勒索軟體生態系統的活動正顯著激增,反映出威脅格局的嚴重碎片化。近期出現的新洩密網站列表,影響了美國多個關鍵產業的機構,清晰地說明了這種不斷演變且日益複雜的威脅。
發生了什麼
最近,一個勒索軟體組織發布了新的受害者列表,嚴重影響了醫療保健、教育、保險、能源和科技產業的機構。值得注意的目標包括橫跨各行各業的幾家知名實體。這些披露通常發生在談判失敗之後,資料隨後被發布或威脅發布。
威脅行為者聲稱擁有大量高度敏感的資料集。例如,據稱一家主要公司的大量記錄、一家醫療服務提供商的大量受損資料,以及一個全國性協會的大量保險業資料。這些數字凸顯了潛在資料外洩的規模以及對受害機構的嚴重影響。特別是教育和醫療保健,由於它們管理著大量的個人、財務和營運資訊,因此仍然是主要目標。
為什麼這種模式會不斷重複
勒索軟體即服務 (RaaS) 運作的基本經濟學和營運彈性驅動著這種持續的模式。勒索軟體組織的激增和全球受害者數量的龐大,證明了這些犯罪企業的獲利能力和相對較低的進入門檻。生態系統已經碎片化,從少數主導者轉變為眾多規模較小、更敏捷且更難以歸因的運作。
這種碎片化使得它們能夠快速適應並抵禦執法部門的努力。當一個組織被瓦解時,新的組織就會出現,通常會利用共享基礎設施或從已解散的組織中招募附屬成員。RaaS 模型,即開發者向附屬成員提供工具和基礎設施以換取贖金分成,進一步普及了對複雜攻擊能力的取用。
勒索軟體洩密網站的激增是碎片化且具有彈性的 RaaS 生態系統的直接結果,其中對利潤的追求始終超越被動防禦。
攻擊者的逐步策略
勒索軟體運作通常遵循多階段攻擊方法,通常從初始存取代理開始。這些行為者透過各種方式獲得進入,包括利用已知漏洞、網路釣魚或憑證填充。例如,安全研究確定了與各種組織相關的眾多常見漏洞,表明它們依賴於利用常見弱點。
一旦建立初始存取,攻擊者就會在受害者的網路內進行偵察和橫向移動。此階段涉及映射網路拓撲、提升權限以及識別用於資料外洩和加密的高價值目標。眾所周知,威脅行為者會使用多種加密器來針對各種作業系統和環境,這表明他們的攻擊工具具有多功能性。
資料外洩是關鍵一步,通常在加密之前進行,以最大限度地利用勒索。然後,威脅行為者部署勒索軟體來加密系統,使其無法運作,並留下贖金提示。如果談判失敗,如最近的洩密網站活動所示,被盜資料將在公開洩密網站上發布,進一步增加壓力和聲譽損害。
防禦者錯過了什麼
新的洩密網站和受害者披露的重複出現,指向防禦策略中的重大漏洞。許多機構仍然使用追溯性威脅情報,在主要事件發生後才關注危害指標 (IOC) 和記錄的 TTP。這種被動的姿態使他們容易受到新興組織和不斷演變的攻擊技術的影響。
此外,缺乏主動的、攻擊性安全測試意味著可利用的漏洞通常在攻擊者利用它們之前仍未被發現。這包括外部系統中的弱點、錯誤配置和權限提升路徑,這些都可以透過自主攻擊性測試來識別。一些受害者聲稱攻擊者竊取了大量資料,這表明強大的資料分割、存取控制和外洩檢測機制可能不足。
對內部系統的關注常常掩蓋了第三方供應商造成的關鍵風險。勒索軟體可以透過供應商生態系統傳播,透過受損的供應商影響組織。如果不清楚供應商的脆弱性,組織就會面臨連鎖反應的風險。
實用防禦清單
為了應對不斷升級的勒索軟體威脅,CISO 和安全工程師必須採取主動和全面的防禦姿態:
- 優先處理漏洞管理: 持續識別和修補關鍵漏洞,特別是那些經常被勒索軟體組織利用的漏洞。
- 實施強大的存取控制: 執行最低權限原則、所有關鍵系統的多因素身份驗證 (MFA),並定期審查管理存取權限。
- 加強網路分割: 隔離關鍵資產和敏感資料,以限制在發生洩露時的橫向移動。
- 增強端點檢測和回應 (EDR): 部署和微調 EDR 解決方案,以檢測和回應可疑活動,包括偵察和資料外洩嘗試。
- 開發和測試事件回應計畫: 定期演練事件回應情境,包括勒索軟體攻擊,以確保迅速有效的遏制和恢復。
- 進行主動攻擊性測試: 實施自主攻擊性測試,在攻擊者之前持續識別可利用的漏洞和錯誤配置。
- 評估第三方風險: 將勒索軟體脆弱性情報整合到第三方風險管理計畫中,以了解和緩解供應鏈漏洞。
現代攻擊性測試如何捕捉到這一點
傳統的漏洞掃描和滲透測試通常提供時間點評估,這在動態威脅格局中很快就會過時。現代攻擊性測試,特別是自主攻擊性測試,提供了一種持續且適應性強的方法。我們的平台憑藉其自主攻擊性測試功能和可執行概念驗證 (PoC),提供了顯著優勢。
這種方法持續模擬真實世界的攻擊者技術,識別導致關鍵資產或資料外洩的可利用路徑。透過生成可執行 PoC,安全團隊可以獲得漏洞的具體證據以及攻擊者將採取的精確步驟。這允許主動修復可能導致初始存取、橫向移動或資料外洩的缺陷,直接反映了勒索軟體攻擊的早期階段。
例如,如果威脅行為者利用已知漏洞(例如安全研究人員識別的漏洞),自主攻擊性測試將識別該漏洞,透過 PoC 演示其可利用性,並允許在勒索軟體攻擊中利用該漏洞之前進行修復。這將防禦從被動事件回應轉變為主動威脅緩解。
接下來要關注什麼
勒索軟體格局將繼續快速演變。碎片化為規模更小、速度更快的運作將持續存在,使歸因和瓦解更具挑戰性。預計供應鏈和第三方供應商將持續被利用,因為攻擊者尋求進入大型組織的最不抵抗路徑。
勒索軟體生態系統中不成文的規則,即某些地理區域基本上是禁區以避免當地執法干預,仍然是一個關鍵的動態。過去涉及一個知名組織的附屬成員的事件,該附屬成員因意外針對敏感地區設有辦事處的公司而道歉並被禁止,凸顯了這種地緣政治限制。這種動態的任何轉變都可能顯著改變全球威脅格局。
此外,越來越多的數據外洩聲稱表明,除了單純的加密之外,對數據貨幣化的關注日益增加。組織必須為更複雜的雙重和三重勒索計畫做好準備,其中利用數據洩露、拒絕服務和與客戶的直接溝通。在這種不斷升級的環境中,持續的威脅情報和主動的安全措施將至關重要。
