安全419盘点 | 2022年Q1活跃的三大勒索软件组织及应对建议
在2022年第一季度,勒索攻击持续对全球各产业造成致命威胁,新闻事件屡上报端。对此安全419针对勒索攻击越演越烈的表现形势,推出《勒索攻击解决方案》系列访谈,搜罗安全企业优势解决方案,希望能对企业相关安全建设提供帮助。而本篇,将以勒索组织视角,对过去一季度勒索攻击做出阶段性的回顾总结。
2022年一季度最活跃的三大勒索组织
1、LockBit
根据一份某安全组织发布的2022年第一季度勒索报告显示,LockBit 在这一季度在全球范围大肆作案,其中仅泄露数据就涉及200多家组织。通常而言,泄露数据只是多重勒索的一部分,显见,他们的攻击成功次数要远大于这一数量。
LockBit对外宣称是非政治性组织,只对钱感兴趣,攻击范围为全球性质。该组织去年曾入侵过全球IT咨询巨头埃森哲并盗取了6TB数据,要求支付5000万美元赎金。该起事件与Lapsus$能够入侵微软类似,具有深远影响意义,因为他们都有自身的安全基线建设。
今年一季度LockBit虽然活跃程度较高,但能登上新闻头条的倒是不多,全球最大的轮胎生产商普利司通美洲公司因LockBit攻击致使生产中断可以算是其中之一。
前不久,美股上市企业Atento发布2021年财报,为回应投资人关切,对其去年10月遭受的勒索攻击做作了详细说明。内容显示,因LockBit攻击导致其巴西CRM业务中断,直接导致4210万美元巨额损失。其中因业务中断评估损失为3480万美元,网络安全相关强化、缓解支出为730万美元。
今年2月,美国联邦调查局针对LockBit勒索软件攻击发布相关指南,其中包含诸多技术细节和危害指标。然而近日据美媒报道,一家受到LockBit勒索软件攻击的美国地区政府机构被该勒索软件团伙潜藏在其网络中至少5个月。
这也说明了,攻击预警是一回事,如何做到有效防范恐怕不是那么简单。
安全人员最新的研究显示,LockBit勒索软件加密效率惊人,四分钟内就可加密完成10万个Windows文件,这也意味着一旦病毒程序在组织一侧被执行,留给涉事企业喘息的时间并不多。
值得留意的是,近日我国江西某企业报警称公司电脑受到病毒攻击,经调查,正是LockBit勒索病毒所为。这也正如安全专家之前指出的那样,勒索攻击正呈RaaS(勒索软件即服务)化趋势。
2、Conti
相比LockBit ,另一个知名勒索组织Conti在过去的一个季度里要相对低调一些,他们没有更多的公开泄露数据,但这不代表着他们在这一季度的活跃程度有所降低。
在今年的一季度的Conti被害者名单上,相较知名的就有年入近50亿美元的服务公司RRD,我国台湾电子产品制造公司台达电子,印度尼西亚中央银行印度尼西亚银行(BI)。
我国台湾省当地媒体就台达电子被勒索报道指出,台达电子1500多台服务器和12000多台计算机已被攻击者加密。据称,攻击者向台达电子索要1500万美元的赎金。
有报道指出,近期由于原本使用的TrickBot恶意软件程序经常被防病毒产品所检测,Conti正在为高价值目标研发新的恶意软件。这标志着作恶者与防御者之间的攻防仍将持续。
一季度一份来自Conti内部人员的群聊信息被披露,Conti曾公司化运作,且有大量预算购买安全检测类产品,用以勒索病毒程序的日常强化。
在第一季度关于Conti的另外一个消息是由于政治站队问题,由于勒索组织内部信息被泄露,安全研究人员认为这可能会加速该组织的提前散伙。但也应该认识到威胁仍将存在,一个是会改头换面成立全新的组织,另一种情况是分散加入到更多的勒索组织当中。
具有嘲讽意味的是,由于内部信息被泄露,也有黑客组织利用Conti泄露的勒索软件源代码创建了自己的勒索软件,转而攻击Conti在政治站队支持一方的组织实体。
3、Lapsus$
Lapsus$勒索组织在今年一季度宣布对一系列勒索攻击事件负责,作为勒索组织的“后起之秀”,Lapsus$在一季度带来的勒索事件个个都能登上安全头条。
该组织曾在2021年年底攻击了巴西卫生部,并窃取删除了大量数据从而进行勒索。因为攻击对象为政府医疗机构,批评认为其完全没有道德心,但勒索组织攻击医疗机构确实是存在的趋势。
在2022年2月份,该组织又将目光瞄向了葡萄牙,多家媒体集团以及沃达丰葡萄牙公司成为勒索对象。3月份,Lapsus$在社交媒体的公开投票,公开威胁将泄露沃达丰被盗数据。
