勒索软件是一种恶意软件。 敲诈勒索一直是一种流行的获取资金的方法,而且永远都是。 如今,它在网络世界中可能比在现实世界中更普遍。
我们可以从它的历史中吸取教训。 它一直存在于国家层面(丹麦)、帮派层面(保护费)和个人层面(欺凌)。 这种做法现在是网络世界的一部分,仍然涉及民族国家、犯罪团伙和个人黑客。 敲诈勒索永远不会消失,只是手段会改变。 犯罪分子对现有的货币化方法进行微调,以赚取更大的利润,或使其适应新的情况。
这同样适用于网络勒索软件,它从根本上通过加密或渗透或两者兼而有之来窃取受害者数据。 加密和/或窃取数据是网络勒索的杠杆。
勒索软件足够有效且有利可图,可以继续增长。 但它将被微调,利润部分将被扩大,并将探索新的敲诈勒索方法。 一些公司已经在使用更通用的术语 CY-X(网络勒索)来涵盖围绕勒索软件一词演变的威胁范围。 敲诈勒索是一种威胁;勒索软件只是其中一种(尽管是目前的主要方法)。
安永咨询网络安全董事总经理基思·穆拉斯基(Keith Mularski)警告说,犯罪团伙将继续加大赌注,对受害者施加更大的压力——这包括更多的“信息行动”行动——在社交和公开场合进行更多的公开羞辱,直接接触高管、员工和客户施加压力,“暴力威胁——包括家庭成员”。
Veritas Technologies 高级副总裁兼数据保护总经理 Matt Waxman 举了一个具体的例子,说明勒索软件勒索如何继续发展。 “到 2024 年,我们预计黑客将转向有针对性的单位级数据损坏攻击,即秘密植入受害者数据库的深处**,如果目标拒绝支付赎金,就会秘密更改或破坏特定但未公开的数据。 ”
韦克斯曼继续说道,“真正的威胁是,受害者不会知道哪些数据(如果有的话)——黑客可能在虚张声势——被篡改或损坏,直到产生影响,这实际上使他们的所有数据都变得不可信。
对于受害者来说,唯一的解决方案是确保他们拥有数据的安全副本,并且 100% 确定数据没有损坏并且可以快速恢复。 ”
无加密勒索软件并不是什么新鲜事,但它将继续扩展。 它从早期的双重勒索概念演变而来——首先是数据泄露,其次是数据加密。 如果加密不会触发赎金,那么随后泄露敏感数据可能会导致品牌受损和潜在的合规罚款。
随着支付加密赎金的公司越来越少(通过压力、更好的解密可能性和网络保险限制),犯罪分子有时会放弃勒索的这一方面。
Rik Ferguson,Forescout 安全情报副总裁。
Forescout 安全情报副总裁 Rik Ferguson 表示:“由于传统勒索软件操作耗时且毫无意义的开销,威胁行为者更喜欢通过泄密站点'拒绝机密性',而不是通过加密'拒绝访问'。 “数据盗窃和勒索对他们来说同样有效,但没有大量的管理开销,没有令人沮丧的备份恢复,也没有加密模块编码。 ”
它还允许攻击者更好地隐藏攻击。 Malwarebytes 的网络安全布道者 Mark Stockley 解释说:“勒索软件攻击将从'恶意软件加密'演变为'无恶意软件数据盗窃'。 “窃取数据,而不是加密数据,使犯罪分子能够通过'谋生'来躲避众目睽睽之下 - 使用他们在他们正在攻击的网络上找到的合法管理工具,这些工具不会触发安全软件来检测恶意软件。 没有恶意软件的攻击将检测的负担从恶意软件发现软件转移到异常查找器。 ”
2023 年底出现了一种新的勒索变种——与加密或数据泄露一起使用:ALPHV Blackcat 向 SEC 报告了 MeridianLink。 Semperis北美首席技术专家Sean Deuby评论道:“随着美国证券交易委员会(SEC)新的披露裁决(2023年12月15日)生效,要求公司在四天内报告'重大'网络安全事件,这一策略有望成为勒索软件攻击的常态。 美国证券交易委员会将拥有一支不那么无私的助手大军。 ”
人工智能勒索的最初危险不在于恶意软件(尽管它最终将用于寻找可利用的漏洞),但在为恶意软件的传播奠定基础方面更是如此。 “生成式人工智能肯定会成为勒索软件的一个因素。 原则相当简单:给定一个目标,你可以从LinkedIn上抓取员工名单,抓取他们的个人资料和帖子,并通过搜索引擎搜索同一个人的社交网络,以及公开可用的数据。 首席执行官 Philippe Humeau 解释道,也是 CrowdSec 的联合创始人。
