了解如何应对勒索软件

勒索软件的历史比许多人意识到的要长，其根源可以追溯到 20 世纪 80 年代。第一次有记录的勒索软件攻击发生在1989年，当时艾滋病木马通过软盘在世界卫生组织艾滋病大会上传播，这也标志着大规模黑客行动主义的最早案例之一。1 进入21世纪，勒索软件的演变速度加快。Archievus木马病毒（又称Arhiveus木马病毒）于 2006 年出现，是第一个使用高级 RSA 加密技术的勒索软件，利用网站和垃圾邮件进行大规模传播。2这标志着一次重大的技术飞跃，尽管统一的解密密码限制了其影响力。到了 2008 年，比特币的出现（于 2009 年 1 月正式推出）提供了一种全新的能力，使追踪交易变得更加困难，从而助长了勒索软件的快速增长。3 最近的攻击展示了备受瞩目的勒索软件组织，它们以日益复杂的策略占据了新闻头条。LockBit曾以其勒索软件即服务 (RaaS) 模式而闻名，曾多次针对关键基础设施、医疗保健和金融部门进行攻击，直至国际执法部门在 2024 年 2 月将其全面捣毁。4 尽管已通过“克罗诺斯行动”将该组织铲除，但一周之内又死灰复燃，证明了现代勒索软件行动的韧性。5RansomHub 在 2024 年成为一股主导力量。Palo Alto Networks 下属的威胁情报和咨询部门 Unit 42®证实，RansomHub 成为 2025 年 1 月至 2025 年 3 月期间最活跃的勒索软件变种（图 1）。6 2024 年，勒索软件攻击大幅升级。Unit 42 对事件响应案例的分析表明，业务中断已成为主要的攻击目标，2024 年 86% 的事件涉及运营停机、声誉损害或两者兼而有之。7同年，赎金支付金额也创下新高，Unit 42 的数据显示，2024 年初始勒索金额中位数同比增长近 80%，达到 125 万美元，但成功的谈判将中位数支付金额降至 267,500 美元。8 勒索软件基础知识 勒索软件是一种犯罪商业模式，它使用恶意软件劫持数据，通常会锁定或加密系统，同时要求支付赎金才会恢复访问权限。尽管这是一个日益紧迫的挑战，但您可以阻止勒索软件。或者至少，您可以通过适当的培训、对当前 IT 环境进行特定调整以及部署先进的端点技术来最大限度地减少损害。此技术部署包括向您的安全堆栈添加扩展检测和响应 (XDR)等解决方案。 勒索软件有两种类型： •加密勒索软件是最常见的类型，可加密文件和数据。•Locker 勒索软件会锁定计算机或其他设备，阻止受害者使用。 加密勒索软件会对数据进行加密。即使从设备中删除恶意软件或将存储介质移动到另一个设备，数据仍然无法访问。通常，加密勒索软件不会针对关键系统文件，因此设备即使被感染也能继续运行。此外，可能还需要使用该设备来支付赎金。 Locker 勒索软件仅锁定设备，而设备上存储的数据通常保持不变。因此，如果删除恶意软件，数据就不会受到影响。即使恶意软件无法轻易删除，您通常也可以通过将存储设备（通常是硬盘驱动器）移动到另一台正常运行的计算机来恢复数据。 大多数勒索软件攻击的典型步骤 大多数勒索软件攻击都包含以下步骤，除非攻击得到缓解或受害者拒绝支付赎金。 1.入侵并控制系统 大多数攻击都是从网络钓鱼开始的，通过向用户发送欺诈性电子邮件来诱骗用户，紧急要求他们在不知情的情况下打开受感染的附件。打开附件就会危及系统安全。或者攻击者可能会在初始访问中使用其他形式的有效凭证滥用。这可能会影响单个主机，例如计算机或移动设备。然后，受感染的主机与命令和控制 (C2)服务器建立通信。此时，攻击者可能会从初始主机横向移动到组织中的其他系统，以最大限度地扩大勒索软件攻击的影响。 2.发现或泄露有价值的数据 过去的勒索软件通常只是识别和加密某些可能对受害者有价值的文件类型（例如，.doc、.xls 和.pdf等商业文档），但攻击者现在已经进化了。现在，威胁行为者会悄悄寻找已知的敏感数据，包括客户数据或知识产权，以确保他们能够索要更高的赎金。