疫情下的勒索攻擊:政企、教育和醫療行業成為

 行業動態     |      2020-11-04 08:50
2020年4月,Maze勒索軟件的運營商聲稱在2020年3月對網絡保險巨頭Chubb進行了入侵和系統加密;
2020年5月,新的Unicorn勒索軟件通過偽造的COVID-19感染圖襲擊了意大利企業;
2020年5月,Snake勒索軟件的運營商發起了一場全球網絡攻擊運動,已經感染了許多企業和醫療保健組織;
……
勒索攻擊這事并不新鮮,每年都會發生。即便在全球新冠疫情影響期間,網絡世界里的攻擊團伙也絲毫不受限制,反而愈演愈烈,勒索行業一直在“茁壯成長”。相比其它的惡意攻擊,勒索攻擊帶來的破壞力更大,給很多行業造成嚴重的影響,如企業系統癱瘓,業務無法正常運行;醫院信息系統暫停,患者無法及時就診等等。
近日,深信服千里目安全實驗室從勒索軟件的整體攻擊趨勢、勒索模式、行業分布情況等方面進行分析,發布《2020上半年勒索軟件洞察報告》(以下簡稱“報告”)。《報告》顯示,2020上半年針對政府、企業、教育和醫療衛生行業的攻擊持續增多,并出現勒索贖金高漲、商業運作規模化、專職化的特點。
針對政企、教育和醫療衛生行業的勒索事件占比超80%

《報告》數據顯示,上半年針對企業、政府行業的勒索攻擊最多,占比分別是39.5%和24.0%,其次是教育和醫療衛生行業,占比分別是13.5%和6.4%。

圖片來源:深信服2020上半年勒索軟件洞察報告

新冠疫情的爆發迫使一些企業、學校開放遠程訪問,但配置不當的遠程服務容易引來勒索軟件的攻擊。而醫療衛生行業因為醫療數據“價值高”以及系統“防護差”近年來也成為勒索軟件攻擊的重點目標。盡管醫療衛生機構承擔著疫情期間至關重要的醫護任務,但在攻擊團伙看來也只是一個個斂財的對象。

勒索攻擊技術升級,贖金水漲船高

《報告》指出,與2019年相比,2020年第二季度的贖金要求同比增加了4倍。這對本來就艱難的受害者而言無疑是“雪上加霜”。

圖片來源:深信服2020上半年勒索軟件洞察報告

導致勒索贖金持續高漲的主要原因有:

第一,針對高價值企業的勒索攻擊技術升級,迫使受害者就范。

攻擊團伙意識到,以往廣撒網式的戰術并不能為其帶來更多的投資回報,于是他們把目標瞄準高價值的企業,如大型的政企機構。通過升級勒索軟件,采用復雜性和針對性都較強的交付技術和機制,迫使受害者就范。盡管攻擊次數減少,贖金卻大大增加,從而拉高了平均勒索贖金水平。

第二,不交贖金即公開數據模式的發展,提升高贖金繳納率。

為避免勒索失敗,勒索軟件在進行攻擊時會先竊取受害者的私密數據,一旦受害者不交贖金,攻擊團伙會公開或拍賣受害者的私密數據。一方面通過給受害者施加數據外泄壓力,如敏感數據被公開導致業務經濟損失、商譽損害、法律訴訟等風險,從而迫使受害者不得不支付贖金;另一方面即使獲取不到贖金,通過販賣數據也能獲得不錯的收益。這種新型的勒索攻擊方式從2019年底開始興起,更有利于攻擊團伙勒索目標的達成,很可能是未來的流行趨勢。

攻擊團伙通過投入精力鉆研技術以提升勒索攻擊手段,迫使受害者在面對勒索攻擊時無法拒絕繳納贖金,從而達到勒索目的。近年來的勒索贖金也因此一度高漲。

勒索產業鏈運作規模化、專職化

為了更高效地實現勒索目的,攻擊團伙除了不斷革新攻擊技術,其商業運作也逐漸規模化,并發展出新的勒索軟件合作生態。

圖片來源:深信服2020上半年勒索軟件洞察報告

新的勒索軟件合作生態中,各角色獨立地在高度專業化的集群中運行,專注于自己所負責的模塊,以達到高效產出的目的。

以攻擊團伙為例。過去,攻擊團伙和勒索軟件制作團隊往往是同一個,現在的攻擊團伙很多時候是獨立于勒索軟件開發者和運營商,專職作為攻擊方角色對受害目標實施攻擊,這樣的攻擊團伙有更多的時間和精力來布局運作,從而實現更精準、有效的攻擊目標。另外,攻擊團伙專注借助僵尸網絡部署勒索軟件,依靠僵尸網絡龐大的感染基數迅速擴張,給受害者造成的損失面更廣。

這種新的勒索軟件合作生態使得勒索威脅的危害上升到一個新高度。
防范建議
面對嚴峻的勒索攻擊威脅,企事業單位以及政府機構、教育機構應提高網絡安全意識,注意以下幾點,勒索攻擊防患于未然:
1、下載應用程序一定要在可靠的軟件平臺上下載。
2、不可信的郵件,尤其是附件、鏈接,謹慎點擊。
3、使用安全可靠的移動存儲設備(U盤、移動硬盤等),并安裝安全防護軟件,同時開啟防火墻,及時更新系統和軟件版本,安裝補丁。
4、養成重要數據定期備份的習慣,即使遭受勒索軟件封鎖數據,在使用殺毒軟件查殺病毒后,可通過恢復備份數據來降低損失。
此外,深信服安全團隊建議企業客戶加強終端管理,部署深信服終端檢測響應平臺EDR,在勒索軟件入侵信息系統發生影響的初期甚至之前,能夠及時精準預警,實時構建彈性防御體系,避免、轉移、降低信息系統面臨的風險。