一旦您拥有大多数员工的所有网络,以及他们的声音(播客),*x,Instagram,LinkedIn,meta)和**(youtube,tiktok)样本,您就拥有了生成极具说服力的网络钓鱼电子邮件所需的一切。接下来您将知道的是,受害者会收到精心设计的泪滴网络钓鱼活动。 简而言之,人工智能可能会加剧网络钓鱼,而这种增加和改进的网络钓鱼可能会加剧勒索软件。
这不是一件确定的事情。 其他人则认为,犯罪分子的现有方法足够成功,不需要额外的人工智能开发成本。 但未来可能会出现一个拐点,现有方法的失败速度越来越快,人工智能成本的下降将被抵消。
勒索软件直接使用人工智能的路径可能是缓慢而渐进的——也许是通过 MPV(最有希望的受害者)的概念。 该理论认为,必须不间断运营并有资金支付费用的组织将是最有希望的受害者。
勒索软件作者找到了自动确定“MPV”的方法,使勒索软件能够自主确定是否满足 MPV 标准;例如,“我要去医院了吗?”,“我可以访问电子病历吗?”。“,HCL Bigfix 高级总监兼产品管理主管 Robert Leong 建议道。
这样做的原因是向命令和控制发送消息是检测勒索软件的主要方法之一。 因此,如果勒索软件能够自主确定它在哪里、它所在的组织类型以及要加密的内容,它就会更成功,“他继续说道。 可以引入人工智能来提供和改进这种无声的自动化。
从历史上看,黑客行动主义一直与土著思想家的伦理问题有关。 Tenable OT Security 负责人 Amir Hirsh 认为,这种情况将在 2024 年继续下去,黑客活动分子将使用勒索软件来增加他们的知名度。 他评论说:“特别是黑客行动主义团体,根据他们的意识形态以工厂化农业和能源生产商为目标,以获得最大程度的知名度和恶名。 ”
Ilia Kolochenko,IMMUNIWEB首席架构师。
与此同时,乌克兰和加沙战争造成的极端地缘政治紧张局势将增加黑客行动主义的国际因素,而不是国内因素。 iMMUNIWEB的首席架构师Ilia Kolochenko说:“明年,我们应该期待出于政治动机的黑客行动主义者对特定国家或地区的无辜公司和组织发动大规模且不可避免的攻击。 ”
这些攻击可能具有很强的破坏性,旨在瘫痪与东道国政治进程关系不大或毫无关系的企业的运营。 “医院、学校,甚至CNI的网络基础设施,如供水设施,都可能遭受长期和无法弥补的损害。 ”
雨刮器可能(但不一定)与勒索软件有关。 考虑没有任何解密手段的数据加密版本的勒索软件——它是一个基本的擦除器。
对于出于地缘政治动机的攻击者来说,这是一个有吸引力的选择,尤其是那些可能被贴上民族国家附属机构标签的攻击者。 它可以伪装成失败的勒索软件,即出于经济动机的犯罪攻击。 很难将犯罪攻击归类为网络战(网络战除了具有破坏性外,还必须表现出**vs因素)。 请参阅什么是网络战? 更详细地讨论并考虑保险公司未能通过Notpetya向默克公司付款。
Wannacry 和 Notpetya 就是一个很好的例子。 Wannacry没有解密功能,Notpetya在全世界造成了严重破坏。 但两者都被“伪装”成勒索软件,虽然归因于俄罗斯,但不能归因于**的明确指示。 危险在于未来发生事故。 “随着敌对的民族国家继续对其他民族国家发动战争,我们肯定会看到像wannacry和notpetya这样的事情再次发生,”梁警告说。 预计敌对的民族国家将继续将其纳入其工具箱,尤其是在地区热战扩大的情况下。 ”
尽管如此,大多数敌对国家还是谨慎使用雨刮器。 他们可以挑起一场全面的网络战——在当今的网络世界中,绝对威慑的原则仍然存在。 全面的网络战争将导致互惠的、彻底的网络破坏:因此,世界大国(北约、俄罗斯等)使用的雨刮器正好瞄准或避免了热战区。 (中东是个例外,因为它主要是区域性的,而不是全球性的。 )
悍马怀疑大国使用雨刮器还有另一个原因。 “大多数时候,我不确定他们是否真的为一个民族国家工作。 只有当你需要用你的优势来对付你的对手时,你才会暴露你的伪装。 最好呆在家里,保持低调,并在需要时使用初始访问权限。 冬眠不是过去的事情,而是未来的事情。 ”
