Cyber Signals issue 2:勒索軟體的新商業模式
勒索軟體仍是引人注目的話題,它的背後有一個相對較小的、相互關聯的行為者生態系統推動了網路犯罪的經濟領域。網路犯罪經濟專業化,以及勒索軟體即服務 (RaaS) 的整合推動成為一種主流的商業模式,犯罪分子無論是否擁有技術專長,都能夠更廣泛地部署勒索軟體。
勒索經濟學
超過 80% 的勒索軟體攻擊可以追溯到軟體和裝置中的常見設定錯誤。1
觀看 Cyber Signals 的數位簡報,Microsoft 安全性副總裁 Vasu Jakkal 就勒索軟體經濟議題採訪了頂級威脅情報專家,以了解組織如何自我保護。
數位簡報:保護自己免受勒索軟體經濟的侵害
新的商業模式為防禦者提供了新的見解
正如許多行業為了提高效率而轉向計時工作者一樣,網路罪犯正在出租或銷售他們的勒索軟體工具以獲取部分利潤,而不是自己進行攻擊。
勒索軟體即服務允許網路罪犯購買基礎結構的存取授權,以使用勒索軟體有效承載和外洩資料。勒索軟體的「結夥」實際上是許多不同行為者使用像 Conti 或 REvil 這樣的 RaaS 程式,並在 RaaS 程式和有效承載間切換。
RaaS 降低了進入者門檻,並混淆了勒索背後攻擊者的身份。一些專案有 50 個以上的 「附屬機構」,這表示它服務使用者的數量,也代表他們具有不同的工具、技術和目標。就像有車的人都可以開車加入拼車服務一樣,任何擁有膝上型電腦和信用卡的人願意在暗網上搜索滲透測試工具或開箱即用的惡意軟體,都可以加入這個經濟。
網路犯罪產業化創造了專業化的角色,例如銷售網路存取授權的 Access 經紀人。單一入侵通常是指處於入侵不同階段的多個網路罪犯。
RaaS 套件很容易在暗網上找到,並且在網際網路上以宣傳商品相同的方式進行公告。
RaaS 套件可能包括客戶服務支援、搭售供應項目、使用者評論、論壇和其他功能。網路罪犯為 RaaS 套件支付固定價格,而以聯盟模式銷售 RaaS 的團體則可以獲得一定比例的利潤。
勒索軟體攻擊涉及網路設定產生的決策,即使勒索軟體有效承載相同,但每個受害者也會有所不同。勒索軟體最終將導致攻擊,其中可能包括資料外流和其他影響。由於網路犯罪經濟的相互關聯性,看似無關的入侵可能相互依賴。竊取密碼和 Cookie 的 Infostealer 惡意軟體的威脅程度較低,但網路罪犯出售這些密碼以啟用其他攻擊。
這些攻擊根據範本透過惡意軟體感染或利用漏洞進行初始存取,然後透過認證竊取來提升權限並橫向移動。產業化讓攻擊者在沒有複雜或進階技能的情況下,執行多產且有影響力的勒索軟體攻擊。自 Conti 關閉以來,我們觀察到勒索軟體的領域發生了變化。一些部署 Conti 的附屬組織遷移到已建立 RaaS 生態系統 (如 LockBit 和 Hive) 的有效承載,而其他附屬組織則同時部署來自多個 RaaS 生態系統的有效承載。
而像 QuantumLocker 和 Black Basta 這樣的新 RaaS 正在填補 Conti 關閉後留下的空白。由於大多數勒索軟體的報導都集中在有效承載而不是行為者,這種有效承載的訊息切換可能會使政府、執法部門、媒體、安全研究人員和防禦者對於誰是攻擊的幕後黑手感到困惑。
報告指示勒索軟體似乎是不斷擴散的問題。然而,實際狀況是使用一組技術的有限行為者。
建議:
- 建立認證衛生: 發展使用權限的邏輯網路分割,該權限可與網路分割一起實施,以限制橫向移動。
