針對 2024 年勒索軟體的網路安全洞察

勒索軟體是一種惡意軟體。 敲詐勒索一直是一種流行的獲取資金的方法，而且永遠都是。 如今，它在網路世界中可能比在現實世界中更普遍。

我們可以從它的歷史中吸取教訓。 它一直存在於國家層面（丹麥）、幫派層面（保護費）和個人層面（欺凌）。 這種做法現在是網路世界的一部分，仍然涉及民族國家、犯罪團夥和個人黑客。 敲詐勒索永遠不會消失，只是手段會改變。 犯罪分子對現有的貨幣化方法進行微調，以賺取更大的利潤，或使其適應新的情況。

這同樣適用於網路勒索軟體，它從根本上通過加密或滲透或兩者兼而有之來竊取受害者資料。 加密和/或竊取資料是網路勒索的槓桿。

勒索軟體足夠有效且有利可圖，可以繼續增長。 但它將被微調，利潤部分將被擴大，並將探索新的敲詐勒索方法。 一些公司已經在使用更通用的術語 CY-X（網路勒索）來涵蓋圍繞勒索軟體一詞演變的威脅範圍。 敲詐勒索是一種威脅;勒索軟體只是其中一種（儘管是目前的主要方法）。

安永諮詢網路安全董事總經理基思·穆拉斯基（Keith Mularski）警告說，犯罪團夥將繼續加大賭注，對受害者施加更大的壓力——這包括更多的“資訊行動”行動——在社交和公開場合進行更多的公開羞辱，直接接觸高管、員工和客戶施加壓力，“暴力威脅——包括家庭成員”。

Veritas Technologies 高階副總裁兼資料保護總經理 Matt Waxman 舉了乙個具體的例子，說明勒索軟體勒索如何繼續發展。 “到 2024 年，我們預計黑客將轉向有針對性的單位級資料損壞攻擊，即秘密植入受害者資料庫的深處**，如果目標拒絕支付贖金，就會秘密更改或破壞特定但未公開的資料。 ”

韋克斯曼繼續說道，“真正的威脅是，受害者不會知道哪些資料（如果有的話）——黑客可能在虛張聲勢——被篡改或損壞，直到產生影響，這實際上使他們的所有資料都變得不可信。

對於受害者來說，唯一的解決方案是確保他們擁有資料的安全副本，並且 100% 確定資料沒有損壞並且可以快速恢復。 ”

無加密勒索軟體並不是什麼新鮮事，但它將繼續擴充套件。 它從早期的雙重勒索概念演變而來——首先是資料洩露，其次是資料加密。 如果加密不會觸發贖金，那麼隨後洩露敏感資料可能會導致品牌受損和潛在的合規罰款。

隨著支付加密贖金的公司越來越少（通過壓力、更好的解密可能性和網路保險限制），犯罪分子有時會放棄勒索的這一方面。

Rik Ferguson，Forescout 安全情報副總裁。

Forescout 安全情報副總裁 Rik Ferguson 表示：“由於傳統勒索軟體操作耗時且毫無意義的開銷，威脅行為者更喜歡通過洩密站點'拒絕機密性'，而不是通過加密'拒絕訪問'。 “資料盜竊和勒索對他們來說同樣有效，但沒有大量的管理開銷，沒有令人沮喪的備份恢復，也沒有加密模組編碼。 ”

它還允許攻擊者更好地隱藏攻擊。 Malwarebytes 的網路安全布道者 Mark Stockley 解釋說：“勒索軟體攻擊將從'惡意軟體加密'演變為'無惡意軟體資料盜竊'。 “竊取資料，而不是加密資料，使犯罪分子能夠通過'謀生'來躲避眾目睽睽之下 - 使用他們在他們正在攻擊的網路上找到的合法管理工具，這些工具不會觸發安全軟體來檢測惡意軟體。 沒有惡意軟體的攻擊將檢測的負擔從惡意軟體發現軟體轉移到異常查詢器。 ”