攻击者还经常窃取数据以用于多重勒索计划。 3.阻止访问系统 一旦攻击者感染了系统，他们就会加密数据或通过锁定屏幕或恐吓策略拒绝访问一个或多个系统。 4.向设备所有者发出警报，告知其受害情况和赎金金额 所有前面的步骤代表了勒索软件攻击中的实际大部分行动。如果一个熟练的对手执行这些步骤，受害者会毫无察觉。也就是说，当攻击者通知受害者他们的存在时，攻击已经完成了。通知通常以赎金通知的形式出现，其中包含付款说明和解锁设备的附加步骤。 5.接受赎金支付 攻击者必须有办法在逃避执法的同时收取赎金。他们使用比特币等假匿名加密货币进行这些交易。 6.承诺在收到付款后归还完整访问权限 若无法恢复已受损的系统，会使该勒索方案彻底失效，因为如果受害者不确定自己的贵重数据能被归还，就不会有人支付赎金。 加速危机 现代勒索软件攻击的速度急剧加快。Unit 42 的研究表明，攻击时间线急剧缩短，数据窃取平均时间 (MTTE) 从 2021 年的 9 天降至 2023 年的仅 2 天，部分攻击事件甚至在数小时内就会发生。13专家预测，到 2025 年，部分事件的 MTTE 可能会低至 25 分钟 —— 这意味着仅在三年内，攻击速度就提升了 100 多倍。14这种加速从根本上改变了威胁格局。当攻击者可以在 30 分钟内完成其目标时，依赖人工分析和手动流程的传统检测和响应方法就会变得过时。 常见的攻击方法 为了更好地预防勒索软件，了解攻击者用来发动这种威胁的策略至关重要。多个勒索软件家族通过多种攻击媒介运作。例如，这些载体可能通过您的网络、SaaS 应用程序或直接到达端点。这些信息使您能够将安全控制重点放在攻击者最有可能利用的区域并降低感染风险。 人工智能 (AI) 日益增强了攻击的复杂性。人工智能生成的文本可以模仿合法的沟通方式，使得恶意电子邮件与真实电子邮件更难区分。到 2024 年，82.6% 的网络钓鱼电子邮件以某种形式使用了人工智能技术，78% 的人会打开人工智能生成的网络钓鱼电子邮件。15攻击复杂程度的演变需要更先进的检测方法和用户教育。 恶意电子邮件附件 从历史上看，攻击者会利用恶意电子邮件附件精心制作一封来自可信来源的电子邮件，例如人力资源或 IT 部门的人员。然后，他们附加恶意文件，例如可移植可执行 (PE) 文件、Word 文档或JS 文件。收件人打开附件，以为该电子邮件是从可信来源发送的。然后，勒索软件的有效载荷在不知不觉中被下载，系统被感染，文件被劫持以勒索赎金。如今，恶意软件感染通常会让攻击者有机会随后部署勒索软件。 恶意电子邮件链接 与恶意电子邮件附件类似，恶意电子邮件链接是电子邮件正文中的 URL。这些电子邮件是由您误认为值得信赖的某个人或某个组织发送的。点击这些 URL 后，它会通过网络下载恶意文件，导致系统被感染，文件会被扣押以勒索赎金。 易受攻击的凭证 勒索软件运营商还可能从初始访问代理 (IAB) 购买凭证或利用不良的密码卫生来避免实际危害受害者的整个过程。IAB是负责收集和收取凭证并将其出售给出价最高者的个人。虽然IAB并非专门用于勒索软件，但勒索软件运营商肯定会利用该系统，通常是在入侵生命周期的开始阶段。IAB 进行侦察，识别具有易受攻击的应用程序或设备的网络，例如虚拟专用网络 (VPN)、开放RDP或具有暴露软件漏洞的服务器。您可以通过遵循可靠的最佳实践（例如多因素身份验证 (MFA) 和其他识别机制）来避免这种情况。 CVE 利用 勒索软件运营商经常利用已知的 CVE 来获取目标系统的初始访问权限。这些攻击利用操作系统、应用程序和网络基础设施中未修补的软件漏洞。攻击者系统地扫描运行易受攻击的软件版本的系统，然后部署其漏洞代码以利用特定的 CVE。常见目标包括包含公开披露的安全漏洞的网络服务器、VPN 设备、电子邮件服务器和远程访问工具。 成功利用后，攻击者就会建立持久性并可以部署勒索软件负载或向其他威胁行为者出售访问权限。