- 稽核認證暴露: 稽核認證暴露對於防止勒索軟體攻擊和網路犯罪至關重要。IT 安全性團隊和 SOC 可以協同工作,以降低系統管理權限,並知道認證暴露的級別。
- 縮小受攻擊面:建立受攻擊面縮小的規則,防止勒索軟體在攻擊中使用的一般攻擊技術。觀察來自多個勒索軟體相關活動組的攻擊,具有明確定義上述規則的組織能夠在初始階段緩解攻擊,同時防止來自手動鍵盤的活動。
網路罪犯在攻擊策略中新增了雙重勒索
勒索軟體的存在是為了向受害者勒索付款。當前大多數的 RaaS 程式也會洩露被盜資料,稱為雙重勒索。隨著被攻擊造成中斷引起強烈反彈,以及政府對勒索軟體營運商的干擾增加,一些團體放棄了勒索軟體並改採資料勒索。
兩個以敲詐勒索為重點的團體是 DEV-0537 (又名 LAPSUS$) 和 DEV-0390 (前 Conti 附屬公司)。DEV-0390 的入侵始於惡意軟體,但當使用合法工具時將會洩露資料並進行勒索付款。他們部署了滲透測試工具,如 Cobalt Strike、Brute Ratel C4 和合法的 Atera 遠端管理實用程式,以保持對受害者的存取能力。DEV-0390 透過竊取認證來提升使用權限、尋找敏感性資料 (通常在公司備份和檔案伺服器上),並使用檔案備份實用程式將資料傳送到雲端檔案共用網站。
DEV-0537 使用非常不同的策略和技術。透過購買地下犯罪組織或目標組織員工的認證,取得初始存取權限。
問題
- 被盜的密碼和未受保護的身份識別
除了惡意程式碼之外,攻擊者還需要認證才能成功。在幾乎所有成功的勒索軟體部署中,攻擊者都可以存取使用權限、系統管理員層級帳戶,授與組織網路的廣泛存取權限。 - 安全性產品的不足或停用
每個觀察到的勒索軟體事件中,幾乎至少有一個攻擊利用了系統缺少的或設定錯誤的安全性產品,讓入侵者篡改或禁用某些保護措施。 - 應用程式設定錯誤或濫用
您可能將流行的應用程式使用於單一目的,但這並不意味著犯罪分子不能將它武器化用於另一個目的。「舊版」設定經常意味著應用程式處於預設狀態,允許任何使用者在整個組織內進行廣泛存取。不要忽視這種風險,也不要因為害怕作業中斷而猶豫是否更改應用程式的設定。 - 修補緩慢
這是陳詞濫調了,就像「多吃蔬菜!」 – 但這也是關鍵事實:強化軟體的最佳方法便是保持軟體在已更新狀態。雖然某些雲端式應用程式無需使用者操作即可更新,但是對於其他應用程式則必須立即套用供應商的修補檔。2022年,Microsoft 觀察到攻擊的主要驅動因素,仍然是針對較舊的弱點。 - 被盜的密碼和未受保護的身份識別
除了惡意程式碼之外,攻擊者還需要認證才能成功。在幾乎所有成功的勒索軟體部署中,攻擊者都可以存取使用權限、系統管理員層級帳戶,授與組織網路的廣泛存取權限。 - 安全性產品的不足或停用
每個觀察到的勒索軟體事件中,幾乎至少有一個攻擊利用了系統缺少的或設定錯誤的安全性產品,讓入侵者篡改或禁用某些保護措施。 - 應用程式設定錯誤或濫用
您可能將流行的應用程式使用於單一目的,但這並不意味著犯罪分子不能將它武器化用於另一個目的。「舊版」設定經常意味著應用程式處於預設狀態,允許任何使用者在整個組織內進行廣泛存取。不要忽視這種風險,也不要因為害怕作業中斷而猶豫是否更改應用程式的設定。 - 修補緩慢
這是陳詞濫調了,就像「多吃蔬菜!」 – 但這也是關鍵事實:強化軟體的最佳方法便是保持軟體在已更新狀態。雖然某些雲端式應用程式無需使用者操作即可更新,但是對於其他應用程式則必須立即套用供應商的修補檔。2022年,Microsoft 觀察到攻擊的主要驅動因素,仍然是針對較舊的弱點。
