Trace Id is missing

勒索軟體即服務:工業化網路犯罪的新面貌

兩個箭頭疊加在一條線上,並在不同的路徑上相互指向

 網路犯罪的最新商業模式,即人為攻擊,使能力參差不齊的罪犯更加膽大妄為。

勒索軟體是最持久和最普遍的網路威脅之一,而且不斷演化,其最新形式給全球組織帶來了新的威脅。勒索軟體的演化並不涉及新的技術進步。相反,它涉及一種新的商業模型:勒索軟體即服務(RaaS)。

勒索軟體即服務 (RaaS) 是運營商與部署勒索軟體有效承載的關係企業之間的排列,運營商負責開發和維護為勒索作業提供動力的工具,而關係企關係企部署勒索軟體即服務 (RaaS)承載。當關係企業成功進行勒索軟體和勒索攻擊時,雙方都會獲利。

RaaS 模型降低了攻擊者的進入門檻,他們可能沒有開發自己工具的技能或技術資源,但可以管理現成的滲透測試和系統管理工具來執行攻擊。這些較低級別的罪犯也可以從已經突破邊界的更複雜的犯罪集團那裡購買網路存取權限。

儘管 RaaS 關係企業使用由更複雜的營運商提供的勒索軟體有效承載,但它們不屬於同一個勒索軟體「團夥」。相反,在整個網絡犯罪經濟中,這些網絡犯罪企業各自為政。

提高網路罪犯的能力並發展整體網路犯罪經濟

勒索軟體即服務模式促進了能力較弱的罪犯可以完成的快速改進和產業化。過去,這些不太老練的罪犯可能使用他們構建或購買的商用惡意軟體來執行範圍有限的攻擊,但現在他們可從自己的 RaaS 運營商那裡獲得所需的一切——從訪問網路到勒索軟體有效承載(當然是有償的)。許多 RaaS 計劃進一步整合了一套勒索支援產品,包括洩漏網站託管和積分到贖金票據中,以及解密談判、支付壓力和加密貨幣交易服務。

這意味著無論攻擊者的技能如何,成功的勒索軟體和勒索攻擊的影響都保持不變。

發現和惡意探索網路弱點...以謀取報償

RaaS 運營商為其關係企業提供價值的一種方式是提供對遭入侵網路的存取。存取訊息代理程式掃描互聯網以查找易受攻擊的系統,他們可以破壞並保留這些系統以備日後獲利。

為了大功告成,攻擊者需要登入資訊。洩露的憑據對這些攻擊非常重要,以至於當網路罪犯出售網路存取權限時,在許多情況下,其價格包括一個有保證的系統管理員帳戶。

一旦取得,罪犯對存取權限的處理方式可能會因群組及其工作負載或動機而有很大差異。因此,從最初接觸到實際操作鍵盤之間的间隔可能從幾分鐘到幾天甚至更長,但只要情況允許,就能以極快的速度造成破壞。事實上,據觀察,從初始存取到全額贖金(包括從存取訊息代理程式移交給 RaaS 關係企業)的時間不到一個小時。

保持經濟運轉——持久而暗中的存取方法

一旦攻擊者獲得網路存取權限,他們就不願意離開——即使在收取贖金后也是如此。事實上,支付贖金可能不會降低受影響網路的風險,而且可能只會為網路罪犯提供資金,他們將繼續嘗試使用不同的惡意軟體或勒索軟體有效承載,通過攻擊獲利,直到被驅逐。

隨著網路犯罪經濟的轉變,不同攻擊者之間發生的交接意味著,多個活動群組可能會使用與勒索軟體攻擊中使用的工具不同的各種方法在環境中持續存在。例如,通過銀行特洛伊木馬程式獲得的初始存取權限會導致 Cobalt Strike 部署,但購買該訪問許可權的 RaaS 關係企業可能會選擇使用遠端存取工具(如 TeamViewer)來操作其活動。

使用合法工具和設置來持久化惡意軟體植入程式(例如 Cobalt Strike)是勒索軟體攻擊者中一種流行的技術,可以避免偵測並在網路中停留更長時間。

另一種流行的攻擊者技術是創建新的後門程式使用者帳戶(無論是本地的還是在有效目錄資訊中),然後可以將這些帳戶添加到虛擬專用網路 (VPN) 或遠端桌面等遠端存取工具中。還可觀察到勒索軟體攻擊者編輯系統上的設定,啟用遠端桌面、降低通訊協定的安全性以及將新使用者添加到遠端桌面使用者群組。

解釋如何規劃和實施 RaaS 攻擊的流程圖表

面對世界上最難以捉摸和最狡猾的對手

RaaS 威脅之所以如此令人擔憂,是因為它依賴於人類攻擊者,而人類攻擊者可以根據他們在網絡中發現的情況,做出經過深思熟慮的明智決定,並改變攻擊模式,以確保達成其目標。

Microsoft Corporation 創造了「人為操作的勒索軟體」一詞,將此類攻擊定義為最終導致勒索軟體承載的活動鏈,而不是要阻止的一組惡意軟體承載。

雖然大多數初始存取活動都依賴於自動偵察,但一旦攻擊轉移到動手鍵盤階段,攻擊者將利用他們的知識和技能來嘗試擊敗環境中的安全性產品。

勒索軟體攻擊者的動機是輕鬆獲利,因此,透過強化安全性來增加其成本,會是阻斷網路犯罪經濟的重要關鍵。這種人為決策意味著,即使安全性產品檢測到特定的攻擊階段,攻擊者本身也不會被完全驅逐;如果沒有被安全性控制阻止,攻擊者會嘗試繼續。在許多情況下,如果防病毒產品檢測到並阻止了某個工具或有效承載,攻擊者只需獲取其他工具或修改其有效承載即可。

