勒索软件的现状：更快速、更智能、更狠毒

2023年关于勒索软件攻击的勒索支付额达到11亿美元，创历史新高 ，软件是状更2022年的两倍。根据Chainanalysis的快速一份报告 ，攻击的更智频率 、范围和数量都有所增加 ，狠毒进行攻击的勒索独立组织的数量也有所增加。

ReliaQuest的软件高级网络威胁情报分析师Chris Morgan告诉记者
：“我们现在追踪的组织比过去多了几十个。云计算许多这样的状更组织从一次行动中吸取经验，在行动的快速背后开始自己的行动 ，通常是更智在执法活动之后。”Morgan说，狠毒随着更多的勒索商业活动在网上进行
，勒索软件攻击的软件潜在受害者也更多，此外，状更在一些国家，执法部门的管辖权有限，香港云服务器出现团体的机会很少。

每笔支付的金额也在上升，超过75%的支付总额为100万美元或更多——高于2021年的一半多一点 。去年唯一的亮点是，更多的受害者拒绝支付赎金 ，转而从备份中恢复 。根据Coveware的数据 ，2023年第四季度，建站模板只有29%的受害者支付了欠款，创历史新低，低于2019年的85% 。同样，来自Corvus Insurance的网络保险索赔数据显示 ，只有27%的受害者支付了赎金。

网络钓鱼仍然是网络攻击的首要方式

网络钓鱼仍然是勒索软件攻击的头号攻击媒介。ReliaQuest的免费模板Morgan说：“勒索软件组织通过多种方式促进最初的访问，社交攻击是我们最常见到的一种方式，主要是网络钓鱼和鱼叉式钓鱼
。”

根据2月发布的IBM X-Force威胁情报报告 ，在所有勒索软件攻击中，30%的初始访问媒介是钓鱼电子邮件。受攻击的帐户并列第一，也是源码库30%，紧随其后的是应用程序漏洞攻击，占29% 。

尽管进行了所有的钓鱼模拟和安全意识培训 ，但用户在发现钓鱼电子邮件方面似乎并没有变得更好。同样在2月份发布的Fortra的全球网络钓鱼基准报告显示
，10.4%的用户点击了钓鱼邮件，而一年前这一比例为7%，而且，在那些点击的模板下载人中
，60%的人交出了他们进入恶意网站的密码。

Cohesiity的CISO和IT主管Brian Spswick说 ：“我认为培训计划行不通，我们每季度都会进行钓鱼模拟，但我的百分比保持不变——而且没有关于谁点击了和没有点击的模式
 。现在 ，随着AI使社交攻击变得如此聪明 ，我的信心甚至更低了  。”

Spswick说 ，尽管用户接受了网络安全方面的培训 ，并警告说会发生网络钓鱼模拟 ，但仍有17%的用户点击 。“我们已经这样做了几年 ，而且看起来很稳定 ，就在那里。在我之前的公司，情况是一样的 ，而且行业标准也是一样的。” 解决方案是建立控制措施 ，从一开始就阻止这些电子邮件通过，并在它们通过时限制其影响，例如 ，不允许人们在其笔记本电脑上拥有管理权限  ，不允许他们下载视频游戏或连接存储设备，以及确保环境是分段的 。

基于AI的网络钓鱼

社会攻击的日益复杂是一个特别令人担忧的问题。Spswick说 ，他看到AI产生的钓鱼尝试明显增加，或者，至少很可能是AI。他说 ：“他们可能雇佣了更好的英语专业学生，并阅读了这位首席执行官的大量新闻稿，以了解他的语气 ，他们使用GenAI的可能性要大得多。”

根据IBM X-Force的数据 ，一封人工制作的钓鱼邮件平均需要16个小时才能创建，相比之下，AI可以在5分钟内生成一个欺骗性的网络钓鱼  。

曾经有一段时间，钓鱼电子邮件相对容易被发现
，Fortitude Re的CISO Elliott Franklin表示，该公司为其他保险公司提供保险  。“过去，你只需要查找拼写错误的单词。”现在
，坏人们正在使用AI来创建这些消息——而改进远远不止拥有完美的语法。

Franklin说 ：“他们正在使用AI来检查LinkedIn，当有人换工作时，他们会及时获知，然后他们给他们发一封电子邮件 
，欢迎他们，来自该公司的首席执行官
 。”他们正在发送完美的电子邮件，要求员工重新验证他们的多因素身份验证 ，他说。或者要求他们签署假文件，有了GenAI
，电子邮件看起来绝对真实 
。