2023 年底出現了一種新的勒索變種——與加密或資料洩露一起使用：ALPHV Blackcat 向 SEC 報告了 MeridianLink。 Semperis北美首席技術專家Sean Deuby評論道：“隨著美國證券交易委員會（SEC）新的披露裁決（2023年12月15日）生效，要求公司在四天內報告'重大'網路安全事件，這一策略有望成為勒索軟體攻擊的常態。 美國證券交易委員會將擁有一支不那麼無私的助手大軍。 ”

人工智慧勒索的最初危險不在於惡意軟體（儘管它最終將用於尋找可利用的漏洞），但在為惡意軟體的傳播奠定基礎方面更是如此。 “生成式人工智慧肯定會成為勒索軟體的乙個因素。 原則相當簡單：給定乙個目標，你可以從LinkedIn上抓取員工名單，抓取他們的個人資料和帖子，並通過搜尋引擎搜尋同乙個人的社交網路，以及公開可用的資料。 首席執行官 Philippe Humeau 解釋道，也是 CrowdSec 的聯合創始人。

一旦您擁有大多數員工的所有網路，以及他們的聲音（播客），*x，Instagram，LinkedIn，meta）和**（youtube，tiktok）樣本，您就擁有了生成極具說服力的網路釣魚電子郵件所需的一切。接下來您將知道的是，受害者會收到精心設計的淚滴網路釣魚活動。 簡而言之，人工智慧可能會加劇網路釣魚，而這種增加和改進的網路釣魚可能會加劇勒索軟體。

這不是一件確定的事情。 其他人則認為，犯罪分子的現有方法足夠成功，不需要額外的人工智慧開發成本。 但未來可能會出現乙個拐點，現有方法的失敗速度越來越快，人工智慧成本的下降將被抵消。

勒索軟體直接使用人工智慧的路徑可能是緩慢而漸進的——也許是通過 MPV（最有希望的受害者）的概念。 該理論認為，必須不間斷運營並有資金支付費用的組織將是最有希望的受害者。

勒索軟體作者找到了自動確定“MPV”的方法，使勒索軟體能夠自主確定是否滿足 MPV 標準;例如，“我要去醫院了嗎？”，“我可以訪問電子病歷嗎？”。“，HCL Bigfix 高階總監兼產品管理主管 Robert Leong 建議道。

這樣做的原因是向命令和控制傳送訊息是檢測勒索軟體的主要方法之一。 因此，如果勒索軟體能夠自主確定它在哪裡、它所在的組織型別以及要加密的內容，它就會更成功，“他繼續說道。 可以引入人工智慧來提供和改進這種無聲的自動化。

從歷史上看，黑客行動主義一直與土著思想家的倫理問題有關。 Tenable OT Security 負責人 Amir Hirsh 認為，這種情況將在 2024 年繼續下去，黑客活動分子將使用勒索軟體來增加他們的知名度。 他評論說：“特別是黑客行動主義團體，根據他們的意識形態以工廠化農業和能源生產商為目標，以獲得最大程度的知名度和惡名。 ”

Ilia Kolochenko，IMMUNIWEB首席架構師。

與此同時，烏克蘭和加沙戰爭造成的極端地緣政治緊張局勢將增加黑客行動主義的國際因素，而不是國內因素。 iMMUNIWEB的首席架構師Ilia Kolochenko說：“明年，我們應該期待出於政治動機的黑客行動主義者對特定國家或地區的無辜公司和組織發動大規模且不可避免的攻擊。 ”

這些攻擊可能具有很強的破壞性，旨在癱瘓與東道國政治程序關係不大或毫無關係的企業的運營。 “醫院、學校，甚至CNI的網路基礎設施，如供水設施，都可能遭受長期和無法彌補的損害。 ”

