勒索軟體攻擊加倍 公司該如何準備?

在過去的一年裡，勒索軟體攻擊的複雜性和能力都有所增加。從新的逃避和反分析技術，到用新語言編碼的更隱蔽的變種，勒索軟體組織已經調整了他們的策略，有效繞過了常見的防禦策略。

越來越多的漏洞武器化來傳播勒索軟體

近幾個月來，越來越多的漏洞被用作傳播勒索軟體和其他惡意軟體的載體，尤其是在網路裝置上。這標誌著從以前觀察到的專注於武器化管理檔案傳輸(MFT)軟體和應用程式的轉變。

在MOVEit漏洞和供應鏈攻擊Barracuda Networks的案例中，可以看到高影響漏洞導致行業巨頭受損。第三季度和前幾個月的所有跡象都表明，勒索軟體運營商將繼續將漏洞武器化，並利用0day漏洞提供勒索軟體有效載荷來破壞其目標。

雖然根據定義，在被利用之前0day是未知的，但組織可以採取措施確保將其可利用的0day漏洞的脆弱性降至最低。組織還需要確保他們使用的軟體和產品是最新的，並實施網路安全意識和策略，確保優先識別和保護潛在的可利用漏洞。

勒索軟體領域其他幾個值得關注的趨勢：

1. 行業焦點轉移 – 醫療保健行業成為焦點

雖然今年上半年針對製造業的勒索軟體攻擊有所增加，但最近的趨勢表明，攻擊的重點轉向了醫療保健行業。這使得醫療保健成為勒索軟體攻擊的前五大目標行業，佔所有勒索軟體攻擊的近四分之一。這些攻擊有一個特定的動機——收集受保護的健康資訊(PHI)和醫療保健提供商和機構可以訪問的其他敏感資料，並在暗網上出售這些資料。

根據勒索軟體報告，醫療保健行業特別容易受到勒索軟體的攻擊，因為它的攻擊面非常大，跨越了多個網站、入口網站、數十億物聯網醫療裝置以及龐大的供應鏈合作伙伴和供應商網路。因此，醫療保健行業制定標準化的網路哦安全計劃，確保關鍵資料安全和平穩執行至關重要。

2. 高收入組織仍然是主要關注點

勒索軟體運營商在目標方面通常看起來無區別攻擊。但他們更喜歡針對處理敏感資料的高收入組織。這不僅有助於提升勒索軟體運營商作為嚴重威脅的形象，還可以確保為勒索軟體付款的可能性更高。

造成這種情況的原因有兩個：高收入組織有辦法支付所要求的高昂贖金，而且他們更注重聲譽形象。

除醫療保健行業外，上一季度最受攻擊的行業是專業服務、IT & ITES和建築行業，因為這些行業的淨值高，攻擊面也在擴大。

3. 美國仍然是最受攻擊的國家

雖然勒索軟體受害者和策略的幾個趨勢在季度基礎上發生了變化，但美國是勒索軟體運營商 具針對性的地區這一既定模式是不變的。事實證明，僅在2023年第三季度，美國面臨的勒索軟體攻擊就比排在其後的10個國家的總和還要多。

就第三季度勒索軟體攻擊的數量而言，緊隨其後的是英國，其次是義大利和德國。

4. LOCKBIT 仍然是一個強大的威脅——而較新的勒索軟體組織正在迅速為自己創造名聲

雖然LOCKBIT的總攻擊數量略低於上一季度(下降5%)，但它們針對的受害者數量仍然最多，在2023年第三季度確認了240名受害者。

然而，勒索軟體領域的新玩家也在行動。2023年第三季度，來自Cactus、INC Ransom、Metaencryptor、ThreeAM、Knight Ransomware、Cyclop Group和MedusaLocker等新組織的攻擊激增，這表明這些組織雖然沒有像LOCKBIT這樣的主要組織那麼高的知名度和全球影響力，但仍然是強大的威脅。

5. 在較新的勒索軟體變體中越來越多地採用 Rust 和 GoLang

勒索軟體組織一直試圖使他們的活動更難甚至無法被檢測或分析。這使得受害者、網路安全專家和政府很難分析和研究勒索軟體、其感染媒介和操作模式，然後採取相應的糾正措施。

然而最近觀察到的模式表明，Rust和GoLang在Hive、Agenda、Luna和RansomExx等知名勒索軟體組織中越來越受歡迎。這樣做的原因有兩個：像Rust這樣的程式語言使得在受害者系統上分析勒索軟體活動變得更加困難。此外，這樣做還更容易定製針對多個作業系統，從而增加勒索軟體的殺傷力和目標。

組織對這些發展有何反應?

公司可以透過實施措施來預防風險並減輕勒索軟體攻擊的影響，從而將掌控安全問題。一些值得注意的步驟有：

1. 重視員工培訓

一個組織的員工通常是抵禦任何攻擊的第一道防線，勒索軟體也不例外。企業可以相應地加強了網路安全培訓和意識專案，推出了強制性的網路安全培訓課程，培養了一種網路意識文化。例如如何識別網路釣魚嘗試、處理可疑附件和識別社會工程嘗試的培訓。

2. 事件響應計劃

儘管努力防止勒索軟體攻擊，但由於各種因素，勒索軟體攻擊仍然可能發生。考慮到這一點，組織應該更加註重製定對此類事件的全面應對措施。包括通知網路安全相關部門，內部安全後續處理步驟，資訊保安團隊響應及隔離受影響的產品或系統。

3. 增強恢復和備份

勒索軟體攻擊有兩個主要目的：獲得對敏感資料的訪問許可權，並對這些資料進行加密，使其無法被目標組織使用。為了應對這種風險，企業已經開始更加關注敏感資料的備份，併為敏感資料建立全面的恢復流程。

4. 與執法部門的情報共享和協作

同一行業的組織已經建立了資訊共享和分析中心(ISACs)，幫助彙集資源和情報，打擊未來的勒索軟體企圖。還與執法部門和監管機構密切合作，報告勒索軟體企圖，並幫助診斷安全缺陷。

5. 威脅情報平臺的採用/使用增加

由於威脅情報平臺在這一領域的特殊能力，以及他們先進的人工智慧和機器學習能力，組織越來越多地使用威脅情報平臺來獲取其專業知識、異常檢測和行為分析，以獲得實時威脅情報，緩解勒索軟體攻擊。

6. 關注漏洞管理

在過去幾年的重大事件中，漏洞已經成為人們關注的焦點，比如最近的MoveIT和PaperCut漏洞，這些漏洞可以利用和網路攻擊。組織已經相應地實施了漏洞管理和協議，以確保所有關鍵軟體都是最新的，並定期打補丁。此外，關注軟體開發期間的漏洞已成為必不可少的一步，在開發期間透過程式碼安全檢測工具發現程式碼缺陷及上線前動態測試，能有效降低軟體漏洞存在風險，對軟體更快速地進行修復。

7. 確保供應鏈和供應商風險管理

如果勒索軟體運營商無法入侵一個組織，他們通常會透過供應商、合作伙伴和第三方來攻擊其供應鏈，而這些供應商、合作伙伴和第三方可能給勒索軟體可乘之機。組織應該相應地推出供應商風險評估，以確保他們的整個供應鏈是安全的，並進行統一保護防止潛在的勒索軟體攻擊。

參讀連結：