根據總部設在硅谷的網絡安全公司SonicWall的調查報告,2020年勒索軟件是增長最為迅猛(40%)的網絡威脅。根據美國政府數據,2020年全球因勒贖軟件而支付的贖金超過4億美元,2021年第一季則超過8100萬美元。2021年5月7日,美國最大的油氣輸送管道運營商克洛尼爾(Colonial Pipeline)成為軟件勒索的受害者,此次攻擊導致美國東海岸的天然氣供給受到影響。數周后,網絡犯罪分子又使美國一家全球最大的肉類加工企業---JBS股份有限公司幾乎陷入癱瘓。勒索軟件這種新型威脅自面世以來,不同家族的勒索軟件保持快速增長勢頭,且呈現定向化、RaaS化等特點。與此同時,針對能源、醫療、金融等關鍵基礎設施行業的攻擊案例明顯增長,造成的經濟、社會影響也愈發增大。
10月5日,美國網絡安全公司Mandiant主辦的2021年網絡防御峰會(Cyber Defense Summit)開幕,美國網絡司令部司令兼國家安全局局長保羅·中曾根、負責網絡和新興技術的美國副國家安全顧問安妮·紐伯格出席并發表演講,介紹了當前網絡威脅態勢,闡述了勒索軟件的普遍威脅,并將其稱作一個嚴重的國家安全問題,稱其可以對世界主要大國造成重大損害。中曾根表示,美國將繼續與勒索軟件戰斗數年。
中曾根在網絡防御峰會上發言 圖片來自網絡
美國召集30國舉行勒索威脅峰會
當地時間10月13日至14日,美國召集英日澳印等大約30個國家舉行了所謂“打擊勒索軟件”線上峰會,而中俄并不在受邀之列。一名美國政府高級官員透露,拜登召集盟友和伙伴討論打擊勒索軟件,是為了應對“共同威脅”,近期的“惡意網絡活動”應該歸咎于中俄。日本媒體甚至毫不避諱地宣稱,這場峰會是為了討論中俄“網絡威脅”。應對國際犯罪集團發動的勒索攻擊,需要聯合全球多國執法力量,而美國卻選擇了拉幫結派的方式。這表明,美國正在擴大網絡空間領域同盟軍,不斷給中俄羅織新罪名,把中俄丑化成網絡空間的“邪惡”象征,便于后續動員盟友乃至更廣泛力量聯合打壓中俄。
來自下列國家和地區的高層人事參加了此次峰會:澳大利亞、巴西、保加利亞、加拿大、捷克共和國、多米尼加共和國、愛沙尼亞、歐盟、法國、德國、印度、愛爾蘭、以色列、意大利、日本、肯尼亞、立陶宛、墨西哥、荷蘭、新西蘭、尼日利亞、波蘭、韓國、羅馬尼亞、新加坡、南非、瑞典、瑞士、烏克蘭、阿拉伯聯合酋長國和英國。
峰會探討的課題包括:應對加密貨幣被用于洗白勒索費,起訴利用勒索軟件的罪犯,利用外交手段打擊勒索軟件,以及協助各國提高抵御勒索軟件攻擊的能力等。
美國私營部門網絡安全專家稱,許多勒索軟件團伙來自烏克蘭和俄羅斯。一些美國官員和分析人士稱,俄羅斯勒索軟件團伙在克里姆林宮的默許下運作,但不受政府直接控制。 7月9日,美國總統拜登與俄羅斯總統普京進行了一個小時的電話通話。拜登要求普京采取行動打擊俄羅斯境內勒索軟件組織,并警告稱如果網絡黑客不能得到阻止,美國就將做出回應。美國表示,即使勒索軟件活動不是由俄羅斯支持的,但只要這些活動來自俄羅斯領土,只要美國向俄羅斯提供了充分的溯源信息以確定攻擊者身份,俄方就應該采取行動。
美國應對勒索攻擊取得的主要進展
美國政府認為,反勒索軟件主要包括以下四項工作:
一是破壞勒索軟件的基礎設施并打擊參與者。美國正在充分利用政府的能力來打擊勒索軟件參與者、協助者,并破壞相關的網絡和金融基礎設施。
二是增強抵御勒索軟件攻擊的復原能力。美國政府呼吁私營部門加大投資力度,專注于網絡防御以應對威脅。美國政府還概述了關鍵基礎設施的預期網絡安全閾值,并引入了針對交通關鍵基礎設施的網絡安全要求。
三是解決濫用虛擬貨幣進行贖金支付的問題。虛擬貨幣也適用于法定貨幣的反洗錢和打擊恐怖主義融資 (AML/CFT) 控制措施的約束,并且必須執行這些控制措施和法律。美國政府正在利用現有能力并獲取創新能力來追蹤和攔截勒索軟件收益。
四是利用國際合作來破壞勒索軟件生態系統并解決勒索軟件犯罪分子的“安全港”問題。負責任的國家不應允許犯罪分子在其境內活動而不受懲罰。美國政府正在與國際合作伙伴合作破壞勒索軟件網絡,并提高合作伙伴在其境內檢測和響應此類活動的能力,包括追究那些允許犯罪分子在其管轄范圍內活動的國家的責任并使這些國家承擔相應的后果。
美國政府表示,他們的工作主要取得了如下進展:
美國司法部成立了一個工作隊來協調和統一執法和檢控舉措。
美國財政部首次對俄羅斯虛擬貨幣交易所Suex實施制裁,據稱該交易所幫助勒索軟件攻擊者。
美國國務院的“司法獎勵計劃”提供高達1000萬美元的獎金,用于獎勵提供可以鎖定外國政府支持的針對美國關鍵基礎設施的網絡攻擊線索。
白宮的“自愿性工業控制系統網絡安全倡議”號召150多家電力公司部署或承諾部署增強型網絡安全技術,保障近9000萬客戶的用電安全。
美國國土安全部和司法部建立了“StopRansomware.gov”網站以協助私人和公共組織減輕相關風險。
美國運輸安全管理局發出通知,要求關鍵管道業主和運營商響應關于網絡防御的兩個安全指令。
拜登在今年8月會見了私營部門的技術領導者,討論了通過舉國動員來努力解決網絡安全問題;
美國在虛擬貨幣業務領域開展反洗錢/打擊資助恐怖主義活動;
美國財政部正在推動實施有關虛擬資產財務透明度的國際標準。
從技術層面看勒索軟件
近日,Google公司的在線惡意軟件掃描服務平臺VirusTotal分析了過去一年半上傳的8000 萬個勒索軟件樣本,并于近日發布了2021年勒索軟件分析報告。
報告指出,傳播最廣的勒索軟件家族的活動神出鬼沒,但大約有100個非流行的勒索軟件家族的活動基線從未停止,攻擊者似乎是在為他們的活動準備新的樣本。在2020年初,GandCrab是最活躍的家族,然后它的活動率在下半年大幅下降。2021年7月,VirusTotal平臺觀察到一波Babuk勒索軟件的新變種。
與勒索軟件相關的提交文件的時間分布
根據VirusTotal上惡意樣本的提交數量,以色列、韓國、越南、中國、新加坡、印度、哈薩克斯坦、菲律賓、伊朗和英國是受影響最嚴重的10個地區。
勒索軟件相關提交文件的地理分布情況
根據該報告,自2020年至2021年上半年,至少有140多個國家的用戶提交了惡意軟件樣本到VirusTotal平臺,該平臺至少發現了130個不同的活躍的勒索軟件家族。
勒索軟件相關群組的時間分布
每個家族的勒索軟件相關集群
在大約130個勒索軟件家族中,GandCrab家族最為活躍,緊隨其后的是Babuk、Cerber、Matsnu、Congur、Locky、Teslacrypt、Rkor和Reveon 。
按不同樣本數量排列的十大勒索軟件家族
根據報告,VirusTotal上檢測到的95%的勒索軟件文件是基于Windows的可執行文件或動態鏈接庫(DLLs),2%是基于Android的。
勒索軟件樣本的類型
攻擊者在某些階段使用的工具或文件與勒索軟件家族有關,報告中將其分為兩組:用于分發勒索軟件的工具或文件,以及用于橫向移動的工具或文件。
用于分發勒索軟件的Top5工具
此外,報告表示,YARA規則在檢測和分類方面不是完全有效,勒索軟件不同于其他惡意軟件活動,這很可能是因為它們不像其他威脅那樣經常更新,也可能是由于目前活躍著大量的勒索軟件家族。其次,攻擊者正在使用一系列不同的方法,包括使用著名的僵尸網絡惡意軟件和其他RATs。第三,在勒索軟件分發方面,攻擊者似乎不需要除權限提升和惡意軟件在內部傳播之外的可利用的漏洞。最后,如前所述,Windows占勒索軟件目標的95%,而安卓系統只占2%。
我們應該如何應對勒索軟件
非必要時,不要將遠程桌面服務(如RDP)暴露在公共網絡中,并始終對其使用強密碼。
確保商業VPN解決方案和其他服務器端軟件始終是最新的,因為它們是勒索軟件的常見感染載體。另外,始終保持客戶端的應用程序也是最新的。
實施網絡分段,在網段之間應用強大的防火墻和IPS 保護措施,以控制惡意軟件在整個網絡中傳播。
將防御策略集中在檢測橫向移動和數據滲出到互聯網上,要特別注意傳出的流量,以檢測網絡犯罪的連接。
定期使用“3,2,1”規則備份重要文件:以兩種不同的文件格式創建三個備份副本,其中一個備份位于單獨的位置。
使用最新的威脅情報信息,以實時了解攻擊者所使用的TTP。
為了保護公司網絡和系統環境,開展專門的培訓課程對員工進行安全培訓。
對所有端點啟用勒索軟件保護。
如果已經成為受害者,切勿支付贖金,這不能確保能夠取回數據,但會鼓勵犯罪分子繼續其活動。應將事件報告給當地的執法機構或試著在互聯網上尋找解密器。
