日前，Zscaler 安全威脅實(shí)驗(yàn)室發(fā)布了最新版《2023年全球勒索軟件報(bào)告》，對當(dāng)前勒索軟件的威脅態(tài)勢和發(fā)展趨勢進(jìn)行了研究分析。報(bào)告研究人員認(rèn)為，相比以加密數(shù)據(jù)為主的傳統(tǒng)勒索攻擊模式，新一代的無加密（Encryptionless）勒索攻擊是一個(gè)需要企業(yè)組織重點(diǎn)關(guān)注的趨勢。

在這種類型的勒索攻擊中，攻擊者不再加密受害者的文件，轉(zhuǎn)而專注于竊取敏感數(shù)據(jù)作為勒索的籌碼。這給受害者和安全專業(yè)人員帶來了新的挑戰(zhàn)，因?yàn)楣粽邥?huì)直接攻擊并破壞組織重要的系統(tǒng)和數(shù)據(jù)，而傳統(tǒng)的文件恢復(fù)和解密方法將不再適用于對無加密勒索攻擊的防護(hù)。企業(yè)組織需要全面了解無加密攻擊的技術(shù)特點(diǎn)，并重新開發(fā)適合自身業(yè)務(wù)發(fā)展的勒索緩解策略和應(yīng)對方法。

報(bào)告關(guān)鍵發(fā)現(xiàn)

報(bào)告認(rèn)為，在過去的一年中，勒索軟件攻擊威脅正呈快速上升趨勢，且各種規(guī)模的企業(yè)都會(huì)面臨勒索攻擊的風(fēng)險(xiǎn)。以下是本次報(bào)告的關(guān)鍵發(fā)現(xiàn)： 

• 截至2023年10月，全球勒索軟件攻擊數(shù)量同比增長37.75%，這表明全球企業(yè)組織面臨更嚴(yán)峻的勒索軟件威脅。更糟糕的是，研究人員通過Zscaler覆蓋全球的沙箱中觀察到，勒索軟件的有效攻擊載荷激增了57.50%，而多數(shù)企業(yè)還沒有為應(yīng)對這種不斷變化的威脅做好準(zhǔn)備； 
• 攻擊的激增是一個(gè)明確的警告，組織必須保持主動(dòng)性、適應(yīng)性并加大網(wǎng)絡(luò)安全投入。通過優(yōu)先考慮強(qiáng)大的防御措施，培養(yǎng)安全意識的文化，并鼓勵(lì)協(xié)作，組織可以加強(qiáng)抵御勒索軟件威脅的能力，并盡量減少潛在影響； 
• 無加密勒索攻擊成為勒索攻擊威脅演變的主要特點(diǎn)，這種陰險(xiǎn)的新勒索方法會(huì)給企業(yè)組織帶來更大的挑戰(zhàn)，因?yàn)楣粽邥?huì)直接攻擊并破壞組織重要的系統(tǒng)和數(shù)據(jù)； 
• 制造業(yè)、服務(wù)業(yè)和建筑業(yè)是最常見的勒索軟件攻擊目標(biāo)。這些行業(yè)以其關(guān)鍵基礎(chǔ)設(shè)施和寶貴的知識產(chǎn)權(quán)而聞名，已成為尋求經(jīng)濟(jì)利益和破壞的網(wǎng)絡(luò)罪犯的主要目標(biāo)。
• 企業(yè)必須采用全面的零信任安全策略，以對抗日益復(fù)雜的勒索軟件攻擊。這種方法需要實(shí)現(xiàn)強(qiáng)大的措施，如零信任網(wǎng)絡(luò)訪問（ZTNA）架構(gòu)、細(xì)粒度分段、瀏覽器隔離、高級沙箱、數(shù)據(jù)丟失防護(hù)、欺騙技術(shù)和云訪問安全代理（CASB）解決方案。通過采用這些主動(dòng)防御措施，組織可以加強(qiáng)自身的安全態(tài)勢，并有效地防止勒索軟件攻擊。

勒索軟件威脅態(tài)勢

報(bào)告研究發(fā)現(xiàn)，不斷擴(kuò)散的勒索軟件攻擊繼續(xù)對全球的企業(yè)組織、個(gè)人和關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成重大威脅。攻擊者正在不斷調(diào)整和完善他們的攻擊策略，利用泄露的源代碼、智能化的攻擊方案和新興的編程語言來最大化他們的非法收益。在2023年，勒索軟件攻擊的主要特點(diǎn)包括：