然而,犯罪团伙并没有被对网络战的恐惧所吓倒。 非国家黑客活动家的侵略性越来越强,很容易导致 2024 年雨刮器的增加。 Malwarebytes 高级恶意软件研究工程师 Marcelo Rivero 评论道:“我们还看到了新的数据销毁策略的发展,包括自定义数据盗窃工具和时间激活擦除器,这增加了额外的压力。
2024年会有更多的雨刮器吗? “有可能,”穆拉斯基说。 “意图是驱动力,也是最不重要的因素。 当然,纯粹的擦除器(甚至伪装成勒索软件)在技术上不是勒索软件:它的目的不是敲诈勒索,而是破坏。
勒索软件即服务 (RaaS) 是网络犯罪日益专业化的一部分***。 严重而熟练的罪犯已经形成了角色分离。 该团伙由个人恶意软件编码员、访问查找器(使用单独访问**)、金融运营商和营销人员组成。 这些组合在一起为附属公司提供勒索软件服务**,或出租完整的勒索软件包。 它有几个目的:它有助于让真正的犯罪分子远离研究人员和执法部门,并允许更多技术技能较低的犯罪分子发起具有潜在破坏性的勒索软件攻击。 它被称为勒索软件的“民主化”。
这将取决于勒索软件威胁行为者围绕建立联盟计划和减少入职过程中的摩擦的营销努力,“Citadel(南卡罗来纳州军事学院)的顾问兼兼职教授 Gerald Auger 说。 “可悲的是,顶级勒索软件威胁行为者(Lockbit、Blackcat、Conti,在解散之前)像一家拥有许多员工的专业企业一样运作。 例如,Conti 拥有 100 多个部门,包括人力资源部门,因此,如果他们为其 RaaS 联盟计划找到营销解决方案,这将是 CISO(以及整个信息安全行业)的一大担忧。 ”
Logpoint 首席技术官 Christian H**e 警告说:“RaaS 将变得更加普遍,为技术专长最少的个人提供执行勒索软件攻击的手段。 自动化将使初始访问代理能够识别并提供更防漏的环境。 因此,攻击的频率将激增,影响各种规模的组织,尤其是网络安全措施不足的小型组织。 ”
RaaS 可能会越来越受欢迎。 “它将继续扩大,特别是如果世界经济陷入衰退,就像许多人所做的那样,”梁评论道。 原因是许多人将失去工作,而那些不那么谨慎的人将把RaaS视为继续支持他们生活方式的一种方式。 由于 RaaS 通常只需要脚本孩子级别的技能,这对那些失业并希望轻松赚钱的人很有吸引力,特别是如果他们想“报复”他们的前雇主。 ”
Ontinue 的首席创新官 Drew Perry 指出 Scattered Spider 是 RaaS 的一个实际例子。 该组织被认为是 ALPHV 的附属机构,是 2023 年 9 月发现的米高梅黑客攻击的幕后黑手**。 其他人也会效仿,“佩里警告说。
从我们的角度来看,“Mularski 说,”RaaS 代表了勒索威胁的大部分——经营纯粹封闭式私人业务的组织似乎越来越少。 他指出,Lockbit 是最普遍的 RaaS 行动——仅在 2023 年 11 月就有 110 名受害者。
LaaS 本身只是不断扩大和更普遍的犯罪即服务 (CaaS) 犯罪活动的一部分。 弗格森认为,这可能会导致一种新的X-as-a-Service:受害者分析即服务。 他说:“勒索软件附属公司在选择受害者时变得更加有选择性,这可以从各种流行的技术中看出——从搬迁已知支付赎金的组织到只选择有网络事件保险的受害者。 “因此,潜在受害者的数据将受到高度追捧,并为此类市场创造更大的需求。 ”
民主化的另一面是勒索软件团伙在不使用 RaaS 方法的情况下参与特定的大型游戏狩猎。 这通常侧重于利用零日漏洞。 一般来说,零日漏洞是一次性的**,价值太大,无法通过附属机构消散。
Rapid 7 高级副总裁兼首席科学家 Raj Samani 评论道:“我们观察到越来越多的零日漏洞被勒索软件组织利用,而且这种趋势不太可能减弱。 ”
斯托克利同意了。 “随着向零日攻击的转变,勒索软件攻击将大幅增加,”他说。 但他也指出,从2024年开始,人工智能可以助长自动化,这将使集团能够在不降低使用附属公司的利润回报的情况下扩大规模。
在今年的两波攻击中,CL0P勒索软件团伙已经表明,通过使用基于零日的自动攻击,可以摆脱联盟模式的可扩展性束缚,“他解释说。 “以前,人们认为零日漏洞对于勒索软件团伙来说要么太复杂,要么太复杂。 虽然勒索软件团伙在广泛使用零日漏洞时会遇到重大障碍,但不能排除这种情况。 ”