此外
，当你加上所有这些被泄露的账户时，返回的电子邮件地址也可能是完全真实的 。“我们的大多数用户每天都会收到几百封电子邮件，”Franklin说，“所以 ，你不能责怪他们点击这些链接
。”

AI并不只是让攻击者完美地模仿高管的写作风格。今年1月，在一次视频电话会议上，一位虚伪的首席财务官说服了香港的一名金融工作者 ，让他汇出了一笔2500万美元的电汇。通话中还有其他几名工作人员——财务工作人员认出了他们——他们也都是AI伪造。

这让Franklin感到担忧，因为如今 ，当一名坚韧再保险公司的员工想要重置密码时，他们需要进行视频通话
，并拿出自己的ID
。“这将在一段时间内发挥作用，”Franklin说，但最终，这项技术将变得足够简单和可扩展，任何黑客都可以做到
。“最终，这就是我们将拥有的，”他说。

Fortitude Re正在从几个方面解决这个问题 。首先 ，有业务风险缓解流程。“我们不能拖累我们的商业伙伴 ，但我们绝对必须有一项书面和强制执行的政策 。比如说 ，在这里，你必须用这个号码给这个人打电话，并得到他们的批准——你不能只发送电子邮件或短信，或者你必须进入我们公司的文档管理系统——不是一封电子邮件，不是一条短信 ，也不是WhatsApp上的一条直接消息 。员工们开始意识到这一点很重要 ，值得付出努力。”

然后是对网络安全的基本拦截和解决。“这是人们不愿再谈论的老生常谈的话题
 。打补丁，身份和访问管理，漏洞管理，安全意识 。”Franklin说，这可能是陈旧的东西，但如果很容易做到 ，他就不会有工作了 ，这一切都必须在预算内完成 ，并与他拥有的人一起完成 。

最后 ，为了应对勒索软件的最新演变，Franklin以牙还牙。如果坏人在使用AI，那么好人也可以。过去，该公司使用Mimecast来防御钓鱼电子邮件 ，但在2023年年中，Fortitude Re改用了一个新平台 ，该平台使用GenAI来检测伪造，并帮助保护公司免受勒索软件的侵害 。“电子邮件是勒索软件攻击的主要来源，所以你必须有一个好的
、可靠的 、内置了AI的电子邮件安全工具。”

老派的方法是查看特定的指标 ，比如坏的IP地址和特定的关键字 ，这已经不够了 。Franklin说：“坏人有电子邮件安全解决方案的副本，他们可以知道哪些被屏蔽了，哪些没有被屏蔽 。”这意味着他们可以绕过传统的过滤 。

如今 ，电子邮件安全工具必须能够阅读整个邮件，并了解其周围的上下文——例如，应该发送邮件的员工正在度假，或者该电子邮件正试图让用户采取紧急、不寻常的操作 。

IronScale自动过滤掉最糟糕的电子邮件，给其他有可疑内容的邮件贴上警告标签 ，并使用GenAI来理解单词的含义，即使没有特定的关键字 。Franklin说，“Mimecast和Proofpoint长期以来一直是电子邮件安全的黄金标准。他们拥有市场，我是Proofpoint的铁杆粉丝
，并在许多公司实施了Proofpoint
，但我不认为他们现在真的在创新。”

坏人使用的另一个诡计是在钓鱼电子邮件中包含二维码 。大多数传统的安全工具都无法捕捉到它，他们只是将其视为另一个无害的嵌入图像
。Franklin说 ，“IronScale可以识别二维码，并判断它们是否是恶意的，这是一项真正让我们对该程序感兴趣的功能” 。

药房服务提供商Remedi SeniorCare的信息安全总监格雷格·帕斯特预计，勒索软件攻击今年将继续增加。“我们必须用AI来对抗AI，”帕斯特告诉记者 。他使用AI支持的安全工具来防止勒索软件攻击，而不是传统的基于签名的反病毒工具 ，如托管检测和响应以及终端检测和响应 。

此外，该公司使用Menlo Security的浏览器隔离工具和Mimecast的电子邮件安全。“但是 ，以防万一还有什么东西通过
，我们有个计划，我们有一个全面的事件响应计划 ，我们模拟勒索软件攻击。我们绝对是在为AI攻击做准备。”帕斯特说，“攻击者将把AI集成到他们的勒索软件即服务工具中 。如果他们不这么做就太愚蠢了。作为一名网络罪犯 ，如果你不能与时俱进 ，你就不会赚到任何钱 。这是一个连续的循环——在公司方面，在供应商方面，以及网络罪犯方面。”

