为了评估勒索软件威胁的现状,PaloAltoNetworks(派拓网络)威胁情报团队Unit42和事件响应团队TheCrypsisGroup合作分析了2020年的勒索软件威胁状况(研究基于Unit42的全球数据以及Crypsis的美国、加拿大和欧洲数据)。
这份报告详细介绍了最主要的勒索软件变种(附有每个变种的威胁评估链接)、勒索软件平均支付额、勒索软件预测以及可立即降低勒索软件风险的可行性步骤。
网络犯罪分子赚取和索取的金钱比以往任何时候都多
企业平均支付的赎金从2019年的115,123美元增加到2020年的312,493美元,同比增长171%。此外,企业支付的最高赎金从2019年到2020年翻了一番,从500万美元增加到1000万美元。与此同时,网络犯罪分子也越来越贪婪。从2015年到2019年,勒索软件的最高赎金是1500万美元。2020年,勒索软件的最高赎金增长到3000万美元。
值得注意的是,2020年Maze勒索软件的平均赎金为480万美元,与2020年所有勒索软件的平均赎金847,344美元相比,有了显著增长。网络犯罪分子知道他们可以通过勒索软件赚钱,并且在索要赎金方面变得越发大胆。
医疗机构成为新目标
世界因新冠疫情而改变,勒索软件运营商则利用疫情对企业进行掠夺,特别是医疗行业,成为2020年勒索软件最关注的行业。勒索软件运营商在攻击中厚颜无耻地试图赚取尽可能多的钱,因为他们知道医疗机构需要继续运营以治疗新冠患者并帮助拯救生命,无法承担系统被锁定的后果,更有可能支付赎金。
Ryuk勒索软件在众多勒索软件中脱颖而出。2020年10月,美国网络安全与基础设施安全局(CISA)、联邦调查局(FBI)、卫生与人类服务部(HHS)联合发布网络安全预警,警告医疗机构防范Ryuk勒索软件攻击。
双重勒索的兴起
常见的勒索软件攻击包括勒索软件运营商对数据进行加密,并强迫受害者支付赎金以解锁数据。在双重勒索中,勒索软件运营商会加密并窃取数据,进一步胁迫受害者支付赎金。如果不支付,勒索软件运营商就会将数据公布到泄漏网站或暗网,大部分数据泄漏网站都托管在暗网,而这些托管站点由勒索软件运营商创建和管理。现在至少有16种不同的勒索软件变种威胁要泄漏数据或利用泄漏网站,更多的勒索软件变种可能会延续这种趋势。
利用这种手段最多的勒索软件是NetWalker。从2020年1月到2021年1月,NetWalker泄漏了全球113家受害企业的数据(见下图),远远超过了其他勒索软件。RagnarLocker排名第二,泄漏了全球26家受害企业的数据。值得一提的是,美国司法部在2021年1月宣布协调国际执法行动,瓦解NetWalker勒索软件团伙。由NetWalker运营商管理的托管泄漏数据的暗网域名已经无法访问。
图:2020年1月至2021年1月,按勒索软件划分且数据公布在泄漏网站的全球受害企业数量
建议
防范勒索软件攻击与防范其他恶意软件类似。然而,它对企业的风险要高得多。
初始访问
所有勒索软件变种的初始访问相对一致。企业应保持用户对电子邮件安全的认识和培训,并考虑如何在恶意电子邮件进入员工邮箱后立即识别和补救。企业还应该确保进行适当的补丁管理,并审查哪些服务可能暴露在互联网上。远程桌面服务应正确配置并确保安全,尽可能使用最低权限原则,并制定策略以检测与暴力攻击相关的模式。
备份和恢复流程
企业应继续备份数据,并提前规划好适当的恢复流程。勒索软件运营商将针对现场备份进行加密,因此企业应确保所有备份都在离线状态下安全保存。必须与关键利益相关者一起实施并演练恢复流程,以便在发生勒索软件攻击时尽量缩短企业的停机时间并降低成本。
安全控制
防范勒索软件的最有效形式是端点安全、URL过滤或Web保护、高级威胁防御(未知威胁/沙盒)以及部署到所有企业环境和设备的反钓鱼解决方案。虽然这些不能完全保证预防,但它们将极大地降低常见变种的感染风险,并提供应急措施,让一种技术在另一种技术可能无效时提供一系列强制措施。
PaloAltoNetworks(派拓网络)的实力
云交付安全服务通过各种安全技术为成千上万的客户带来网络效应,以协调情报并为所有攻击载体提供一致的保护。我们的服务部署在一系列基于机器学习技术的下一代防火墙(PA-Series硬件、VM-Series和CN-Series软件,以及云交付的Prisma®Access)上,消除了独立网络安全工具造成的覆盖缺口:
●WildFire®恶意软件防御服务可检测与已知和未知勒索软件变种以及其他文件威胁相关的活动。
●URL过滤功能可配置为阻止访问可疑类别的URL,防止主机通过HTTP接触到PaloAltoNetworks(派拓网络)已经监测到的主机可疑内容/恶意软件的Web服务器。
●威胁防御功能利用防火墙的可视能力检查所有流量,并自动防御已知威胁,不受端口、协议或SSL加密影响,在攻击的每个阶段都可对抗威胁。启用漏洞保护配置文件后,该服务还可以检测暴力攻击。
●企业级数据防泄漏服务可防止企业敏感数据离开企业网络。
Cortex®XDR™包含一个反勒索软件模块以及一个漏洞防御和反恶意软件模块,除了检测横向移动外,还可检测与勒索软件和其他商业恶意软件相关的加密活动。本地分析检测和行为威胁防御功能可以识别异常活动和恶意文件。
如欲了解完整报告,敬请下载《2021年Unit42勒索软件威胁报告》。