近年来勒索攻击席卷全球，几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业均受到影响，可以说有互联网的地方就可能存在勒索攻击。日前，安全服务商Heimdal Security的安全研究人员分析了近一年来的勒索攻击典型案例后发现，各大勒索攻击团伙一直在不断改进攻击手法和模式，使得新一代勒索软件攻击变得更加复杂和更有针对性。在面对新型勒索软件攻击时，大多数企业组织会处于极度弱势，根本难以招架。

01

攻击模式APT化

研究人员发现，今天的勒索攻击团伙相比之前会更具耐心，为获取有价值资产，其入侵与渗透过程甚至可长达数周乃至数月，这与APT攻击特点趋同。此外，从当前勒索攻击全过程来看，会分阶段使用加密、免杀、逃逸等多种技术，使得攻击成功率明显提高。尽管目前还没有发现勒索软件组织雇用漏洞开发人员专为自己设计可以多次利用的高危漏洞，但考虑到漏洞利用对勒索软件团队的价值和诱惑，这种情况可能很快就会出现。

02

攻击流程自动化

对于专业的勒索攻击组织，自动化技术可以帮助它们节省攻击时间和成本，以实现收入最大化。因此，新型勒索攻击组织，都可以有效利用自动化技术简化系统渗透过程（勒索软件攻击中成本最高的阶段）。此外，在很多新型勒索攻击中，一些勒索软件组织（比如Cerber）已经开始使用区块链技术，这让他们变得更加具有侵略性。

03

勒索软件智能化

随着人工智能和机器学习技术不断完善，攻击者也开始利用这些创新技术使勒索软件攻击更具针对性和复杂性。研究人员发现，勒索软件组织开始使用人工智能技术来识别漏洞、撰写逼真的网络钓鱼邮件，并根据防御措施实时调整攻击策略，这对勒索软件防护工作构成了重大挑战。由于勒索软件的智能化程度正在迅速增长，组织也需要及时关注更先进、更智能的网络安全措施，同时加强员工安全意识培训，以防范这种日益严峻的威胁。

04

多重勒索常态化

新型勒索软件攻击的一个关键特征就是从单纯的支付赎金即可恢复被加密的数据，逐渐演变成窃取商业信息、非法销售数据、DDoS攻击等勒索方式结合的新模式，也被称为“多重勒索”。这样一来，不仅使得勒索攻击杀伤性增强，被勒索企业缴纳赎金的可能性变大。多种威胁方法加大了受害者的压力、迫使支付赎金，因为他们面临数据丢失、数据暴露和业务停运的风险。

以臭名昭著的LAPSU$组织为例，一旦受害者拒绝支付赎金，就会将窃取的数据发布到网上，甚至非法售卖。这个组织据信已攻击了微软、英伟达、优步和Rockstar Games等多家知名企业。面对多重勒索攻击，企业的网络安全负责人须仔细考虑其组织内的所有漏洞，并优先考虑补丁管理和漏洞扫描工作，以保护系统和数据免受潜在的数据泄露威胁。

05

攻击云上的数据和应用

随着线上需求的激增，企业组织正在向数字化、智能化的方向加速转型，大量的工作负载从传统数据中心迁移到云端。由于云环境通常是为了方便访问和使用而构建的，因此云环境一旦被勒索攻击，就可能造成重大损失。尽管云资源的分散性对勒索攻击者提出了挑战，但他们正在开发新的策略以达到目的。

为了取得成功，攻击者往往会针对那些关键且不可替代的云工作负载，否则受害企业就没有支付赎金的动力。例如，在远程办公模式下，许多公司放弃了传统的VPN网络连接，开始使用虚拟桌面或云端托管桌面即服务（DaaS）等产品，这些都是攻击者重点关注的目标。

06

将数据变现牟利

研究人员发现，在新型勒索软件攻击中，有更多的攻击者会利用窃取到的数据直接牟利，即数据变现。在以往，勒索软件组织窃取或加密数据的主要目的是获取赎金，但这些被盗的数据不仅仅对其所有者有价值，对其商业竞争对手或一些网络诈骗团伙同样具有价值，这就使得数据变现会非常容易。在新型勒索软件攻击中，即使受害企业支付了赎金，攻击者有时也会将所窃取的数据非法变现，这些组织会充分利用一些暗网交易市场，充当其他网络犯罪分子的代理，以谋求利润最大化。

因此，企业组织需要比以往更加重视勒索攻击防护，因为勒索事件一旦发生就意味着酿成灾难，敏感数据一旦落入攻击者之手，无论是否支付赎金，组织都可能会面临进一步的损害。

07

攻击并不常见的应用系统

任何泄露事件都可能带来灾难，因此在面对新型勒索软件攻击时，任何攻击途径都不能被忽视。在新型勒索软件攻击模式下，攻击者会更加重视一些没有备份的业务系统，或者一些并不常见的应用，这些看上去的“小应用”往往会给组织带来大威胁。佐治亚理工学院的安全研究人员已经验证，勒索软件攻击可以通过屡试不爽的已知漏洞利用代码部署到程序逻辑控制器（PLC）中。遗憾的是，这类设备的重建或更换成本过高，新型勒索软件组织正是瞅准了这一点以勒索受害者。

参考链接：

https://heimdalsecurity.com/blog/ransomware-trends/

来源：安全牛