近年來勒索攻擊席卷全球，幾乎所有國家的政府、金融、教育、醫(yī)療、制造、交通、能源等行業(yè)均受到影響，可以說有互聯(lián)網(wǎng)的地方就可能存在勒索攻擊。日前，安全服務(wù)商Heimdal Security的安全研究人員分析了近一年來的勒索攻擊典型案例后發(fā)現(xiàn)，各大勒索攻擊團伙一直在不斷改進攻擊手法和模式，使得新一代勒索軟件攻擊變得更加復(fù)雜和更有針對性。在面對新型勒索軟件攻擊時，大多數(shù)企業(yè)組織會處于極度弱勢，根本難以招架。

01攻擊模式APT化

研究人員發(fā)現(xiàn)，今天的勒索攻擊團伙相比之前會更具耐心，為獲取有價值資產(chǎn)，其入侵與滲透過程甚至可長達數(shù)周乃至數(shù)月，這與APT攻擊特點趨同。此外，從當(dāng)前勒索攻擊全過程來看，會分階段使用加密、免殺、逃逸等多種技術(shù)，使得攻擊成功率明顯提高。盡管目前還沒有發(fā)現(xiàn)勒索軟件組織雇用漏洞開發(fā)人員專為自己設(shè)計可以多次利用的高危漏洞，但考慮到漏洞利用對勒索軟件團隊的價值和誘惑，這種情況可能很快就會出現(xiàn)。

02攻擊流程自動化

對于專業(yè)的勒索攻擊組織，自動化技術(shù)可以幫助它們節(jié)省攻擊時間和成本，以實現(xiàn)收入最大化。因此，新型勒索攻擊組織，都可以有效利用自動化技術(shù)簡化系統(tǒng)滲透過程（勒索軟件攻擊中成本最高的階段）。此外，在很多新型勒索攻擊中，一些勒索軟件組織（比如Cerber）已經(jīng)開始使用區(qū)塊鏈技術(shù)，這讓他們變得更加具有侵略性。

03勒索軟件智能化

隨著人工智能和機器學(xué)習(xí)技術(shù)不斷完善，攻擊者也開始利用這些創(chuàng)新技術(shù)使勒索軟件攻擊更具針對性和復(fù)雜性。研究人員發(fā)現(xiàn)，勒索軟件組織開始使用人工智能技術(shù)來識別漏洞、撰寫逼真的網(wǎng)絡(luò)釣魚郵件，并根據(jù)防御措施實時調(diào)整攻擊策略，這對勒索軟件防護工作構(gòu)成了重大挑戰(zhàn)。由于勒索軟件的智能化程度正在迅速增長，組織也需要及時關(guān)注更先進、更智能的網(wǎng)絡(luò)安全措施，同時加強員工安全意識培訓(xùn)，以防范這種日益嚴(yán)峻的威脅。

04多重勒索常態(tài)化

新型勒索軟件攻擊的一個關(guān)鍵特征就是從單純的支付贖金即可恢復(fù)被加密的數(shù)據(jù)，逐漸演變成竊取商業(yè)信息、非法銷售數(shù)據(jù)、DDoS攻擊等勒索方式結(jié)合的新模式，也被稱為“多重勒索”。這樣一來，不僅使得勒索攻擊殺傷性增強，被勒索企業(yè)繳納贖金的可能性變大。多種威脅方法加大了受害者的壓力、迫使支付贖金，因為他們面臨數(shù)據(jù)丟失、數(shù)據(jù)暴露和業(yè)務(wù)停運的風(fēng)險。

以臭名昭著的LAPSU$組織為例，一旦受害者拒絕支付贖金，就會將竊取的數(shù)據(jù)發(fā)布到網(wǎng)上，甚至非法售賣。這個組織據(jù)信已攻擊了微軟、英偉達、優(yōu)步和Rockstar Games等多家知名企業(yè)。面對多重勒索攻擊，企業(yè)的網(wǎng)絡(luò)安全負責(zé)人須仔細考慮其組織內(nèi)的所有漏洞，并優(yōu)先考慮補丁管理和漏洞掃描工作，以保護系統(tǒng)和數(shù)據(jù)免受潛在的數(shù)據(jù)泄露威脅。

05攻擊云上的數(shù)據(jù)和應(yīng)用

隨著線上需求的激增，企業(yè)組織正在向數(shù)字化、智能化的方向加速轉(zhuǎn)型，大量的工作負載從傳統(tǒng)數(shù)據(jù)中心遷移到云端。由于云環(huán)境通常是為了方便訪問和使用而構(gòu)建的，因此云環(huán)境一旦被勒索攻擊，就可能造成重大損失。盡管云資源的分散性對勒索攻擊者提出了挑戰(zhàn)，但他們正在開發(fā)新的策略以達到目的。

為了取得成功，攻擊者往往會針對那些關(guān)鍵且不可替代的云工作負載，否則受害企業(yè)就沒有支付贖金的動力。例如，在遠程辦公模式下，許多公司放棄了傳統(tǒng)的VPN網(wǎng)絡(luò)連接，開始使用虛擬桌面或云端托管桌面即服務(wù)（DaaS）等產(chǎn)品，這些都是攻擊者重點關(guān)注的目標(biāo)。

06將數(shù)據(jù)變現(xiàn)牟利

研究人員發(fā)現(xiàn)，在新型勒索軟件攻擊中，有更多的攻擊者會利用竊取到的數(shù)據(jù)直接牟利，即數(shù)據(jù)變現(xiàn)。在以往，勒索軟件組織竊取或加密數(shù)據(jù)的主要目的是獲取贖金，但這些被盜的數(shù)據(jù)不僅僅對其所有者有價值，對其商業(yè)競爭對手或一些網(wǎng)絡(luò)詐騙團伙同樣具有價值，這就使得數(shù)據(jù)變現(xiàn)會非常容易。在新型勒索軟件攻擊中，即使受害企業(yè)支付了贖金，攻擊者有時也會將所竊取的數(shù)據(jù)非法變現(xiàn)，這些組織會充分利用一些暗網(wǎng)交易市場，充當(dāng)其他網(wǎng)絡(luò)犯罪分子的代理，以謀求利潤最大化。

因此，企業(yè)組織需要比以往更加重視勒索攻擊防護，因為勒索事件一旦發(fā)生就意味著釀成災(zāi)難，敏感數(shù)據(jù)一旦落入攻擊者之手，無論是否支付贖金，組織都可能會面臨進一步的損害。

07攻擊并不常見的應(yīng)用系統(tǒng)

任何泄露事件都可能帶來災(zāi)難，因此在面對新型勒索軟件攻擊時，任何攻擊途徑都不能被忽視。在新型勒索軟件攻擊模式下，攻擊者會更加重視一些沒有備份的業(yè)務(wù)系統(tǒng)，或者一些并不常見的應(yīng)用，這些看上去的“小應(yīng)用”往往會給組織帶來大威脅。佐治亞理工學(xué)院的安全研究人員已經(jīng)驗證，勒索軟件攻擊可以通過屢試不爽的已知漏洞利用代碼部署到程序邏輯控制器（PLC）中。遺憾的是，這類設(shè)備的重建或更換成本過高，新型勒索軟件組織正是瞅準(zhǔn)了這一點以勒索受害者。

參考鏈接：https://heimdalsecurity.com/blog/ransomware-trends/