雨刮器可能（但不一定）與勒索軟體有關。 考慮沒有任何解密手段的資料加密版本的勒索軟體——它是乙個基本的擦除器。

對於出於地緣政治動機的攻擊者來說，這是乙個有吸引力的選擇，尤其是那些可能被貼上民族國家附屬機構標籤的攻擊者。 它可以偽裝成失敗的勒索軟體，即出於經濟動機的犯罪攻擊。 很難將犯罪攻擊歸類為網路戰（網路戰除了具有破壞性外，還必須表現出**vs因素）。 請參閱什麼是網路戰？ 更詳細地討論並考慮保險公司未能通過Notpetya向默克公司付款。

Wannacry 和 Notpetya 就是乙個很好的例子。 Wannacry沒有解密功能，Notpetya在全世界造成了嚴重破壞。 但兩者都被“偽裝”成勒索軟體，雖然歸因於俄羅斯，但不能歸因於**的明確指示。 危險在於未來發生事故。 “隨著敵對的民族國家繼續對其他民族國家發動戰爭，我們肯定會看到像wannacry和notpetya這樣的事情再次發生，”梁警告說。 預計敵對的民族國家將繼續將其納入其工具箱，尤其是在地區熱戰擴大的情況下。 ”

儘管如此，大多數敵對國家還是謹慎使用雨刮器。 他們可以挑起一場全面的網路戰——在當今的網路世界中，絕對威懾的原則仍然存在。 全面的網路戰爭將導致互惠的、徹底的網路破壞：因此，世界大國（北約、俄羅斯等）使用的雨刮器正好瞄準或避免了熱戰區。 （中東是個例外，因為它主要是區域性的，而不是全球性的。 ）

悍馬懷疑大國使用雨刮器還有另乙個原因。 “大多數時候，我不確定他們是否真的為乙個民族國家工作。 只有當你需要用你的優勢來對付你的對手時，你才會暴露你的偽裝。 最好呆在家裡，保持低調，並在需要時使用初始訪問許可權。 冬眠不是過去的事情，而是未來的事情。 ”

然而，犯罪團夥並沒有被對網路戰的恐懼所嚇倒。 非國家黑客活動家的侵略性越來越強，很容易導致 2024 年雨刮器的增加。 Malwarebytes 高階惡意軟體研究工程師 Marcelo Rivero 評論道：“我們還看到了新的資料銷毀策略的發展，包括自定義資料盜竊工具和時間啟用擦除器，這增加了額外的壓力。

2024年會有更多的雨刮器嗎？ “有可能，”穆拉斯基說。 “意圖是驅動力，也是最不重要的因素。 當然，純粹的擦除器（甚至偽裝成勒索軟體）在技術上不是勒索軟體：它的目的不是敲詐勒索，而是破壞。

勒索軟體即服務 （RaaS） 是網路犯罪日益專業化的一部分***。 嚴重而熟練的罪犯已經形成了角色分離。 該團夥由個人惡意軟體編碼員、訪問查詢器（使用單獨訪問**）、金融運營商和營銷人員組成。 這些組合在一起為附屬公司提供勒索軟體服務**，或出租完整的勒索軟體包。 它有幾個目的：它有助於讓真正的犯罪分子遠離研究人員和執法部門，並允許更多技術技能較低的犯罪分子發起具有潛在破壞性的勒索軟體攻擊。 它被稱為勒索軟體的“民主化”。

這將取決於勒索軟體威脅行為者圍繞建立聯盟計畫和減少入職過程中的摩擦的營銷努力，“Citadel（南卡羅來納州軍事學院）的顧問兼兼職教授 Gerald Auger 說。 “可悲的是，頂級勒索軟體威脅行為者（Lockbit、Blackcat、Conti，在解散之前）像一家擁有許多員工的專業企業一樣運作。 例如，Conti 擁有 100 多個部門，包括人力資源部門，因此，如果他們為其 RaaS 聯盟計畫找到營銷解決方案，這將是 CISO（以及整個資訊保安行業）的一大擔憂。 ”