这种攻击载体特别有效，因为许多组织难以维护全面的补丁管理程序，导致关键漏洞长期暴露。CVE 披露和广泛利用之间的时间窗口不断缩小，一些漏洞在公开披露后的几天内就被积极利用。 您有风险吗？ 虽然您可能认为只有大公司才会成为勒索软件的目标，但小型企业也无法幸免。FBI 发现，医疗保健行业遭受勒索软件和数据盗窃攻击的总数是美国关键基础设施领域中最高的，共报告了444 起此类攻击。16此外，接受调查的美国医疗保健机构中有 92% 在过去 12 个月内至少经历过一次网络攻击。17 目标数据金矿 勒索软件攻击会公开影响其所针对的组织，因为该组织的运营可能会严重受损或完全关闭，正如最近针对美国各地医院的攻击所表明的那样。个人身份信息 (PII)对网络窃贼来说是一个名副其实的数据金矿，他们会在暗网上出售或拍卖这些信息。PII 暴露会导致更多影响消费者的身份欺诈和有针对性的诈骗。 犯罪分子已经意识到这是一项利润丰厚且进入门槛低的生意。RaaS 模型使附属机构能够使用已经开发的勒索软件工具来执行自己的勒索软件攻击。因此，勒索软件正在取代其他网络犯罪商业模式。此外，攻击者在确定泄露信息的价值、评估受害组织的支付意愿以及要求更高赎金的能力方面也越来越成熟。 越来越多的平台易受攻击 虽然攻击者过去几乎只关注 Microsoft Windows 系统，但针对 Android、macOS 和 Linux的勒索软件的出现表明，没有任何操作系统能够免受这些攻击。几乎所有连接互联网的计算机或设备都是勒索软件的潜在受害者。随着物联网 (IoT) 设备的普及，这是一个合理的担忧，而且最近，由于持续的远程工作趋势，攻击面也扩大了。 供应链和关键漏洞成为焦点 2024 年，勒索软件格局发生了重大变化，供应链攻击和关键漏洞利用在勒索软件活动激增中发挥了核心作用。 2024 年袭击事件关键调查结果 •严重漏洞被利用：针对 CVE-2024-3400（Palo Alto Networks 防火墙）等漏洞和其他关键基础设施组件的零日漏洞，在防御者更新易受攻击的软件之前就导致勒索软件感染激增。18 •供应链影响：供应链入侵激增，成为第二大最常见的攻击载体（15%），也是继恶意内部威胁（491 万美元）之后成本第二高（491 万美元）的攻击载体。19Unit 42 的研究证实，软件供应链和云攻击的频率和复杂程度都在增长，威胁行为者嵌入配置错误的环境中，扫描庞大的网络以获取有价值的数据。在 Unit 42 记录的一次活动中，攻击者扫描了超过 2.3 亿个唯一目标以查找敏感信息。20 •新出现的威胁：新的勒索软件团体不断涌现，表明勒索软件作为一种有利可图的犯罪活动仍然具有吸引力。 •行业焦点：2024 年，医疗保健将成为最受关注的行业之一。Unit 42 事件响应数据显示，受攻击最严重的六大行业分别是专业和法律服务、高科技、制造业、医疗保健、金融以及批发和零售业。上述行业合计占案件总数的 63%。21 战术的演变 勒索软件团体已经调整了他们的策略以最大化影响和利润： 多阶段攻击：一些团体利用勒索软件来分散注意力或作为更复杂的供应链攻击的资金来源。 ••数据外泄：RansomHub等组织和其他主要勒索软件组织更新了他们的策略，包括在加密之前进行复杂的数据盗窃，从而提高了勒索活动的效率。•针对关键基础设施：勒索组织将重点放在对停机容忍度较低的行业，例如医疗保健、制造业和能源业。•通过 AI 增强操作：Unit 42 于 2024 年开展的研究探索了威胁行为者如何使用 GenAI 工具创建恶意软件。研究发现，虽然最初的努力只产生了基本代码，但使用MITRE ATT&CK®等框架的更有条理的方法却能产生实用效果。22展望 2025 年，Unit 42 预测 GenAI 功能将使部分勒索软件开发和分发工作实现自动化，从而促进可定制勒索软件工具包和构建器的创建，这些工具包和构建器具有自动加密、受害者定位