随后就是一大串受害者名单,微软、三星、英伟达、LG、Okta、Cloudflare、育碧等等。英伟达事件中泄露出的源代码后经分析是真实的,“大力水手”已流传民间。
随着Lapsus$无所畏惧地对大型科技公司进行一系列攻击,甚至在社交媒体上公开收购大型企业员工凭证,许多其他企业担心它们可能成为下一个目标。这也可能与Lapsus$行事风格有关,他们更喜欢曝光受害企业的数据。
尽管多家机构认为该勒索组织的攻击手法并不新奇,甚至是被形容为业余。
上个月,涉入黑客组织Lapsus$的7名青少年遭到英国警方逮捕,这与之前人们对其攻击手法上的判断确有重合之处,另媒体报道称一周之后7人已被释放,但针对他们的调查仍在继续。
现在,Lapsus$仍在持续活跃,在发布“我们正式从假期回来了”的消息之后,该组织随即将入侵软件服务公司Globant获取的近70G源代码数据公布了出来。
REvil勒索攻击被终结
也有好的消息,2022年1月份,俄罗斯联邦安全局(FSB)宣布,已经逮捕了14名与网络犯罪团伙REvil相关人员,并没收了超过4.26亿卢布财产。
去年5月,REvil就曾向美国最大的肉类供应商发动了攻击,由于涉及多家工厂停工,企业无力承受,最终成功从该公司获得了1100万美元的赎金。(事后报道部分资金被追回)
随后,REvil又再次对管理服务提供商(MSP)Kaseya公司发起攻击,导致全球上千家公司电脑被锁定,上百万个系统被入侵,并索要价值7000万美元的比特币赎金。
据了解,7000万美元赎金也是迄今为止勒索攻击开出的最高赎金诉求。
REvil针对全球的攻击绝非以上两起,另一起知名事件是他们还入侵勒索了美核武承包商Sol Oriens,一度扬言要泄露重要核武研发数据。
作为具最危害的勒索组织代表,REvil曾成功攻击过全球近千家企业,但逮捕行动终结了该组织的全球勒索行径,一季度再无REvil勒索实例爆出。
针对勒索攻击的防范及应对建议
看完勒索组织视角的威胁,您是否感受到了空前的紧迫感,为应对勒索攻击,我们汇总了以下建议:(注.以下来源于安全419持续呈现的《勒索攻击解决方案》系列访谈中我们与多家知名网络安全企业(绿盟科技、天融信、安恒信息、奇安信、深信服)交流总结所得)
1、企业不断的成长和新技术的广泛应用,进一步加剧了安全风险和暴露面,鉴于安全重要性正在日益提升,设立专职岗位(如CSO)负责统筹全面的IT安全风险管理,是应对以勒索攻击为首的网络安全建设的重要前提;
2、真实勒索案例中,绝大多数勒索攻击源于员工的意识疏忽所造成。企业一方面需系统的开展安全意识培训工作,同时应针对具体的安全事件进行日常演练,以在攻击发生时最大化降低企业损失;
3、同时安全意识应延伸至企业外部,比如企业将IT运维承包给第三方机构,还有涉及庞大供应链当中的任何一环。可以以安全合约为抓手,建立安全责任制,强化外部的安全风险管理;
4、安全基线必不可少,利用专业安全厂商提供的防御、检测类产品为勒索病毒设置重重障碍,可降低80%以上被勒索攻击的可能性。其中终端安全更是重中之重,大量案例证明,特别是国内,终端缺乏安全防护是造成勒索加密的主要原因;安全基线产品或服务以威胁情报建立防御机制,也是应对勒索组织不断变化趋势的有力抓手;
5、勒索攻击最终指向的是系统、应用和数据,对于处于数字经济时代的我们,如何让数据在各业务线上安全流通已成当务之急。《数据安全法》催生了数据安全产业的迅猛发展,以数据保护为抓手,应对勒索攻击已是可行方案;
6、产品服务化趋势,企业限于没有专业的运维人员来管理网络安全,会存在即使部署了安全产品也没有得到有效利用,这是广泛存在的现状问题,大中型企业尚能自行解决问题,小型企业问题更为明显。现在安全企业也注意到了这一问题,安全托管服务可以帮助企业解决这一难题;
7、企业应该认识到针对性地勒索攻击致使数据加密,当前技术上是无法恢复的,应该立即着手数据备份工作,且强化数据备份的隔离加密,始终让备份数据保持高可用性。对于生产经营性质企业,为了追求业务的持续运营,灾备解决方案已成为他们的最佳选择,该方案在保证数据高可用前提下,可支持系统在异地迅速再生;
8、企业承担勒索攻击所致损失的程度并不相同,为了避免遭受灭顶之灾,可以考虑从网络安全保险一侧切入防范。