2024 年即将结束,勒索软件仍然是任何组织面临的主要威胁,而且这种威胁还在不断演变。网络犯罪分子比以往任何时候都更加老练和富有创造力。他们整合新技术,利用地缘政治紧张局势,甚至利用法律法规为自己谋利。
这种曾经看似破坏性但相对简单的犯罪已经演变成一个多层次的全球性挑战,并继续威胁着企业和政府。
让我们来看看当今勒索软件的现状。我们将重点关注网络犯罪分子如何改变策略、依赖人工智能技术、利用法律框架等。
人工智能增强网络钓鱼和社会工程学
勒索软件领域最重要的发展之一是使用人工智能 (AI) 来增强网络钓鱼和社会工程攻击。从历史上看,网络钓鱼电子邮件通常包含明显的欺诈迹象——拼写错误、语法错误和通用消息。然而,新的生成 AI工具可以制作高度个性化和专业的电子邮件,这彻底改变了游戏规则。这可能解释了为什么网络钓鱼攻击量和成功率一直在上升,因为网络钓鱼活动比以往任何时候都更容易生成且更具说服力。
人工智能使威胁行为者能够挖掘大量数据,以制作针对特定个人或组织的令人信服的电子邮件。这些电子邮件可能包含使其看起来合法的上下文信息,大大增加了成功的可能性。能够进行如此精确的攻击是勒索软件对医疗保健等行业造成特别严重破坏的原因,因为任何破坏都可能危及生命。
此外,人工智能生成的深度伪造技术已开始在社会工程中发挥作用。网络犯罪分子现在可以制作公司高管的音频和视频深度伪造,以诱骗员工转移资金或泄露敏感信息。这使得检测欺诈变得更加困难,组织发现越来越难以防范此类攻击。
将披露规则武器化
勒索软件团伙不仅依靠技术手段向受害者施压,迫使他们支付赎金,他们还操纵法律法规来为自己谋利。2024 年最引人注目的发展之一是披露规则的武器化,特别是美国证券交易委员会 (SEC) 发布的规则。
最近一起备受关注的案件涉及勒索软件组织BlackCat/ALPHV向美国证券交易委员会正式投诉一家数字借贷服务提供商。据称,在窃取该公司的文件后,该组织向美国证券交易委员会报告称,该提供商未能遵守要求组织在四个工作日内披露任何网络安全事件的规定。这种额外的“法律”策略旨在迫使受害者支付赎金,以避免受到经济处罚或声誉损害。
这起令人不安的事件表明,勒索软件组织会利用一切手段,甚至是政府法规作为筹码。欧盟网络安全局 (ENISA) 的网络安全专家Ifigeneia Lella表示:“威胁行为者正在利用法规对受害者施加更多压力。这是一个相当有趣的趋势。”这令人不寒而栗,法律框架虽然旨在保护公众和促进透明度,但也可能被坏人操纵,以进一步实现他们自己的恶意议程。
偷地攻击行为不为人知
根据ENISA 2024 年威胁形势报告,过去一年,网络犯罪分子越来越多地使用“离地攻击”(LOTL)技术。LOTL 攻击涉及使用受害者系统中已经存在的工具和软件,这使得安全团队更难检测到恶意活动。攻击者不再依赖可被防病毒软件标记的外部恶意软件,而是利用 PowerShell 或 Windows 管理规范 (WMI) 等合法的管理工具来执行攻击。
例如,多重勒索软件组织PLAY经常使用现成的工具(如 Cobalt Strike、Empire 和 Mimikatz)在目标网络中进行发现和横向移动。通过避免引入新的可疑软件,攻击者可以更长时间地逃避检测,通常直到受害者无法有效应对时才发现。这种向 LOTL 技术的转变对网络安全专业人员来说是一个持续的挑战,因为传统的防病毒解决方案对这些微妙的攻击越来越无效。
勒索软件、地缘政治紧张局势和黑客行动主义
除了技术进步之外,勒索软件越来越多地被用作地缘政治影响和黑客行动主义的武器。网络犯罪分子不再仅仅为了经济利益;有些人利用恶意软件来推进政治议程、破坏政府稳定或在某些地区制造混乱。
ENISA 报告强调了地缘政治紧张局势如何与勒索软件攻击交织在一起。例如,在俄罗斯与乌克兰冲突期间,勒索软件团体针对乌克兰和其他与乌克兰结盟的国家的关键基础设施发动攻击。这些攻击不一定出于经济动机,而是出于政治动机。其目的是扰乱国家运作或削弱能源、医疗保健和交通等关键部门。
黑客组织也与勒索软件团伙联手,以推动自己的意识形态目标。例如,针对公共行政和交通部门的攻击有所增加,通常与特定的政治事件或全球运动有关。随着网络犯罪变得更加政治化,组织和政府必须认识到勒索软件不再只是一种金融威胁,而且还是全球舞台上的一种破坏工具。鉴于全球地缘政治紧张局势加剧,这类攻击越来越常见。
攻击率和最受攻击的行业
尽管全球都在努力遏制勒索软件,但勒索软件攻击的数量仍在不断增加。根据勒索软件追踪器的数据,2024 年 5 月勒索网站上发布的受害者数量从 4 月份的 328 人激增至 450 人,成为过去几年最活跃的月份之一。
医疗保健、公共管理、交通运输和金融等行业是黑客攻击最严重的行业之一。这些行业尤其容易受到攻击,因为它们依赖数字基础设施,而且运营中断会带来严重后果。例如,美国卫生与公众服务部报告称,过去五年来,医疗保健领域与黑客相关的入侵事件增加了 256% ,凸显了该行业的高度脆弱性。
勒索软件成本不断上升
2024 年,勒索软件的财务影响将继续增长,其成本将超出赎金支付范围。根据一份行业报告,州和地方政府勒索软件受害者的平均恢复成本为 273 万美元,是 2023 年报告金额的两倍多。这些成本不仅包括赎金支付,还包括与停机、数据丢失、运营中断和声誉损害相关的费用。
赎金要求本身也在飙升。报告指出,目前州和地方政府的平均赎金要求为 330 万美元,有些要求超过 500 万美元。在全球范围内,医疗保健、能源和教育等行业也出现了类似的趋势。更糟糕的是,高额赎金要求和巨额恢复成本可能会使较小的组织陷入瘫痪甚至倒闭。
前景严峻,但仍有希望
2024 年的勒索软件形势将日益复杂。随着人工智能驱动的网络钓鱼活动、离地攻击技术、法律框架的利用以及地缘政治紧张局势的融合,风险从未如此之高。然而,人工智能网络安全 工具的进步以及对这些不断发展的策略的认识不断提高,为改进防御提供了途径。
随着网络犯罪分子不断适应和创新,网络安全专业人员和组织也必须如此。漏洞管理、采用强大的备份策略和投资事件响应能力等主动措施对于打击这种无处不在的威胁至关重要。勒索软件可能会继续发展,但用于打击勒索软件的工具和策略也会继续发展。
