赛门铁克:2021年针对性勒索软件仍是最大威胁

要问2020年最大的网络威胁是什么?新冠病毒恐怕要荣登榜首。随着今年3月以来新冠疫情在全球范围内的快速爆发,与此相关的话题立刻成为社会工程学中的重要攻击主题。与现实世界不同,网络世界中的威胁不再是病毒本身,而是以病毒为“幌子”呈现出的一个个完美诱饵——引导您点击链接、下载附件或者向骗子汇款。但这里要多提一句,社会工程学只是手段,并不属于威胁。

如果单从2020年的网络威胁态势来看,那么勒索软件无疑占比最重。对于企业或者组织而言,勒索软件已经成为2020年笼罩在他们心头的一团阴云。勒索软件中蕴藏的巨大收益,致使网络犯罪分子对其趋之若鹜,并不断探索新的利润扩张途径。

本文着眼于未来态势以及相关预测,通过分析过去的网络形势来得出结论。此外,即使不是所有预测都专门针对勒索软件,但其或多或少都受到了勒索软件的驱动或者影响。

预测终归是预测,不可能百分之百准确。要说勒索软件什么时候才会彻底消失,答案很简单——当所有受害者都拒绝支付赎金,那么这类攻击也将不复存在。当勒索软件不再盈利时它便会结束。但这样的状况短时间内不可能出现,因此我们作出如下预测。

勒索软件集团将继续开发新策略,向受害者不断施压

如果说2019年是针对性勒索软件攻击开始激增的一年,那么2020年无疑就是针对性勒索软件集团不断发展并寻找新的策略对受害者施压来支付赎金的一年。

最初的定向勒索软件对大多数组织已经构成了严重的威胁。与早期任意传播的加密型勒索软件不同,针对性勒索软件每次的攻击目标仅有一家组织,并努力在受害者的网络上加密尽可能多的计算机信息,可能的话还会清除对方的备份数据。以此为基础,攻击者便可提出相当夸张的赎金要求,金额从数十万美元到数百万美元不等。

“我们预计在新的一年将会看到勒索软件集团变得更加激进,将会寻找更多方式来胁迫受害者支付赎金。”

即便针对性勒索软件攻击实施起来极为困难且相当耗时,但潜在的回报却也极为巨大,因此采取这类攻击的团伙开始激增。

2020年期间,攻击者开始寻求更多提升收益的方法。今年1月,Maze勒索软件集团先从受害者网络中窃取数据,继而实施加密,并宣称收不到赎金就将公布这批数据。这种策略向两类倾向于拒绝支付赎金的受害者施加压力:一是可能已经做好充分准备、无需换取解密密钥即可恢复系统的组织;二是认为数据丢失成本低于赎金数额的受害者。随着初次尝试的成功,多个其他勒索软件集团也立即开始采取类似的勒索策略。

我们预计,新一年中勒索软件团伙将寻求更多方法加强对受害者的威胁与控制。截至目前,我们已经看到至少一例威胁受害者实施DDoS攻击的报道;与此同时,赛门铁克(目前为博通公司下辖事业部)也观察到Sodinokibi勒索软件团伙搜寻网络销售点的行为。

攻击者将远程办公视为重要的可乘之机

新冠疫情让很多人的工作方式发生了根本性变化。全球各地的办公室开始陆续关闭,员工们更多地留在家中工作。一些看似应急性质的举措,很可能逐步延长甚至最终成为新的工作常态。目前,不少企业已经开始思考如何针对大部分员工的长期居家办公调整运营体系。

这也给安全专家们带来了巨大的挑战。如今,原本只需要通过特定办公场所与特定网络处理工作内容的员工,开始使用家庭网络及互联网连接远程访问业务系统。从理论上讲,分散的员工代表着更多潜在的攻击渠道。而目前对于网络犯罪分子最为有利的一点,就是大多数远程办公方案仍然属于计划外的不得已行为。

目前一些早期迹象已经显现,攻击者开始对VPN和虚拟化软件中刚刚公布并修复的漏洞表现出高度关切。一些漏洞已被攻击者利用实施入侵,比如Pulse Secure VPN (CVE-2019-11508, CVE-2019-11510, CVE-2019-11538与CVE-2019-11539), Palo Alto GlobalProtect (CVE-2019-1579), Fortigate (CVE 2018-13379),以及思杰ADC服务器与思杰网络网关(CVE-2019-19781)等漏洞。

以思杰为例,在相关漏洞被披露之后,攻击者的利用行为立刻开始激增,并于今年2月达到了峰值。期间赛门铁克共阻止超过492000次攻击活动。

网络犯罪团伙间开始紧密合作

网络犯罪分子之间的合作攻击早已不是新鲜事物。但如今,网络犯罪生态开始趋于细分,攻击者们开始专门从事某一种恶意活动,而不再实施端到端全面攻击。当前,恶意软件制作者、分发者、漏洞利用工具包创建者、洗钱团伙以及其他类型的参与者之间开始频繁互动。

但更令人担忧的潜在问题在于网络犯罪领域规模最大的部分集团开始紧密联系起来,包括各大僵尸网络操纵者以及勒索软件制作者。过去几年来,Emotet(以及最近的Trickbot)一直是最强大的僵尸网络之一;他们从受感染用户手中窃取凭证,并将其服务出售给寻求分发渠道的其他恶意软件作者。

与此同时,针对性勒索软件(对受害者组织内的大部分、甚至全部计算机实施勒索加密攻击)已经成为最具利润空间的网络犯罪活动。有时一轮攻击即可让攻击者获利数百万美元。

“一个最新且令人担忧的消息是,一些大型犯罪组织之间的联系愈发紧密,特别是那些规模最大的僵尸网络运营商和勒索软件制作者。”

近期欧洲刑警组织发布的有组织犯罪威胁评估报告指出,Emotet、Trickbot以及Ryuk针对性勒索软件团伙之间的关系正愈发紧密,甚至有归于同一体系的趋势,或者至少会在合作当中建立起稳定且精准的配合关系。

赛门铁克也对此表示赞同。Emotet能够接触并感染众多组织机构,Ryuk则是当前最具传播能力的恶意软件之一。

先不论各方之间关系如何,其他大型网络犯罪集团也有可能纷纷仿效,建立起自己的合作阵营。

虽然我们无法准确预见2021年的发展动态,但历史证明,攻击者总会不断完善自己的攻击手段,充分利用全球重大事件以及新兴技术带来的机会。只有总结经验、回顾过往,我们的网络安全能力才有望真正抵御住这一波又一波攻击浪潮。

转载自:互联网安全内参

发表评论