另一家使用AI防御勒索软件的公司是文档存储公司Spectra Logic
。据该公司IT副总裁托尼·门多萨称，该公司现在拥有北极狼和Sophos的工具，可以自动检测可疑行为 。他说 ：“我们努力保持自己在竞争中的领先地位，现在我看到了更多基于AI的攻击。威胁参与者正在利用每个人都可以使用的AI工具
。”

2020年，当该公司的团队在疫情期间首次远程访问时 ，该公司受到了社会攻击 。有人打开了他们不应该打开的电子邮件，攻击者获得了访问权限 ，这次攻击通过该公司的网络迅速传播开来 。他说 ，“基础设施是99%的内部设施，互联互通，不是隔离的 。我们所有的系统都是实时的交易系统 ，速度快得令人难以置信——它们可以在一瞬间传播病毒 。”

他们甚至破坏了备份和用来进行备份的软件。“他们想在三天内赚到360万美元，”门多萨说 ，“这是我职业生涯中遇到过的压力最大的情况。”幸运的是，该公司还拥有数据和系统的快照，这些快照是隔空的，不会受到攻击。“因此，我们立即切断了与他们的联系  。”

门多萨说，现在他变得更加积极主动。他说：“我知道这种事还会发生。没有安全是100%的 ，特别是在基于AI的攻击下 。”此后，Spectra Logic在安全基础设施、网络分段 、完全加密
、可自动隔离设备的异常检测 、事件响应框架和网络攻击恢复计划方面进行了投资 。此前，它只有一个针对物理灾难的恢复计划 。

他说
，异常现象经常出现——一天几千次 。“在过去 ，我们必须看着它 ，做出人类的决定
，如果一个人突然从朝鲜连接上，我们可能会切断他的网络 。”但由于来袭威胁的数量如此之大，只有AI才能足够快地做出反应。“你必须有一个自动化的工具 。”他说 ，一开始有假阳性 ，但就像AI一样，系统也学会了。

“三重勒索”抬头

根据NCC威胁监测2023年的报告 ，值得注意的趋势包括“三重勒索”攻击的增加，攻击者将加密数据并将其扣为人质 ，但是 ，随着越来越多的受害者简单地从勒索软件中恢复 ，他们也在泄露数据 ，并威胁要公开这些数据。为了结束这三重影响，攻击者还将向监管机构通报攻击情况，并直接向受害者施加额外压力 ，要求组织支付费用 。

而且情况变得更糟，2023年末 ，一个名为亨特斯国际的犯罪组织侵入了西雅图的弗雷德·哈钦森癌症中心
，当该中心拒绝支付赎金时 ，袭击者威胁要对癌症患者进行“殴打” 。他们还直接给病人发电子邮件
，勒索他们更多的钱。“猎人国际实际上是在施加压力，”网络安全公司Nuspire的安全分析师乔希·史密斯说，“他们在勒索策略上加倍下注，他们已经升级到这一点
，这一事实非常令人震惊。”

2024年，如果这些策略被证明是成功的 ，其他勒索软件组织可能会效仿。“不幸的是，我相信我们会看到更多这样的事情，”史密斯说。

更快地利用漏洞

2023年 ，攻击者还加倍利用新漏洞进行攻击
。史密斯说
，“钓鱼和基于漏洞的攻击策略在2024年都可能继续流行，他们喜欢最容易摘到的果子
 ，最少的努力。当钓鱼仍在工作，漏洞仍在工作时，他们将继续这样做。”

事实上
，当网络安全公司Black Kite分析4000名受害者的经历时
，利用漏洞是头号攻击载体。“他们拥有大规模开采的自动化工具，”Black Kite的研究主管费尔哈特·迪克比伊克说，“去年，他们进入了波音和其他大公司 。”

以MoveIt攻击为例 ，这是一次网络攻击 ，利用了Progress Software的MoveIt托管文件传输产品中的一个漏洞。勒索软件集团Cl0p于5月份开始利用零日漏洞，接触到MoveIt的客户。迪克比伊克说 ，这些袭击是毁灭性的。“我们确定了600家可以通过开源工具发现这个漏洞的公司——攻击者攻击了所有这些公司 。”

根据Emsisoft的数据，截至2024年2月，受该漏洞影响的组织总数超过2700个，个人总数超过9000万人 。

今年1月 ，Black Kite发布了一项新的指标——勒索软件敏感度指数 ，该指标使用机器学习 ，根据从开源情报以及面向公众的漏洞、错误配置和开放端口收集的数据 ，预测公司面临勒索软件的风险
。“在所有指数在0.8到1之间的公司中，46%的公司去年经历了一次成功的勒索软件攻击 ，”Dikbiyi说，“这表明，如果你在海洋中向海盗船挥舞旗帜，你就会被击中。与这些家伙作战的最好方法就是成为一艘幽灵船 
。”