除了鼓励更好的网络防御、拆除犯罪基础设施和寻求个人逮捕之外,几乎没有什么可以防止网络勒索。唯一能阻止敲诈勒索的就是削减其盈利能力,这是不可能的。 当前主要形式的勒索软件有两种可能的方法:使赎金支付非法,并使支付过程无效(通过数字货币)。
第一个几乎是不可能的。 悍马解释了其中一个困难:“像法国这样的国家完美地举起一块石头来射自己的脚,”他说。 “十年来,人们一直在说'不,没有人应该付钱,不要喂怪物',而现在,一条模糊的界限是,保险公司看到了销售保单的好机会,但他们知道他们实际上并没有这样做。 “由于它们纳入了特定的例外情况,因此必须满足这些例外情况。 但是,对于确实支付的保单,网络犯罪分子知道保险公司愿意报销的确切金额,这就是他们现在试图从目标那里勒索的金额。 ”
然而,并不是每个人都对打击勒索软件的行动持悲观态度。 Orange CyberDefense的首席技术官Jose Araujo对此持乐观态度。 “我们预计,由联盟**政策驱动的网络勒索活动可能会......临界点国际反勒索软件倡议的 40 多个成员国已同意一项联合政策,宣布成员国**不应支付网络犯罪集团索要的赎金。 他们还就勒索软件行为者使用的钱包共享黑名单、追究责任的承诺以及其他举措达成一致。 我们尚未看到它对 CY-X 统计数据的影响,但预计这种合作可能会破坏 CY-X 生态系统的未来生存能力。 ”
其他人则不那么乐观。 Symmetry Systems 的首席布道师克劳德·曼迪 (Claude Mandy) 认为:“到 2024 年,美国将不再颁布任何更全面的州或联邦立法来禁止支付赎金。 相反,我们将继续强烈鼓励组织不要支付赎金,执法部门和联邦机构将继续通过制裁和类似措施以及对受害者提出更高的要求来打击那些为向网络犯罪分子支付赎金提供便利的交易所和组织。 勒索软件付款的披露。 ”
当前的全球地缘政治无助于**的努力。 “执法机构和检察机关[不能]在对有组织网络犯罪进行复杂的跨境调查中合作,”科洛琴科指出。 “归根结底,网络团伙在不可引渡的司法管辖区和平运作而不受惩罚,并享受绝望受害者支付的收入稳步增长。 鉴于从经济角度来看,勒索软件是一项可扩展且利润丰厚的业务,明年我们很可能会看到它像九头蛇一样在全球范围内传播。 ”
他警告说,其结果是,结合现收现付的RaaS,“老式勒索软件很可能在2024年成为全球网络流行病。 ”
然而,虽然通过数字货币支付赎金可能不会被消除,但市场力量可能会成功。 斯托克利提出了网络犯罪“奇点”的可能性:比特币崩溃到零以摧毁勒索软件。 “网络犯罪可能发生的最严重的事情是比特币的消失,这可能不太可能,但并非不可能,”他说。 保持比特币的运行需要付出巨大的努力,而加密泡沫已经完全破裂。 ”
他继续说道:“如果比特币开始大幅运行,那么保持其所依赖的大规模基础设施运行的动力可能会崩溃,这可能导致对其他加密货币失去信心。 尽管数字货币丰富,但勒索软件与比特币密切相关,如果没有比特币或非常相似的替代品,勒索软件可能就不存在。 网络犯罪不会消失,但随着它围绕新的商业模式进行重组,它将进入一个非常不可避免的阶段。 ”
勒索软件威胁将继续增长和扩大。 这是网络犯罪分子的典型商业计划。 当它首次出现时,该术语与加密数据相关联。 这是一种误解。 在威胁下支付赎金无异于敲诈勒索。 勒索软件就是勒索软件:通过数据加密进行勒索只是一种方法。
犯罪分子的适应能力很强。 如果一种方法的盈利能力下降,他们就会改变他们的方法。 随着大型狩猎的增长、OT 目标的增加、RaaS 和 AI 自动化的兴起,以及对数据泄露而不仅仅是数据加密的高度关注,我们已经看到了这一点。
最新版本是 ALPHV Blackcat。 H**E解释说,该组织“代表MeridianLink向美国证券交易委员会提出投诉,指控其未能披露网络安全事件,作为对未支付赎金的惩罚。 他认为,这种新的勒索策略可能成为 2024 年勒索软件经济的主要驱动力,尤其是随着 NIS2 的推出。
在 2024 年及以后,敲诈勒索将继续增长。 这是犯罪的基础。 它的隐身性在不断变化,它的外观也会不断变化。 但总的来说,勒索软件威胁将继续恶化。