网络犯罪分子扩大攻击半径和勒索软件痛点

作者：Melissa Bischoping是Tanium的主任、端点安全研究专家

当勒索软件发动攻击之后，安全团队和商业领袖会立即面临如下一系列问题，包括：

“漏洞是否已修补？”

“我的供应商/供应商/客户的妥协也会影响我吗？”

“有什么影响？”

“我们如何防止这种情况继续下去？”

上个月，美国牙科协会及其161,000多名会员和相关企业在遭到Black Basta勒索软件集团的袭击后，企业的应对措施就是人们最关心的。最初，ADA（计算机程序设计语言）将多个系统离线——这是事件响应的共同步骤，旨在调查期间减少潜在传播。据报道，该组织聘请了第三方安全服务以及执法支持，并向成员发送电子邮件，让他们获悉新出现的情况。

几个小时内，Black Basta开始泄露被盗信息，其中包括财务表格的详细信息以及会员数据。对ADA的这种攻击是勒索软件参与者新趋势的另一个指标——创造力。罪犯正在越来越多地扩大其攻击半径，而不是提出已经司空见惯的典型数据恢复赎金请求。

创意开发

勒索软件的研发人员正在追求的新型勒索方式已经成为了一种令人担忧的趋势。他们现在正在采取多方面的方法，而不仅仅是提出赎金的要求，这应该是ADA及其成员关注的问题。根据在主要勒索软件攻击中获得的数据，包括牙科诊所和保险公司在内的二手受害者可能是网络威胁者攻击的潜在目标。

2021年5月，爱尔兰公共卫生系统卫生服务主管系统成为勒索软件攻击的受害者，该攻击产生了重大反响。在接下来的几天和几周里，多家与公共卫生服务相连的医院除了面临患者数据安全和获得护理的风险增加外，还经历了服务中断和经济损失等一系列问题。

这些事实表明，一种令人担忧的全球趋势正在蔓延。而这种趋势又大大扩展了勒索软件攻击的负面影响。

显然，威胁行为者希望最大限度地增加支付初始赎金和潜在出售宝贵数据的机会。现在，他们正在使用他们通过最初剥削所获得的被盗信息和访问权限来瞄准和勒索受害者的客户，无论是个人还是公司。而对于下游组织来说，当大型组织被破坏时，第一个问题是：“这会影响我吗？”虽然主要受害者进行初步响应和调查工作，但潜在的后续受害者除了积极解决其环境中的差距外，还应专注于优先采取行动，以跟上威胁情报和响应事件结果。

目标和技术

当威胁行为者发现其他敲诈勒索能力或凭据以破坏另一个组织时，他们可以选择出售这些信息或将其用于自己的未来举措。除了监控供应链和公司关系中的漏洞外，组织还应监控在暗网上出售或在数据泄露转储中发布的任何数据。“HaveIBeenPwned”等服务可以帮助这些企业在员工凭据发生违规使用情况时发出警报。

在过去几年里，曾经占有商机的初始访问经纪人市场的兴起激励了被盗帐户和凭证的转售。这些黑市供应商通常不是勒索软件运营商，而是出售勒索软件帮派访问权限的第三方，而这一改变从而加快勒索软件帮派的运营步伐。当妥协发生时，“加密付费”利润以及数据或凭证/访问转售的机会就会导致双重或三重勒索。

单一勒索：攻击者通过加密数据用以勒索付款，来换取解锁文件（通常不成功）。在单一敲诈勒索的情况下，强大的后备练习是最好的防御。然而，犯罪分子知道备份是避免付款的常见选择，因此他们转而试图损坏备份。这凸显了离线备份和“带外”事件通信的必要性，因为事件期间连接的任何系统，如电子邮件，都很可能不可信。

双重勒索：攻击者尝试“付费解密方案”，但也将威胁或坚持到底，在暗网上出售敏感数据/知识产权。即使避免了为解密付费，品牌声誉也可能受损，组织可能会受到罚款和处罚。在防止数据盗窃，就必须了解数据的存地。实施解决方案，允许在敏感数据保存、传输或不安全存储时发出近实时警报，这是预防的基础。

三重勒索：当攻击者威胁DDoS公司网站或追求特定客户并威胁除非付款，否则将释放被盗信息时，就会发生这种单次和双重的组合。2020年，这正是芬兰发生的事情，当时在敏感心理健康数据发布的威胁下，每个国家都面临数百欧元的威胁请求。

勤奋与意识

这种勒索软件演变过程给企业带来的最重要的收获是，与被破坏的组织有业务联系的组织，例如在这种情况下的ADA，应该密切监控官方更新渠道，确定他们自己的数据中可能面临风险（如果有的话），并专注于对相关威胁的防御措施。

ADA攻击和其他类似攻击强调了了解公司与谁做生意的重要性，并确保密切关注可能影响下游的安全事件。这可能包括供应商、合作伙伴、客户等。在当今相互关联的业务环境中，必须有一个计划来应对可能具有预期或无意影响的外部事件。这需要做好准备，并了解威胁行为者战术、技术和程序（TTP）的趋势。

攻击发生后，教育员工了解网络钓鱼的风险，并鼓励他们立即报告可疑的电话、短信或电子邮件。即使系统没有直接连接，攻击者也可能使用初始漏洞中发现的数据来开发社交工程活动，使下游公司成为目标。

其他积极主动的措施包括更改可能与ADA系统相关的任何重复使用的密码，并验证收到的有关违规行为的任何信息或通信来自ADA的合法来源，而不是可能看起来是官方但具有欺诈性的被盗电子邮件。

面向未来

随着勒索软件行为者使用的战略和战术的演变，组织必须对防御、检测、响应和恢复有大局视角。

早期检测攻击者的存在和渗透尝试需要了解环境中的“正常”行为，以建立对任何异常进行警报的基线，以便对其进行标记和进一步调查。

虽然这种基线方法看起来很简单，但它可能非常复杂。实现这种环境的整体视图需要系统的整体把握以及具有评估动态风险的能力。因为新设备进入网络，员工上/下机，以及新漏洞出现都需要通过这种基线方法。而系统的恢复应超越“擦拭和重新成像”，包括彻底的检查，以识别妥协的剩余迹象，并在可能的情况下明确确定初始接入点，以避免在恢复工作期间重新引入攻击载体。