在过去的几年里,勒索软件的威胁一直在增长,虽然大多数针对的是广泛的攻击面,并且包含机会主义的攻击模式,但微软现在已经发布了关于人为操作的勒索软件(human-operated ransomware,为了简洁起见,我们将其称为"HOR")的警告,这在勒索软件即服务(RaaS)的经济中正成为主导。
HOR与传统的勒索软件不同,因为它针对特定系统中的特定弱点,由人类手动发现。一个例子是利用环境中具有高权限的服务。微软表示,HOR在攻击的每个阶段都有人类输入,系统缺陷或人类错误可能被用来提升权限,获得更多敏感数据,并最终带来更大的赔付动力。让HOR更加危险的是,攻击者通常在付款后也不会离开受害者的网络。他们不断地试图通过部署新的恶意软件来使他们的访问持续产生伤害和收入,直到他们被完全清除。
微软强调,RaaS最近开始倾向于双重勒索模式,受害者的数据不仅被加密,而且攻击者还威胁要将其公开直到收到钱。该公司还指出,HOR活动通常利用传统的配置和错误的配置,以及不良的凭证状况来提升其权限。因此,企业中的安全专家需要过渡到零信任模式,他们不仅要注意单一的警报,还要对整个安全态势和事件有一个整体的看法。
微软也警告各组织关于RaaS联盟模式的存在和发展,如下所述:
在过去,我们已经观察到,在一种勒索软件的每次活动中,初始进入载体、工具和勒索软件的有效载荷选择之间存在紧密的关系。RaaS联盟模式允许更多的犯罪分子,无论其技术专长如何,都可以部署由他人构建/管理的勒索软件,这就削弱了这种联系。随着勒索软件的部署成为一种零工经济,将特定攻击中使用的技术与勒索软件的有效载荷开发人员联系起来变得更加困难。
[RaaS是运营商和附属公司之间的一种安排。RaaS运营商开发和维护支持勒索软件操作的工具,包括生产勒索软件有效载荷的构建器和与受害者沟通的支付门户。
[......]因此,RaaS给人一种统一的感觉,即有效载荷或活动是一个单一的勒索软件家族或一组攻击者。然而,发生的情况是,RaaS运营商将赎金有效载荷和解密器的访问权出售给一个附属机构,后者执行入侵和特权升级,并负责部署实际的赎金软件有效载荷。然后双方分享利润。此外,RaaS开发商和运营商还可能利用有效载荷牟利,将其出售,并与其他勒索软件的载荷一起开展活动--在追踪这些行动背后的犯罪分子时更加困难。
为了打击这些不断增长的复杂威胁,微软建议企业应迁移到零信任模式,建立凭证卫生,审计凭证暴露,执行云加固,优先部署活动目录更新,减少攻击面,缓解安全盲点,并加固周边环境--特别是面向互联网的资源。运用安全软件的统一调查功能和跨域可视性来检测和主动应对威胁。
微软计划在5月12日的微软安全峰会数字活动中更详细地讨论这一领域,你可以在这里注册:
https://mssecuritysummit.eventcore.com/?ocid=AID3046765_QSG_584073