• 無加密勒索攻擊的數(shù)量從2023年初開始快速增加； 
• 攻擊者大量使用泄露的勒索軟件源代碼（如Babuk和Conti）以及泄露的構(gòu)建程序（如LockBit）來發(fā)動(dòng)攻擊； 
• 勒索軟件攻擊者正在從C/ C++等語言轉(zhuǎn)向新型的Golang和Rust語言，以優(yōu)化加密速度和跨平臺兼容性； 
• 勒索軟件攻擊者開始使用更高級的多態(tài)混淆來阻礙分析和逃避靜態(tài)反病毒簽名； 
• 勒索軟件開發(fā)者已經(jīng)從基于RSA的加密轉(zhuǎn)向基于橢圓曲線的算法，包括Curve25519、NIST B-233和NIST P-521。

在過去的幾年里，制造業(yè)一直是勒索軟件攻擊的主要目標(biāo)，而且這種趨勢還在繼續(xù)。從2022年4月到2023年4月的數(shù)據(jù)顯示，制造業(yè)仍然是最具針對性的垂直行業(yè)，占勒索軟件攻擊總量的14.8%。這一發(fā)現(xiàn)凸顯了制造企業(yè)對威脅行為者的脆弱性和吸引力。緊隨制造業(yè)之后的是服務(wù)業(yè)，遭受了11.66%的勒索軟件攻擊。教育行業(yè)也面臨著相當(dāng)大的威脅，占攻擊的7.64%。一個(gè)名為“Vice society”的勒索軟件組織一直以教育部門為目標(biāo)。

基于數(shù)據(jù)泄露站點(diǎn)的各行業(yè)勒索軟件攻擊數(shù)據(jù)

值得注意的是，這些數(shù)據(jù)只是基于數(shù)據(jù)泄露站點(diǎn)的信息所得，有助于深入了解攻擊的流行程度，但可能無法涵蓋所有勒索軟件事件的全部范圍。因?yàn)樵S多攻擊沒有被報(bào)道，或者在沒有公開披露的情況下通過支付贖金私下解決。因此，這些數(shù)字應(yīng)該被視為勒索軟件目標(biāo)的更廣泛趨勢的指示，而非整個(gè)威脅格局的詳盡闡釋。

研究人員發(fā)現(xiàn)針對家庭和個(gè)人等C端用戶的“雙重勒索”攻擊在2023年激增了驚人的550%，此外，針對藝術(shù)、娛樂和休閑行業(yè)的攻擊也大幅增加了433.33%。值得注意的是，在2022版報(bào)告中，上述行業(yè)的攻擊基線相對較低，這使得它們的增長看起來非常明顯。

上述數(shù)據(jù)也再次強(qiáng)調(diào)了針對廣泛行業(yè)的勒索軟件攻擊的不斷發(fā)展本質(zhì)，所有的行業(yè)都可能遭遇勒索軟件事件的突然激增。攻擊呈指數(shù)增長反映了勒索軟件團(tuán)伙日益成熟以及對利潤的不懈追求。

各行業(yè)遭受勒索攻擊的年度對比

根據(jù)泄露網(wǎng)站上列出的受害者數(shù)量，LockBit、ALPHV/BlackCat和BlackBasta是目前最活躍的勒索軟件勒索組織。

圖片

勒索軟件家族發(fā)布受害者數(shù)據(jù)的時(shí)間軸

圖5：2022年4月－ 2023年4月，勒索軟件家族的攻擊數(shù)量

勒索威脅趨勢預(yù)測

1. 無加密勒索攻擊

傳統(tǒng)的勒索軟件會(huì)對受害者的文件進(jìn)行加密，并要求支付贖金才能釋放文件。然而，越來越多的網(wǎng)絡(luò)犯罪分子正在轉(zhuǎn)向無加密勒索攻擊，這種攻擊的重點(diǎn)是竊取和威脅暴露敏感數(shù)據(jù)，而非對其進(jìn)行加密。這種方法為網(wǎng)絡(luò)安全專業(yè)人員的防御工作增加了新的復(fù)雜性和挑戰(zhàn)。

