推動著對新工具和攻擊方法的投資。
品牌重塑現象本身就是一種戰術策略。它允許組織擺脫先前的制裁、公開歸因或受損的基礎設施。一個全新的身份為網絡犯罪地下世界中的招募、談判和公共關係提供了新的開始,通常伴隨著更新的惡意軟體變種或增強的運營安全實踐。
攻擊者的逐步攻略
初始訪問
該組織很可能通過多種方法獲得初始訪問權限。網路釣魚活動,通常是高度針對性的魚叉式網路釣魚,仍然是主要途徑,用於傳遞惡意軟體或憑證竊取連結。利用未修補的面向公眾的應用程式,特別是那些具有已知 CVEs 的應用程式(例如流行 VPN 解決方案或 Web 伺服器中的漏洞,如 Fortinet、Apache Struts),是另一個常見的入口點。使用從 IABs 購買的受損 RDP 憑證,也促進了快速進入。
立足點與發現
一旦進入,攻擊者會建立持久性,通常通過排程任務、修改的啟動項目或合法的遠端存取工具(如 TeamViewer 或 AnyDesk)。然後,他們會進行廣泛的內部偵察,繪製網絡拓撲、識別關鍵資產並定位敏感數據存儲。通常使用 BloodHound 或 AdFind 等工具進行 Active Directory 枚舉。
橫向移動與權限提升
利用發現的憑證、錯誤配置或未修補的系統,攻擊者在網絡中橫向移動。技術包括 Pass-the-Hash、Pass-the-Ticket 以及利用 Windows 服務。權限提升是關鍵一步,通常通過 Kerberoasting 或利用 Windows 作業系統組件中的漏洞來針對域管理員帳戶。
數據外洩
在部署勒索軟體之前,該組織專注於數據外洩。他們識別高價值知識產權、財務記錄、人力資源數據和客戶信息。數據通常在內部伺服器上暫存、壓縮,然後通過加密通道外洩到雲端儲存或攻擊者控制的基礎設施,通常通過常見端口或合法網路服務繞過傳統的出口過濾。
加密與勒索
最後,勒索軟體負載部署到關鍵系統上,加密文件並使其無法訪問。同時,洩漏網站會更新以證明數據外洩並公開宣布入侵。雙重勒索機制——威脅發布數據並進行加密——最大限度地增加了受害者支付贖金的壓力。
防禦者錯失了什麼
在這些特定事件中,一些常見的防禦缺陷顯而易見。快速的初始入侵表明基本安全衛生方面的失敗,例如未能及時修補面向互聯網的系統或未能有效防禦複雜的網路釣魚攻擊。即使有現代 EDR 解決方案,缺乏主動威脅搜捕或錯誤配置的檢測規則也可能導致攻擊者長時間未被發現地運作。
「改頭換面只是表面功夫。核心漏洞依然存在,而我們的敵人是利用人類和技術盲點的大師。」
能夠外洩大量合約數據,意味著缺乏有效的數據丟失預防 (DLP) 控制,或未能充分監控異常的出站網絡流量。此外,洩漏網站公開上線而組織事先不知情,這表明在外部威脅情報監控方面存在差距,特別是在暗網活動和洩漏網站追蹤方面。
許多組織對遺留系統或複雜網絡區段仍然抱持「沒壞就別修」的心態。這造成了盲點和未受管理的攻擊面,威脅行為者會巧妙地識別和利用這些弱點,通常會繞過為更現代基礎設施設計的防禦措施。外洩數據的龐大數量表明可能存在長時間的潛伏期,這表明在偵察和橫向移動階段檢測失敗。
實用的防禦清單
- 優先處理補丁管理: 實施積極的補丁計劃,針對所有面向互聯網的應用程式、作業系統和網絡設備。立即關注關鍵和高嚴重性 CVEs。
- 強化身份和訪問管理: 對所有遠端訪問、管理帳戶和關鍵業務應用程式實施多因素身份驗證 (MFA)。嚴格實施最小權限原則。
- 加強端點檢測和回應 (EDR): 確保 EDR 解決方案已完全部署、配置以實現最大可見性,並受到主動監控。將 EDR 警報與集中式 SIEM 整合,以進行關聯和快速回應。
- 網絡分段並實施零信任: 通過微細分隔離關鍵資產和敏感數據存儲。採用零信任架構,在授予訪問權限之前驗證每個用戶和設備,無論其位置如何。
- 實施強大的數據丟失預防 (DLP): 部署 DLP 解決方案以監控和防止敏感數據的未經授權外洩。配置警報以監測異常數據傳輸到外部目的地。
- 定期進行滲透測試和紅隊演習: 聘請第三方進行針對高級持續性威脅的真實模擬。重點是識別可利用的關鍵數據路徑,而不僅僅是表面級漏洞。
- 投資外部威脅情報: 持續監控暗網論壇、洩漏網站和勒索軟體組織活動,以了解任何提及您的組織、其子公司或關鍵人員的信息。這種主動情報可以提供即將發生的攻擊或外洩的早期預警。
現代攻擊性測試如何能及早發現此類事件
現代攻擊性安全測試,特別是持續的紫隊演練和高級紅隊演習,提供了關鍵優勢。這些方法不單純依賴週期性漏洞掃描,而是模擬整個殺傷鏈中真實世界的攻擊者 TTPs。這包括嘗試通過複雜的網路釣魚進行初始訪問,利用零日或 N 日漏洞,使用被盜憑證進行橫向移動,以及嘗試數據外洩。
此類測試將系統地識別導致初始入侵的特定向量和錯誤配置,檢測橫向移動路徑,並確認外洩通道。一個強大的計劃還將包括持續監控外部攻擊面、提及關鍵組織資產的暗網討論,以及已知威脅組織不斷演變的 TTPs。這提供了情報,使防禦者能夠主動加強其針對最相關和當前威脅的態勢。
接下來要注意什麼
勒索軟體組織重塑品牌並立即恢復積極運營的趨勢很可能會持續下去。CISO 應預期供應鏈攻擊將受到更多關注,利用受信任的供應商關係來獲得對更大目標的初始訪問權限。我們還將看到數據外洩技術的進一步完善,可能會利用更具規避性的通道和合法的雲服務來繞過傳統防禦。
預計將有更複雜的社會工程攻擊,針對高特權個人,利用 AI 生成的內容來增強真實感。此外,勒索軟體與其他網絡犯罪活動(例如加密劫持或國家資助的間諜活動)的融合可能會模糊歸因並使事件響應複雜化。主動、情報主導的防禦,側重於彈性和快速恢復,將是減輕這些不斷演變的威脅的關鍵。