攻擊者還了解安全運營中心 (SOC) 的回應時間以及偵測工具的功能和限制。當攻擊達到刪除備份或陰影副本的階段時,距離勒索軟體部署只有幾分鐘的時間。攻擊者可能已經執行了有害動作,例如資料洩露。這些知識對於 SOC 回應勒索軟體至關重要:在勒索軟體部署階段之前調查 Cobalt Strike 等偵測結果,並執行快速補救行動和事件回應 (IR) 程式,對於遏制人類對手至關重要。

加強安全性,抵禦威脅,同時避免警示疲勞

針對確定的人類對手的持久安全策略必須包括偵測和風險降低目標。僅僅依靠偵測是不夠的,因為 1)某些滲透事件實際上幾乎無法檢測到(它們貌似多個無辜的動作),以及 2)由於多個不同的安全產品警報引起的警示疲勞,勒索軟體攻擊被忽視的情況並不少見。

由於攻擊者有多種方式規避和禁用安全性產品,並且能夠模仿良性管理行為,以盡可能多地融入其中,IT 安全團隊和 SOC 應使用安全強化措施來備份其偵測投入量。

勒索軟體攻擊者的動機是輕鬆獲利,因此,透過強化安全性來增加其成本,會是阻斷網路犯罪經濟的重要關鍵。

以下是組織可以採取的一些自我保護措施:

 

  • 建立認證檢疫機制:發展使用權限的邏輯網路分割,該權限可與網路分割一起實施,以限制橫向移動。
  • 對登入資訊暴露風險進行稽核:稽核認證暴露對於防止勒索軟體攻擊和網路犯罪至關重要。IT 安全性團隊和 SOC 可以協同工作,以降低系統管理權限,並了解認證暴露的級別。
  • 強化雲端:隨著攻擊者轉向雲端資源,保護資源和內部部署帳戶的身分識別變得非常重要。安全性團隊應專注於強化安全性識別基礎結構,在所有帳戶上強制實施多重要素驗證 (MFA),並將雲端管理員/租用戶管理員視為網域管理員,提供具有相同級別的安全性和認證衛生
  • 解決安全性盲點:組織應驗證安全性工具是否採用最佳化設定來運行,並定期執行網路掃描,以確保安全性產品能保護所有系統。
  • 縮小受攻擊面:建立受攻擊面縮小的規則,防止勒索軟體在攻擊中使用的一般攻擊技術。觀察來自多個勒索軟體相關活動群組的攻擊,具有明確定義上述規則的組織能夠在初始階段緩解攻擊,同時防止來自手動鍵盤的活動。
  • 評估界限:組織必須識別並保護攻擊者可能用於存取網路的外圍系統。公共掃描介面(如 )可用於擴充數據。
  • 強化網際網路對應資產:勒索軟體攻擊者和存取訊息代理程式使用未修補的弱點,無論是已披露的還是零時差弱點,尤其是在初始存取階段。它們還迅速採用新的弱點。為了進一步減少暴露風險,組織可以使用端點偵測及回應產品中的威脅與弱點管理功能來尋找弱點和錯誤配置,設定優先權並對其進行補救。
  • 準備復原:最好的勒索軟體防禦應包括在發生攻擊時快速復原的方案。從攻擊中復原的成本低於支付贖金的成本,因此請務必定期備份關鍵系統,並保護這些備份免受故意擦除和加密。如果可能,請將備份存儲在線上不可變儲存體中,或者完全離線或異地存儲。
  • 進一步防禦勒索軟體攻擊:新勒索軟體經濟的威脅是多方面的,而且人為操作的勒索軟體攻擊難以捉摸,這就要求企業採取全面的安全方法。

我們上面概述的步驟有助於防禦常見的攻擊模式,並將大大有助於防止勒索軟體攻擊。為了進一步加強對傳統和人為操作的勒索軟體和其他威脅的防禦,請使用可提供深度跨網域可見度和統一調查功能的安全工具。

有關勒索軟體的其他概述,以及有關預防、偵測和修正的提示和最佳實踐,請參閱 保護組織免受勒索軟體的侵害,對於有關人為操作的勒索軟體的更深入資訊,請閱讀高級安全研究員 Jessica Payne 的 勒索軟體即服務:了解網路犯罪零工經濟以及如何保護自己.

相關文章

Cyber Signals 第 2 期:勒索經濟學

聽取前線專家對於開發勒索軟體即服務的意見。從程式和有效承載到訪問代理人和附屬機構,了解網路犯罪分子青睞的工具、策略和目標,並獲得有助於保護組織的指導。

專家個人檔案:Nick Carr

Microsoft 威脅情報中心的網路犯罪情報團隊負責人 Nick Carr 討論了勒索軟體趨勢,解釋 Microsoft 正在採取哪些措施保護客戶免受勒索軟體侵害,並介紹組織在受其影響時可以採取的措施。

保護貴組織不受勒索軟體侵擾

了解在地下勒索軟體經濟中運作的罪犯。我們將幫助您了解勒索軟體攻擊的動機和機制,並為您提供保護以及備份和復原的最佳做法。