#Infosec2024：勒索软件生态系统发生转变，新团体“改变规则”

2024 年欧洲信息安全大会的专家警告称，2024 年勒索软件生态系统已发生翻天覆地的变化，各组织必须相应地调整防御措施。

Bitdefender 技术解决方案总监 Martin Zugec 告诉与会者“忘记你所知道的有关勒索软件的知识”，并了解新团体如何改变游戏规则。

他解释说，这种变化是由于最近两家领先的勒索软件即服务 (RaaS) 运营商的倒闭所致：LockBit 的基础设施于 2024 年 2 月被执法部门摧毁，而 BlackCat在 3 月份从美国医疗保健支付提供商 Change Healthcare 获得赎金后，似乎进行了一场“退出骗局” 。

这导致了一种新的 RaaS 模式的出现，其中关联企业在不同的 RaaS 运营商之间转移。

Rapid7 威胁分析高级总监 Christiaan Beek 告诉Infosecurity，勒索软件的形势现在感觉就像“狂野西部”。

例如，虽然像 LockBit 这样的组织告诉其附属机构不要针对医疗保健组织，但新组织似乎没有任何此类限制。

Rapid7 在 2024 年 5 月观察到 78 个活跃团体，并且联盟成员不断地在与其合作的运营商之间跳转，评估诸如速度、可靠性以及其菌株避免端点安全工具的能力等因素。

“信誉在地下活动里至关重要 —— 它就像一个正常的商业市场，”比克评论道。

不断变化的勒索软件攻击技术
2024 年上半年，勒索软件运营商及其关联组织针对组织的方式发生了一些显著变化：

针对漏洞
Zugec 指出，勒索软件攻击者越来越多地利用边缘网络设备和软件供应链中的漏洞，然后针对特定组织发起攻击，使他们能够一次性入侵多个受害者。一个关键的例子是2023 年的 MOVEit 文件传输攻击，该攻击影响了全球数千家组织。

他指出， 2024 年，漏洞利用首次超过网络钓鱼和社会工程攻击，成为勒索软件事件的原因。

在许多情况下，最初的入侵和勒索软件部署之间存在很大差距。这是因为联盟成员入侵了如此多的组织，然后根据组织规模、访问受害者数据的难易程度以及它们是否为更有利可图的目标提供了通道等因素来确定优先攻击哪些组织。

数据泄露是主要目标
Zugec 表示，数据泄露现在是勒索受害的主要方式，加密通常被视为一种“不错的”附加功能，而许多攻击者根本不会锁定数据。

这一趋势源于改进的备份解决方案，这些解决方案可以帮助受害者在数据被加密时快速恢复。

入侵后是手动黑客操作
Zugec 指出，初始入侵后的活动依赖于手动操作来横向移动并访问敏感数据。Beek 也观察到了这种趋势，他表示攻击者在受害者网络内部经常使用离地攻击技术。

“如今我们看到的是他们利用漏洞进入，然后提升他们的权限。然后他们做的第一件事就是找出这家公司的大部分数据存放在哪里。在发生泄露后，他们就会部署勒索软件，”他解释道。

如何防御现代勒索软件攻击
尽管勒索软件的威胁日益严重，但 Infosecurity Europe 的专家指出，不断变化的策略确实为防御者提供了机会。Beek 表示，攻击者专注于数据泄露的趋势为在部署勒索软件之前检测活动提供了更多机会。

他指出：“如果您实施了适当的控制，您应该会看到当网络出现异常活动时流量会出现峰值。”

Bugec 认为，目前人们过于关注勒索软件事件的结束部分，当攻击者进入网络时，组织应该考虑部署防御措施，防止横向移动和手动黑客操作。

Fleet Mortgages 安全与技术总监 Erhan Temurkan 也提倡这种方法，他表示，组织必须围绕其关键数据建立防御控制措施，以防止数据泄露。

“了解你的数据，了解你的数据在哪里。我们试图避免的是‘打砸抢’，”他概述道。

此外，由于漏洞利用现在是攻击者获取初始访问权限的主要方式之一，修补过程变得越来越重要。

比克表示，攻击者现在通常在补丁发布后的 24 小时内利用严重漏洞，因此以数据为主导的优先排序是必要的。

他建议安全团队与威胁研究人员合作，他们可以快速洞察实时被利用的关键漏洞。

比克敦促道：“如果某个漏洞正在被利用来发起勒索软件攻击，那么就忘掉其他漏洞，集中精力解决这个漏洞。”