勒索病毒以变种快、传播快、勒索赎金高等特点,一跃成为了最受关注的数据安全威胁之一。NotPetya,BadRabbit、GandGrab,SamSam等勒索病毒喷涌而至,频频携全球大型组织攻击事件登上热门。尤其是近年来远程办公的普及,以及IT系统依赖性的加强,更是为勒索病毒的发展和攻击提供了沃土。
勒索病毒看似远在天边,实则近在咫尺
勒索病毒正在以惊人的速度急剧增长,据Gartner预计,到2025年,至少有75%的IT组织将面临一次或多次攻击,勒索病毒攻击的频率也将由2021年的11秒次上升到2031年的2秒次。层出不穷的勒索病毒攻击事件也都在表明,任何行业任何组织都是勒索病毒潜在的攻击对象,看似远在天边的勒索病毒,其实就近在咫尺。
勒索病毒攻击者加密或窃取企业级用户的核心数据,其直接目的便是换取巨额赎金。据Gartner报告显示,遭受勒索病毒攻击后,46%的组织最终支付了赎金,被攻击用户支付的平均赎金为235万元,且不乏有备受关注的巨额勒索事件。
遗憾的是,即使支付了赎金,也不能完全保证数据会被恢复,这是因为加密过程中导致的数据损坏,加密的数据可能无法恢复,或是部分攻击者即使收到赎金也不会遵守承诺解密或不泄密数据。Sophos的调查数据也证实了这一观点,支付赎金后只有4%的组织成功恢复了所有数据。同时,支付赎金也助长了网络犯罪的器张气势,为后期的犯罪活动提供了资金支持。
然而,勒索病毒攻击导致的损失仅仅只有赎金吗?答案显然是否定的。Gartner报告表明,勒索病毒攻击后的恢复成本和由此导致的停机、声誉损失可能是赎金的10到15倍。组织从勒索病毒攻击中恢复过来所需的平均时间为30天,同时还会对业务与收入、运营能力、品牌形象、员工工作效率等造成巨大负面影响,甚至需要承担数据泄露的法律后果。勒索病毒之所以来势汹汹,真相在于背后存在若一批批极有组织的勒索团伙,勒索病毒早已发展为成熟的黑色产业,让病毒从系统攻击、虚拟货币支付到洗钱变现,可以有规划、有组织地快速完成。Gartner曾在相关报告中表明,勒索病毒开发团队越来越多地将勒索病毒的访问权和代码作为服务产品出售(勒索病毒即服务,Raas)。这大幅增加了恶意软件变种的数量,加快了勒索病毒的攻击频率与范围。
在创新网络技术加持下,勒索病毒攻击的手段持续升级,呈现出诸多新特点,不仅体现在攻击手法的恶劣性上,还体现在攻击对象范围的进一步扩大。在这些新趋势下,勒索病毒成为威胁最大的网络安全隐患之一,也是组织数据安全最大的潜在杀手之一。
从数据加密到“窃密+勒索”的捆绑攻击
早期勒索病毒往往以加密用户设备或有价值的数据为手段,向被攻击者索要赎金以解锁设备或解密数据。
然而,随若勒索病毒黑色产业和技术的发展,勒索病毒的攻击手段正在发生变化。从最初的加密数据,到“窃密+勒索”的捆绑攻击。攻击者通过窃取用户的机密数据勒索高昂赎金,如果未收到赎金则会在暗网上公布数据。更有甚者,攻击者会陆续公开用户敏感数据,以达到多次威胁、勒索的作用,直至最后全部公开。
攻击者为了提升获取赎金的成功率,往往会以多种技术层层叠加,从最初的加密数据,到窃取数据,再到发动分布式拒绝服务攻击网络,最后通过电话、邮件等方式层层给用户进行施压,以此逼迫用户支付赎金,从而达成攻击目的
攻击对象升级为全行业全规模组织
勒索病毒攻击逐渐升级,其矛头已转向关键信息基础设施,政府、能源、通信、金融、交通、公共事业等重要行业都是勒索病毒攻击的主要目标。一系列的攻击事件也表明了这一点,2022年,哥斯达黎加政府被勒索病毒攻击,宣布进入“国家紧急状态”,同年,法国巴黎的一家医院因遭遇攻击迫使其将患者转诊至其他机构……这些攻击事件极其恶劣,不仅使这类组织在经营和财务上付出了巨大的代价,也使人们的健康、安全和生命受到威胁。不仅如此,勒索病毒攻击的对象也逐步演变为全规模组织。对于大型组织,尤其是上市公司,尽管其网络及数据安全体系建设都较为完备,勒索者攻击难度较大,但由于勒索赎金金额也会更大,对于勒索者而言依旧具备极强诱惑力。面对此类型组织,勒索者将会采用APT攻击(高级长期威胁)以提升成功率。为更好执行这一策略,行业化的勒索团队应运而生。
对于中小型组织而言,攻击所获得的收益相对较少,但由于其攻击门槛低,可通过广散网、扩大攻击面等来弥补收益。简而言之,无论组织规模大小,都已经成为勒索病毒攻击的目标
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入立享3万+精选资料,年更新1万+精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)