動作
- 驗證身份識別 對所有帳戶強制實施多重要素驗證 (MFA),優先考慮管理員和其他敏感性角色。對於混合式工作型態,無時無刻都要在所有位置和所有裝置上進行 MFA。為支援無密碼驗證的應用程式啟用無密碼驗證,例如 FIDO 金鑰或 Microsoft Authenticator。
- 解決安全性盲點
與煙霧通報器一樣,安全性產品必須安裝在正確的空間並經常進行測試。驗證安全性工具是否運行於最安全的設定,以及網路上的每個地方都已受到保護。 - 強化網際網路對應資產
考慮刪除重複或未使用的應用程式,以排除有風險的未使用服務。請注意遠端服務台應用程式 (如 TeamViewer) 的授權使用位置。眾所周知,這些是威脅行為者的目標,以快速取得對膝上型電腦的存取。 - 使系統保持最新狀態
使軟體盤點成為持續性的流程。持續追蹤正在運行的應用程式,並優先支援這些產品。利用您的能力快速且果斷地進行修補,以確定對於轉換到雲端式服務是有助益的。
他們了解現代技術生態系統中身份識別和信任關係的相互關聯性,以電信、技術和 IT 服務為目標,可以利用一個組織的存取權限進入合作夥伴或供應商網路。勒索攻擊表明,網路防禦者必須超越終端勒索軟體,密切關注資料外流和橫向移動。
如果威脅行為者計劃以保持資料私密性為由來勒索組織,則勒索軟體的有效承載將是攻擊策略中最不重要和最沒有價值的部分。歸根究底,這是營運商的部署選擇,因為勒索軟體並不總是威脅行為者的大筆支出。
雖然勒索軟體或雙重勒索似乎是老練攻擊者攻擊的必然選擇,但勒索軟體攻擊是可以避免的災難。攻擊者對於安全性弱點的依賴,意味著對網路衛生的投資將大有裨益。
Microsoft 獨特的可見度為我們提供了威脅行為者活動的視角。我們的安全專家團隊不依賴論壇文章或聊天訊息,而是研究新的勒索軟體策略,以及開發威脅情報,為安全性解決方案提供更多資訊。
整合跨裝置、身份、應用、電子郵件、資料和雲端的威脅防護有助於我們識別本應標記為多個行為者的攻擊,而實際上它們是一組網路罪犯。我們的數位犯罪部門由技術、法律和商務專家組成,持續與執法部門合作,打擊網路犯罪
建議:
強化雲端:隨著攻擊者轉向雲端資源,保護資源和內部部署帳戶的身分識別變得非常重要。安全性團隊應專注於強化安全性識別基礎結構,在所有帳戶上強制實施多重要素驗證 (MFA),並將雲端管理員視為租戶管理員與網域管理員,提供具有相同級別的安全性和認證衛生。
預防初始存取:透過管理巨集和指令碼啟用受攻擊面縮小規則來防止程式碼執行。
關閉安全性盲點: 組織應驗證安全性工具是否採用最佳化設定來運行,並定期執行網路掃描,以確保安全性產品能保護所有系統。
Microsoft 在 https://go.microsoft.com/fwlink/?linkid=2262350 提供了深入的建議。
聽取威脅情報分析師 Emily Hacker 關於她的團隊掌握的勒索軟體即服務不斷變化的輪廓。
- [1]
方法:對於快照資料,Microsoft 平台包括 Defender 和 Azure Active Directory,以及數位犯罪部門提供了威脅活動的匿名資料,如惡意電子郵件帳戶、網路釣魚電子郵件和攻擊者在網路內的移動。更多的深入解析來自 Microsoft 每天獲得的 43 萬億個安全性訊號,包括雲端、終端、智慧邊緣以及我們的入侵修復安全性實務以及偵測和回應團隊。
關注 Microsoft 安全性