今天分享的是
人工智能专题系列
深度研究报告:《
人工智能专题:2024网络安全报告
》
(报告出品方:
CHECK POINT
)
报告共计:
103
页
勒索软件零日攻击和大型攻击
2023年的几起重大勒索数件攻击均利用了零日漏询。与我们之的介绍的其他勒索就件趋势不同,其他攻击者是否采用此策略完全职决于经济层画的考忠多受害者勒索数件攻击的收益是否能证明用于实现该攻击的等日漏洞的时价具有合理性?为了回答这个问题,我们行细研究了这些攻击以及为这些攻击创造条件的生态系统。
就当前状态而言,“勒索软件”一词不仅指加密数据,还用于描述网络攻击,在这类攻击中,受经济利益驱使的执行者获得对受害者资产的重大控制权,并通过向受害者施压来索钱财。
这一犯罪生态系统由不断变化的团体和个人组成,他们小心翼翼地把握着平衡,一边寻求公众关注和“名声”以吸引潜在关联方,并维护自己的信誉,一边避免自己引来执法部门的过多关注。这些执行者频频改名换姓,导致归因变得很困难。
在分析勒索软件生态系统内的攻击趋势时,我们经常会研究勒索软件即服务(RaaS)提供商为增强其操纵能力而推出的新功能。这些包括中间加密机制或安全模式重启等躲避技术,以及加密速度的提升。其他增强包括扩展勒索策略,例如数据窃取和数据暴露威胁,以及实现被盗数据索引并与其他操作系统兼容。我们在 2023 年发现的另一个重要变化是,针对Linux 的勒索软件版本已成为标配。
勒索软件对业务运营的影响不断升级,并在 2023年达到顶峰,这一点从 ALPHV 入侵米高梅国际酒店集团等多起备受瞩目的攻击事件中即可见一斑。这种特定攻击导致大量数据失窃,业务运营遭到严重干扰,米高梅公司蒙受的损失据估算高达1亿美元。此外,澳大利亚港口运营商 DP World 遭遇了严重的勒索软件攻击,导致澳大利亚 40%的集装箱贸易中断数日。据称,此次攻击不涉及加密,这也体现了威胁不断演化的性质。
过去一年中,殃及多个受害者的大规模勒索软件网络攻击显著增加,其中有些事件影响了数百甚至数千个组织。CLOP RaaS 组织利用 GoAnywhere 安全文件传输工具中的零日漏洞,致使受影响的130余个组织发生数据泄露。6月初,CLOP 利用零日洞访问了 MOVELL 文件传输软件,导致超过 2600 家组织受到攻击。CLOP 早在 2021年就进行过类似的攻击,当时它利用 Accelion 旧有文件传输设备中的零日漏洞入侵了多个客户端的数据库。在所有这些案例中,攻击目标都经过精心挑选,考虑了庞大的客户数量、数据质量以及将攻击扩散到更多受害者的能力。
值得注意的是,CLOP 选择不对受害者数据进行加密,而是威胁要公开或出售这些数据。这种勒索策略甚至会对那些定期维护备份和采用数据恢复程序的受害者造成不利影响。它还降低了在攻击的“嘈杂”加密阶段被发现的几率,并减轻了网络犯罪分子管理解密密钥的负担以及与多个文件解密相关的“客户服务”责任。
零日洲洞攻击受到高度追捧,市场交易十分活跃。零日漏洞的价格取决于目标系统和漏洞的性质,从几千美元到 250 万美元不等(移动平台)。Zerodium合法平台公开宣布的价格反映了平行地下犯罪市场的情况。卖方在这些市场上的可信度取决于先前交易建立的信誉以及用作抵押的存款。在下面的截图中,拥有大量交易记录和存款的某地下卖家以 15万美元的价格(谈判前)出售 Windows 本地权限升级(LPE)漏洞。相比之下,买方则可在 Zerodium 上以8万美元的价格购买 Windows LPE 洞。
