Unit 42勒索軟體威脅報告顯示,勒索軟體贖金激增,雙重勒索和對醫療機構的攻擊都在增加

勒索軟體是網路安全領域最大的威脅之一。根據身份盜竊資源中心的資料,2020年有878起網路攻擊事件,其中18%的攻擊事件來自勒索軟體。 這種威脅是Palo Alto Networks(派拓網路)關注的重點領域之一。

為了評估勒索軟體威脅的現狀,Palo Alto Networks(派拓網路)威脅情報團隊Unit 42和事件響應團隊The Crypsis Group合作分析了2020年的勒索軟體威脅狀況(研究基於Unit 42的全球資料以及Crypsis的美國、加拿大和歐洲資料)。

這份報告詳細介紹了最主要的勒索軟體變種(附有每個變種的威脅評估連結)、勒索軟體平均支付額、勒索軟體預測以及可立即降低勒索軟體風險的可行性步驟。

網路犯罪分子賺取和索取的金錢比以往任何時候都多

企業平均支付的贖金從2019年的115,123美元增加到2020年的312,493美元,同比增長171%。此外,企業支付的最高贖金從2019年到2020年翻了一番,從500萬美元增加到1000萬美元。與此同時,網路犯罪分子也越來越貪婪。從2015年到2019年,勒索軟體的最高贖金是1500萬美元。2020年,勒索軟體的最高贖金增長到3000萬美元。

值得注意的是,2020年Maze勒索軟體的平均贖金為480萬美元,與2020年所有勒索軟體的平均贖金847,344美元相比,有了顯著增長。網路犯罪分子知道他們可以通過勒索軟體賺錢,並且在索要贖金方面變得越發大膽。

醫療機構成為新目標

世界因新冠疫情而改變,勒索軟體運營商則利用疫情對企業進行掠奪,特別是醫療行業,成為2020年勒索軟體最關注的行業。勒索軟體運營商在攻擊中厚顏無恥地試圖賺取儘可能多的錢,因為他們知道醫療機構需要繼續運營以治療新冠患者並幫助拯救生命,無法承擔系統被鎖定的後果,更有可能支付贖金。

Ryuk勒索軟體在眾多勒索軟體中脫穎而出。2020年10月,美國網路安全與基礎設施安全域性(CISA)、聯邦調查局(FBI)、衛生與人類服務部(HHS)聯合釋出網路安全預警,警告醫療機構防範Ryuk勒索軟體攻擊。

雙重勒索的興起

常見的勒索軟體攻擊包括勒索軟體運營商對資料進行加密,並強迫受害者支付贖金以解鎖資料。在雙重勒索中,勒索軟體運營商會加密並竊取資料,進一步脅迫受害者支付贖金。如果不支付,勒索軟體運營商就會將資料公佈到洩漏網站或暗網,大部分資料洩漏網站都託管在暗網,而這些託管站點由勒索軟體運營商建立和管理。現在至少有16種不同的勒索軟體變種威脅要洩漏資料或利用洩漏網站,更多的勒索軟體變種可能會延續這種趨勢。

利用這種手段最多的勒索軟體是NetWalker。從2020年1月到2021年1月,NetWalker洩漏了全球113家受害企業的資料(見下圖),遠遠超過了其他勒索軟體。RagnarLocker排名第二,洩漏了全球26家受害企業的資料。值得一提的是,美國司法部在2021年1月宣佈協調國際執法行動,瓦解NetWalker勒索軟體團伙。由NetWalker運營商管理的託管洩漏資料的暗網域名已經無法訪問。

圖:2020年1月至2021年1月,按勒索軟體劃分且資料公佈在洩漏網站的全球受害企業數量

建議

防範勒索軟體攻擊與防範其他惡意軟體類似。然而,它對企業的風險要高得多。

初始訪問

所有勒索軟體變種的初始訪問相對一致。企業應保持使用者對電子郵件安全的認識和培訓,並考慮如何在惡意電子郵件進入員工郵箱後立即識別和補救。企業還應該確保進行適當的補丁管理,並審查哪些服務可能暴露在網際網路上。遠端桌面服務應正確配置並確保安全,儘可能使用最低許可權原則,並制定策略以檢測與暴力攻擊相關的模式。

備份和恢復流程

企業應繼續備份資料,並提前規劃好適當的恢復流程。勒索軟體運營商將針對現場備份進行加密,因此企業應確保所有備份都在離線狀態下安全儲存。必須與關鍵利益相關者一起實施並演練恢復流程,以便在發生勒索軟體攻擊時儘量縮短企業的停機時間並降低成本。

安全控制

防範勒索軟體的最有效形式是端點安全、URL過濾或Web保護、高階威脅防禦(未知威脅/沙盒)以及部署到所有企業環境和裝置的反釣魚解決方案。雖然這些不能完全保證預防,但它們將極大地降低常見變種的感染風險,並提供應急措施,讓一種技術在另一種技術可能無效時提供一系列強制措施。

關於Palo Alto Networks(派拓網路)

作為全球網路安全領導企業,Palo Alto Networks(派拓網路)正藉助其先進技術重塑著以云為中心的未來社會,改變著人類和組織運作的方式。我們的使命是成為首選網路安全夥伴,保護人們的數字生活方式。藉助我們在人工智慧、分析、自動化與編排方面的持續性創新和突破,助力廣大客戶應對全球最為嚴重的安全挑戰。通過交付整合化平臺和推動合作伙伴生態系統的不斷成長,我們始終站在安全前沿,在雲、網路以及移動裝置方面為數以萬計的組織保駕護航。我們的願景是構建一個日益安全的世界。

關於 Unit 42

Unit 42 是 Palo Alto Networks 旗下的全球威脅情報團隊,是網路威脅防禦領域公認的權威,全球多家企業及政府機構經常向他們尋求幫助。我們的分析師是尋找和收集未知威脅以及使用程式碼分析進行完全逆向工程解析惡意軟體的專家。憑藉這些專業知識,我們提供優質、深入的研究,以深入瞭解威脅執行者用來入侵組織的各種工具、技術和程式。我們的目標是儘可能提供背景資訊,解釋攻擊的具體細節、攻擊的執行者及其原因,以便世界各地的安全人員可以洞悉威脅,從而更好地防禦攻擊。