勒索软件2021——坏的、坏的与丑的
简介
2021年,勒索软件对所有行业组织都构成了日益增长且日益严峻的威胁。美国是受到重点攻击的国家之一,工业与能源、零售和金融行业是攻击最严重的三个行业。Conti、LockBit和PYSA是2021年最活跃的三个勒索软件家族。
初始感染
勒索软件组织通常使用网络钓鱼和恶意垃圾邮件等常见攻击向量进行传播。被盗凭证和面向公众的基础设施中的漏洞也被利用。漏洞利用,例如针对暴露的RDP端口和VPN网关的暴力攻击,也是常见的初始感染媒介。
入侵后
在获得初始立足点后,勒索软件团伙通常会进行数据窃取,以对受害者施加最大压力。他们可能会使用各种工具进行持久化、防御规避和横向移动。
加密阶段
勒索软件团伙会在目标系统桌面创建一个带有引人注目名称的文本文件,解释情况并说明如何联系威胁团伙购买解密软件。加密算法和实现可能有所不同,但加密文件的扩展名会根据勒索软件家族的不同而变化。
最糟糕的中的最糟糕
Conti、LockBit和PYSA是2021年最活跃的三个勒索软件家族。
Conti
Conti以搜寻易受攻击的主机帐户而闻名,例如被盗的远程桌面协议(RDP)凭证。他们通常利用面向外部的远程服务,例如VPN和RDP,最初访问受害者的网络。Conti在加密阶段大量使用创建IO完成端口()、PostQueuedCompletionStatus()和GetQueuedCompletionPort(),因为它相对快速地加密文件。
LockBit
LockBit利用双重勒索策略,窃取数据并威胁公开以促使其支付赎金。LockBit直接调用Windows API中的函数来实现加密过程,很可能是在端点监控的情况下试图进一步规避检测。
PYSA
PYSA始终致力于改进其不依赖于社会工程的方法和技术。PYSA主要通过钓鱼活动等常见勒索软件攻击向量进行传播。PYSA在加密阶段使用CryptoPP,这是一个开源的C++库。
已退休组
DarkSide和BlackMatter是2021年最引人关注的事件之一负责方。它们都运营着一种勒索软件即服务(RaaS)业务,并负责对苹果等企业进行几次重大黑客攻击。阿瓦登是一个勒索软件团伙,从2020年3月开始还运营着RaaS业务。
新玩家
AvosLocker和Khonsari是2021年相对较新的勒索软件团伙。AvosLocker运营着一个勒索软件即服务(RaaS)业务。Khonsari似乎并未跟随像Lockbit和Conti这样的其他臭名昭著的勒索软件团伙,并且也不运营一个“勒索软件即服务”(RaaS)企业,而是自行运作。
新勒索手段
虽然许多群体可能是"竞争对手",但有效的战术、技术和程序(TTP)似乎被其他人采用。例如,广泛使用的"窃取、加密和泄露"战术最初被归功于"迷宫团队",现在被大多数大型游戏猎人群体采用。
适应能力
勒索软件团伙正在寻找更具创造性的方式来利用他们的攻击。因此,我们可能会看到一种不同的模式的活动,即为了勒索数据泄露而不进行加密阶段。
这是不是都关于钱?
随着勒索软件的流行日益加剧,执法机构与遭到勒索软件成功攻击的组织之间产生了冲突。勒索软件事件和新团伙将于今年出现。
监控
安全意识培训是确保一线员工能够及时发现并阻止攻击的重要步骤。通过持续监控端点安全事件,组织可以保持对其环境的可见性,并在问题发生之前识别可疑活动。
防止凭证滥用
多因素认证(MFA)的实施阻止了威胁行为者在没有访问“令牌”的情况下滥用被盗凭证。为限制任何凭证被窃取的影响,实施最小权限策略可以防止日常账户被窃取并用于获取对其他系统的提升权限。
应用程序权限列表
使用应用许可和拒绝列表可以检测和防止未授权或未知可执行文件的执行,有效增强操作系统抵御攻击的能力。
保护敏感数据
敏感数据应始终得到充分加密并安全存储,以防止未经授权的访问,即使在数据被盗的情况下,也将使数据对威胁行为者不可访问。
威胁情报
通过获取战术和战略威胁情报,可以保持对当前事件、威胁行为者战术、技术和程序(TTP)以及新威胁的警觉。
电子邮件安全
组织还应确保他们利用电子邮件安全协议和方法来验证发件人,例如基于域的消息认证、报告和一致性(DMARC)、域名密钥识别邮件(DKIM)和发件人策略框架(SPF)。
网络隔离
使用适当的网络隔离,通常通过为具有相似风险特征的资产创建独立的逻辑段并限制通信(尤其是端点之间),可以限制攻击并提供损害限制,防止威胁进一步在整个组织中传播。
恢复和备份
组织必须有相应的流程来定期备份和验证其数据的完整性,以及执行定期演练以确保灾难恢复计划在实践中有效。
推荐措施
- 员工意识
- 防止凭证滥用
- 最小权限实践
- 监控
- 威胁情报
- 第三方安全
- 补丁管理
- 安全敏感数据
- 应用程序权限列表
- 网络隔离
- 邮件安全
- 恢复和备份