Logpoint 首席技術官 Christian H**e 警告說：“RaaS 將變得更加普遍，為技術專長最少的個人提供執行勒索軟體攻擊的手段。 自動化將使初始訪問代理能夠識別並提供更防漏的環境。 因此，攻擊的頻率將激增，影響各種規模的組織，尤其是網路安全措施不足的小型組織。 ”

RaaS 可能會越來越受歡迎。 “它將繼續擴大，特別是如果世界經濟陷入衰退，就像許多人所做的那樣，”梁評論道。 原因是許多人將失去工作，而那些不那麼謹慎的人將把RaaS視為繼續支援他們生活方式的一種方式。 由於 RaaS 通常只需要指令碼孩子級別的技能，這對那些失業並希望輕鬆賺錢的人很有吸引力，特別是如果他們想“報復”他們的前雇主。 ”

Ontinue 的首席創新官 Drew Perry 指出 Scattered Spider 是 RaaS 的乙個實際例子。 該組織被認為是 ALPHV 的附屬機構，是 2023 年 9 月發現的公尺高梅黑客攻擊的幕後黑手**。 其他人也會效仿，“佩里警告說。

從我們的角度來看，“Mularski 說，”RaaS 代表了勒索威脅的大部分——經營純粹封閉式私人業務的組織似乎越來越少。 他指出，Lockbit 是最普遍的 RaaS 行動——僅在 2023 年 11 月就有 110 名受害者。

LaaS 本身只是不斷擴大和更普遍的犯罪即服務 （CaaS） 犯罪活動的一部分。 弗格森認為，這可能會導致一種新的X-as-a-Service：受害者分析即服務。 他說：“勒索軟體附屬公司在選擇受害者時變得更加有選擇性，這可以從各種流行的技術中看出——從搬遷已知支付贖金的組織到只選擇有網路事件保險的受害者。 “因此，潛在受害者的資料將受到高度追捧，並為此類市場創造更大的需求。 ”

民主化的另一面是勒索軟體團夥在不使用 RaaS 方法的情況下參與特定的大型遊戲狩獵。 這通常側重於利用零日漏洞。 一般來說，零日漏洞是一次性的**，價值太大，無法通過附屬機構消散。

Rapid 7 高階副總裁兼首席科學家 Raj Samani 評論道：“我們觀察到越來越多的零日漏洞被勒索軟體組織利用，而且這種趨勢不太可能減弱。 ”

斯托克利同意了。 “隨著向零日攻擊的轉變，勒索軟體攻擊將大幅增加，”他說。 但他也指出，從2024年開始，人工智慧可以助長自動化，這將使集團能夠在不降低使用附屬公司的利潤回報的情況下擴大規模。

在今年的兩波攻擊中，CL0P勒索軟體團夥已經表明，通過使用基於零日的自動攻擊，可以擺脫聯盟模式的可擴充套件性束縛，“他解釋說。 “以前，人們認為零日漏洞對於勒索軟體團夥來說要麼太複雜，要麼太複雜。 雖然勒索軟體團夥在廣泛使用零日漏洞時會遇到重大障礙，但不能排除這種情況。 ”

除了鼓勵更好的網路防禦、拆除犯罪基礎設施和尋求個人逮捕之外，幾乎沒有什麼可以防止網路勒索。唯一能阻止敲詐勒索的就是削減其盈利能力，這是不可能的。 當前主要形式的勒索軟體有兩種可能的方法：使贖金支付非法，並使支付過程無效（通過數字貨幣）。

第乙個幾乎是不可能的。 悍馬解釋了其中乙個困難：“像法國這樣的國家完美地舉起一塊石頭來射自己的腳，”他說。 “十年來，人們一直在說'不，沒有人應該付錢，不要喂怪物'，而現在，一條模糊的界限是，保險公司看到了銷售保單的好機會，但他們知道他們實際上並沒有這樣做。 “由於它們納入了特定的例外情況，因此必須滿足這些例外情況。 但是，對於確實支付的保單，網路犯罪分子知道保險公司願意報銷的確切金額，這就是他們現在試圖從目標那裡勒索的金額。 ”