2. AI驅(qū)動(dòng)的勒索軟件攻擊

預(yù)計(jì)勒索軟件組織將越來越多地利用人工智能功能，包括聊天機(jī)器人、人工智能開發(fā)的惡意軟件代碼、機(jī)器學(xué)習(xí)算法、自動(dòng)化流程等等，這將使他們能夠開發(fā)更復(fù)雜、更高效的技術(shù)，使傳統(tǒng)的網(wǎng)絡(luò)安全措施更難檢測和防止此類攻擊。更重要的是，人工智能還可能降低威脅行為者開發(fā)勒索軟件的準(zhǔn)入門檻。

3. 網(wǎng)絡(luò)保險(xiǎn)“助推”威脅加劇

網(wǎng)絡(luò)犯罪分子一直把更多的注意力放在有網(wǎng)絡(luò)保險(xiǎn)的組織上，這一威脅發(fā)展趨勢在未來可能會(huì)繼續(xù)增長。因?yàn)楣粽咧溃徺I過網(wǎng)絡(luò)保險(xiǎn)的受害者更有可能支付勒索贖金，因?yàn)樗麄兛梢砸揽勘ｋU(xiǎn)來支付費(fèi)用。這種目標(biāo)策略旨在最大限度地提高成功支付贖金的機(jī)會(huì)。

4. 針對公共服務(wù)設(shè)施的目標(biāo)增加

研究人員預(yù)測，針對市政服務(wù)部門、執(zhí)法部門、中小學(xué)校、醫(yī)療機(jī)構(gòu)的勒索軟件攻擊將進(jìn)一步加劇并持續(xù)增長。這些實(shí)體在保護(hù)關(guān)鍵數(shù)據(jù)和系統(tǒng)方面的安全水平通常很低，這使得它們成為網(wǎng)絡(luò)犯罪分子的關(guān)鍵目標(biāo)。此外，這些類型的攻擊通常會(huì)嚴(yán)重破壞社會(huì)公共服務(wù)，并暴露大量敏感信息緩存，包括PII、財(cái)務(wù)數(shù)據(jù)、私人記錄等等。

5. 新的RaaS玩家入局

RaaS（勒索軟件及服務(wù)）是一種商業(yè)模式，在這種模式下，網(wǎng)絡(luò)犯罪分子會(huì)委托附屬機(jī)構(gòu)入侵組織并部署他們的勒索軟件。絕大多數(shù)勒索軟件組織都在使用RaaS，而且多年來也證明它是有效的，因此這種趨勢將繼續(xù)下去，并不斷涌現(xiàn)新的玩家。

6. 初始訪問代理（IAB）熱度不減 

越來越多的威脅組織會(huì)破壞一個(gè)組織，然后向勒索軟件組織（或勒索軟件組織的附屬機(jī)構(gòu)）出售該組織的訪問權(quán)限。這使得具有滲透測試技能的威脅參與者可以從他們的工作中獲利，而無需進(jìn)行全面的勒索軟件和/或無加密勒索攻擊所需的專業(yè)知識。

7. 對云服務(wù)的攻擊

隨著云計(jì)算和存儲的日益普及，勒索軟件攻擊者可能會(huì)開發(fā)出針對云服務(wù)和工作流程進(jìn)行優(yōu)化的新型勒索軟件和活動(dòng)。破壞云環(huán)境可能導(dǎo)致大范圍的破壞、業(yè)務(wù)中斷和敏感數(shù)據(jù)被盜，同時(shí)影響多個(gè)用戶或組織。這種可能性突出了對強(qiáng)大的安全措施和基于云環(huán)境的主動(dòng)防御需求。

8. 針對非windows系統(tǒng)和平臺的攻擊

勒索軟件組織將繼續(xù)擴(kuò)大他們的武器庫，攻擊運(yùn)行在非windows平臺上的關(guān)鍵任務(wù)服務(wù)器。威脅行為者越來越多地構(gòu)建勒索軟件來加密Linux和ESXi服務(wù)器上的文件，這些服務(wù)器通常托管數(shù)據(jù)庫、文件服務(wù)器和web服務(wù)器。一些威脅組織也對開發(fā)針對macOS的勒索軟件表現(xiàn)出了興趣。