关于零日
，有一些积极的消息
。根据IBM X-Force报告
 ，与2022年相比 ，2023年的零日减少了72%，只有172个新的零日，而且
，在2022年，与2021年相比下降了44% ，然而
，去年累计漏洞总数超过26万个
，其中8.4万个漏洞具有武器化漏洞 。

然而 ，由于许多组织在修补方面仍然滞后，漏洞仍然是主要的攻击媒介。根据IBM的数据
，面向公众的应用程序中的漏洞攻击是去年所有网络攻击中29%的初始访问媒介，高于2022年的26% 。

Rust、间歇性加密等

勒索软件犯罪集团的创新步伐再创新高。网络安全公司Conversant Group的CSO兼创始人约翰·安东尼·史密斯表示 ：在过去两年里，我们见证了这些犯罪在复杂性、速度、复杂性和攻击性方面的演变速度呈曲棍球棒曲线 。

2023年发生的入侵事件证明了这些威胁。史密斯说 ：“他们把创新的策略和复杂的方法结合在一起 ，损害了企业，让它屈服，几乎没有谈判的余地 。”

这方面的一个迹象是，驻留时间-第一次进入数据外泄 、加密
、备份销毁或赎金要求之前的时间-已大幅缩短 。史密斯说
：“虽然过去需要几周的时间，但现在威胁参与者往往只需4到48小时就能完成攻击 
。”

另一种新策略是，攻击者通过使用SIM交换攻击和令牌捕获或利用员工的MFA疲劳来逃避多因素身份验证。一旦用户对自己进行身份验证，令牌就被用来对进一步的请求进行身份验证
，这样他们就不必继续进行身份验证了 。代币可以通过中间人攻击被窃取 。攻击者还可以从浏览器中窃取会话Cookie来实现类似的功能 。

SIM交换攻击允许勒索软件团伙获得针对受害者的短信和电话。史密斯补充说，“使用个人设备访问公司系统只会增加这些安全风险。”

根据Resecity首席运营官肖恩·洛夫兰的说法  ，勒索软件攻击者继续利用面向公众的应用程序中的漏洞，使用僵尸网络，并在攻击过程中使用合法软件和操作系统功能“生活在陆地上”，但他表示，去年的攻击也出现了一些新的技术方面 。

例如，勒索软件开发人员现在越来越多地使用Rust作为他们的主要编程语言 ，因为它的安全功能和难以反向工程。“这是该领域的一项重大发展 ，”洛夫兰说，“还有一种新的趋势是间歇性加密，它只加密文件的一部分
，这使得检测更具挑战性，但加密过程更快 。”

为应对更多的勒索软件即服务提供商做好准备

每一位网络安全专家都预计，随着威胁参与者扩大运营规模 ，同时企业继续加强防御 ，勒索软件攻击将继续增长 ，但网络犯罪经济中可能会发生变化的一个领域是勒索软件即服务提供商。

这些系统的工作方式是 ，提供商创建勒索软件工具包
，个别附属公司发送钓鱼电子邮件并谈判勒索，这两个组织之间有一定程度的隔离 
，以创造弹性和与执法部门的隔离，但当局最近表示，他们将追查这些附属公司 。此外，事实证明，附属公司本身也是中央勒索软件提供商的安全风险。

GuidePoint Security公司GRIT威胁情报部门的实践主管德鲁·施密特表示：“随着LockBit被拿下，网络犯罪分子将会有很多考虑 ，会对基于分支机构的系统更加犹豫 。”

与附属公司分享资金也会减少中央勒索软件集团的利润。施密特说：“如果他们可以使用生产性AI进行谈判，他们就可以提高效率。”这将只剩下勒索软件运营商的核心群体，而不是附属公司，从而降低了威胁参与者的总运营成本。“这是我们正在考虑的问题  。”

如果真的发生了 ，我们可能需要几年时间才能看到这一变化的全面影响。2023年最大的勒索软件运营商LockBit在2月份被当局取缔 。在被拿下时，该集团有大约180家附属公司
。人们曾希望，此次攻击将对2024年的勒索软件造成影响，但Zscaler ThreatLabs在关闭仅一周后就已经观察到了新的LockBit勒索软件攻击。此外
，根据BleepingComputer的说法，LockBit已经更新了解密器 ，安装了新的服务器 ，并已经在招募新的五元组成员 。