然而，並不是每個人都對打擊勒索軟體的行動持悲觀態度。 Orange CyberDefense的首席技術官Jose Araujo對此持樂觀態度。 “我們預計，由聯盟**政策驅動的網路勒索活動可能會......臨界點國際反勒索軟體倡議的 40 多個成員國已同意一項聯合政策，宣布成員國**不應支付網路犯罪集團索要的贖金。 他們還就勒索軟體行為者使用的錢包共享黑名單、追究責任的承諾以及其他舉措達成一致。 我們尚未看到它對 CY-X 統計資料的影響，但預計這種合作可能會破壞 CY-X 生態系統的未來生存能力。 ”

其他人則不那麼樂觀。 Symmetry Systems 的首席布道師克勞德·曼迪 （Claude Mandy） 認為：“到 2024 年，美國將不再頒布任何更全面的州或聯邦立法來禁止支付贖金。 相反，我們將繼續強烈鼓勵組織不要支付贖金，執法部門和聯邦機構將繼續通過制裁和類似措施以及對受害者提出更高的要求來打擊那些為向網路犯罪分子支付贖金提供便利的交易所和組織。 勒索軟體付款的披露。 ”

當前的全球地緣政治無助於**的努力。 “執法機構和檢察機關[不能]在對有組織網路犯罪進行複雜的跨境調查中合作，”科洛琴科指出。 “歸根結底，網路團夥在不可引渡的司法管轄區和平運作而不受懲罰，並享受絕望受害者支付的收入穩步增長。 鑑於從經濟角度來看，勒索軟體是一項可擴充套件且利潤豐厚的業務，明年我們很可能會看到它像九頭蛇一樣在全球範圍內傳播。 ”

他警告說，其結果是，結合現收現付的RaaS，“老式勒索軟體很可能在2024年成為全球網路流行病。 ”

然而，雖然通過數字貨幣支付贖金可能不會被消除，但市場力量可能會成功。 斯托克利提出了網路犯罪“奇點”的可能性：位元幣崩潰到零以摧毀勒索軟體。 “網路犯罪可能發生的最嚴重的事情是位元幣的消失，這可能不太可能，但並非不可能，”他說。 保持位元幣的執行需要付出巨大的努力，而加密泡沫已經完全破裂。 ”

他繼續說道：“如果位元幣開始大幅執行，那麼保持其所依賴的大規模基礎設施執行的動力可能會崩潰，這可能導致對其他加密貨幣失去信心。 儘管數字貨幣豐富，但勒索軟體與位元幣密切相關，如果沒有位元幣或非常相似的替代品，勒索軟體可能就不存在。 網路犯罪不會消失，但隨著它圍繞新的商業模式進行重組，它將進入乙個非常不可避免的階段。 ”

勒索軟體威脅將繼續增長和擴大。 這是網路犯罪分子的典型商業計畫。 當它首次出現時，該術語與加密資料相關聯。 這是一種誤解。 在威脅下支付贖金無異於敲詐勒索。 勒索軟體就是勒索軟體：通過資料加密進行勒索只是一種方法。

犯罪分子的適應能力很強。 如果一種方法的盈利能力下降，他們就會改變他們的方法。 隨著大型狩獵的增長、OT 目標的增加、RaaS 和 AI 自動化的興起，以及對資料洩露而不僅僅是資料加密的高度關注，我們已經看到了這一點。

最新版本是 ALPHV Blackcat。 H**E解釋說，該組織“代表MeridianLink向美國證券交易委員會提出投訴，指控其未能披露網路安全事件，作為對未支付贖金的懲罰。 他認為，這種新的勒索策略可能成為 2024 年勒索軟體經濟的主要驅動力，尤其是隨著 NIS2 的推出。

在 2024 年及以後，敲詐勒索將繼續增長。 這是犯罪的基礎。 它的隱身性在不斷變化，它的外觀也會不斷變化。 但總的來說，勒索軟體威脅將繼續惡化。