勒索软件团伙迫使网络安全团队重新评估 媒体

2023年勒索软件攻击的现状与对策

重点摘要

在疫情期间，勒索软件攻击数量快速增长，且这一趋势至今持续增加。2020年3月之前，活跃的勒索软件团伙仅有四个，而如今这一数字已翻了五倍，达到约20个。各个团伙之间的竞争愈发激烈，死亡率也相对较高。自2022年LockBit 30取代Conti以来，BlackBasta、BianLian以及刚崭露头角的Royal等新伙均在全力争夺LockBit的王座。

这些团伙带来了新的威胁和更为新颖的战术、技术和程序TTP，例如BianLian使用难以破解的GoLang编写恶意软件。受益于远程办公的普及，云服务的使用大幅增加，加之大量第三方服务与供应商被融合进企业基础设施，使得攻击面显著扩大。

为加强网络安全，组织应集中在以下几个要点上。首先，要认识到大多数安全漏洞是由员工的错误操作导致的，这可能包括打开来自未知来源的邮件附件或是在个人手机上下载可疑应用。

虽然如Colonial Pipeline在美国以及最近英国皇家邮政的攻击引起了广泛关注，但实际上，中小型企业通常成为勒索软件团伙最容易攻击的目标。相较于大型企业，这些企业一般具有较弱的安全防护。而针对年收入在2000万到1亿美元的公司则意味着成功的网络攻击不会被广泛报道和调查。被认为对国家安全和基础设施有影响的大规模攻击会受到调查机构和未付费的黑客军团高度重视，后者曾成功打击2021年顶尖的勒索软件团伙Conti Group。理想的攻击目标是大约拥有50名员工和3000万美元年收入的公司。

疫情突发及国民封锁的迅速实施让企业，甚至是最顶尖、最有组织的公司，都没有时间为2020年的大规模撤离做准备。多年来，许多中小企业采用自带设备BYOD策略，以节省成本，鼓励员工使用个人手机和平板电脑进行工作通讯。但在远程办公的背景下，这一策略暴露了安全方面的弱点，并导致身份盗用案件的快速增长。单个员工每天频繁访问大量外部网站，提交个人信息和登录详情，犯罪分子可以在暗网出售这些信息，进而进行后续攻击。

因此，面对日益增长的勒索软件威胁，组织必须在整个公司内部提高网络安全意识，特别是那些选择在后疫情时代继续远程工作的员工。部分公司定期向员工发送警示邮件，但这往往被忽视。应该尽可能与员工互动。例如，通过调查问卷收集关于安全问题和危险行为的数据，然后将这些信息反馈给员工，以告知他们，比如30的员工可能面临钓鱼攻击。

提高意识必须与基本的安全措施并行，包括定期更新系统，而不是像许多公司那样每几个月更新一次。未能优先处理系统更新会让组织在与勒索软件团伙对抗时无疑是在“玩俄罗斯轮盘”。

我们还建议员工在家上班时使用虚拟专用网络VPN访问公司网络。理想情况下，组织应在远程办公开始时就对此进行强调。大多数员工回家后继续使用个人设备和不太安全的家庭WiFi网络，许多家庭还使用技术来控制和监控家用电器，这也为决心攻击的犯罪分子提供了