勒索軟件防護(hù)建議 

勒索攻擊數(shù)量的激增是一個(gè)明確的警告，組織必須保持主動(dòng)性、適應(yīng)性并加大網(wǎng)絡(luò)安全投入。通過優(yōu)先考慮強(qiáng)大的防御措施，培養(yǎng)安全意識的文化，并鼓勵(lì)協(xié)作，組織可以加強(qiáng)抵御勒索軟件威脅的能力，并盡量減少潛在影響。企業(yè)在防御勒索軟件攻擊時(shí)，關(guān)鍵是要采用分層防護(hù)的方法，在每個(gè)階段（從偵察和初始入侵到橫向移動(dòng)、數(shù)據(jù)盜竊和有效載荷執(zhí)行）破壞攻擊。企業(yè)組織可以遵循以下最佳實(shí)踐來提升防御勒索軟件攻擊的能力：

• 保持軟件更新。新的安全補(bǔ)丁一旦發(fā)布，應(yīng)盡快應(yīng)用；
• 使用零信任架構(gòu)來保護(hù)內(nèi)部應(yīng)用程序，實(shí)現(xiàn)用戶與應(yīng)用程序之間的細(xì)粒度分段，同時(shí)使用動(dòng)態(tài)最小權(quán)限訪問控制代理訪問，以消除橫向移動(dòng)；
• 實(shí)現(xiàn)最低權(quán)限訪問策略，以限制用戶僅訪問完成其工作所需的資源。這有助于防止攻擊者訪問敏感數(shù)據(jù)或系統(tǒng)，即使他們危及用戶賬戶；
• 啟用多因素身份驗(yàn)證（MFA），為用戶賬戶添加額外的安全層，這有助于防止攻擊者在獲得受損憑據(jù)后訪問用戶賬戶；
• 實(shí)施一致的安全策略，確保組織內(nèi)、外部所有用戶遵循相同的安全流程；
• 定期進(jìn)行安全意識培訓(xùn)，幫助員工識別和避免勒索軟件攻擊；
• 制定應(yīng)對計(jì)劃，以便在發(fā)生勒索軟件攻擊時(shí)迅速有效地采取行動(dòng)。這應(yīng)該包括數(shù)據(jù)恢復(fù)、事件響應(yīng)以及與客戶和員工溝通等步驟； 
• 提升檢查加密流量的能利。超過95%的攻擊使用加密通道，因此組織必須檢查所有流量，無論是否加密，以防止攻擊者破壞其系統(tǒng)；  
• l 使用先進(jìn)的沙箱自動(dòng)檢測未知的威脅載荷?；诤灻臋z測不足以防范最新的勒索軟件變種。先進(jìn)的內(nèi)聯(lián)沙箱可以檢測未知的有效負(fù)載，并在它們到達(dá)用戶之前阻止它們執(zhí)行； 
• 使用內(nèi)聯(lián)數(shù)據(jù)丟失防護(hù)（DLP）來防止敏感數(shù)據(jù)的泄露、丟失或暴露；
• l 使用欺騙技術(shù)引誘攻擊者進(jìn)入陷阱，欺騙工具創(chuàng)造了看起來像有價(jià)值的目標(biāo)的資產(chǎn)和數(shù)據(jù)，這可以幫助浪費(fèi)攻擊者的時(shí)間和資源，并阻止他們發(fā)現(xiàn)和利用真正的漏洞； 
• 使用云訪問安全代理（CASB）來控制和監(jiān)視云應(yīng)用程序的使用情況。CASB可以幫助防止用戶從云應(yīng)用程序下載惡意文件，還可以幫助防止數(shù)據(jù)泄露到云；
• 關(guān)注最新的勒索軟件威脅和發(fā)展，包括已發(fā)布的入侵指標(biāo)（IOCs）和MITRE ATT&CK映射。這些信息可用于培訓(xùn)組織團(tuán)隊(duì)，改進(jìn)安全態(tài)勢，并幫助防止勒索軟件攻擊；
• 做好數(shù)據(jù)備份，要定期、安全地備份所有數(shù)據(jù)，同時(shí)還必須包括離線備份。

報(bào)告下載鏈接：https://www.zscaler.com/resources/industry-reports/2023-threatlabz-ransomware-report.pdf?_gl=1*yqis7l*_ga*MTQxNDM5ODYyNi4xNjUyNzY3MzQz*_ga_10SPJ4YJL9*MTY5ODg4NDY3OC4yLjEuMTY5ODg4NTAyOC4xOS4wLjA.