预测2024年勒索软件攻击趋势

勒索软件是一种恶意软件，它会加密用户数据并索要赎金。用户或组织的重要数据被加密，使其无法访问文件、数据库或应用程序。然后，黑客会索要赎金以恢复用户的访问权限。

勒索软件通常旨在通过网络传播，攻击数据库和服务器，从而迅速摧毁整个组织。勒索软件的威胁日益严重，给企业和政府机构造成了巨大的损失和成本。

收集和分析美国当前和潜在网络攻击信息的公司 Cyble 发布的 2023 年第三季度勒索软件报告显示，近几个月来，越来越多的安全漏洞被黑客利用来传播勒索软件和其他恶意软件。

以下是 Cyble 旗下网络安全研究中心 Cyble Research & Intelligence Labs (CRIL) 公布的预测在不久的将来可能发生的一些勒索软件攻击趋势：

1. 医疗保健成为勒索软件攻击的目标

虽然今年上半年针对制造业的勒索软件攻击有所增加，但最近的趋势表明，攻击重点已转向医疗保健。这使得医疗保健跻身勒索软件攻击团伙攻击的前五大行业之列，占所有勒索软件攻击的近四分之一。

这些攻击的具体动机是希望收集受保护的健康信息（PHI）数据以及医疗保健提供者和组织可以访问的其他敏感数据，一旦收集到这些数据，黑客就会在暗网上出售。

根据 Cyble 的勒索软件报告，医疗保健行业尤其容易受到勒索软件攻击，因为该行业拥有极其庞大的攻击面，涵盖多个网站、门户网站、数十亿台医疗物联网 (IoT) 设备，以及供应链中庞大的合作伙伴和供应商网络。因此，制定该行业的标准化网络安全计划至关重要，以确保关键数据的安全，并确保关键医疗保健功能的顺利运行。

根据 Cyble 的报告，除了医疗保健之外，2023 年第三季度最受关注的行业是专业服务、信息技术和建筑业。

2. 高收入组织是勒索软件的重点

勒索软件运营商通常将目标锁定在管理敏感数据源的高收入组织。这不仅有助于提升勒索软件运营商作为严重威胁的声誉，还能确保更高的勒索赎金几率。

由于高收入组织有财力支付黑客要求的巨额赎金，因此它们的形象也更容易受到网络攻击的损害。

3. 美国是勒索软件攻击最严重的国家

Cyble 的报告发现，美国是勒索软件运营商最常攻击的国家，仅在 2023 年第三季度，美国面临的勒索软件攻击就比排在其后的 10 个国家的总和还要多。

Cyble 专家对此的解释是，美国在数字化转型过程中扮演着特殊角色，拥有巨大的全球参与度和影响力。由于地缘政治因素，美国也成为黑客行动主义组织的主要目标，这些组织利用勒索软件来实现其认为社会不公或抗议国内外政策的目标。

2023年第三季度，继美国之后，勒索软件攻击次数最多的国家是英国、意大利和德国。

4. LockBit 勒索软件仍然是潜在威胁

虽然 LockBit 勒索软件最初只是一个勒索软件家族，但后来经历了多次演变，最新版本被称为“LockBit 3.0”。LockBit 由一系列勒索软件程序组成，采用勒索软件即服务 (RaaS) 模式运行。

RaaS 是一种商业模式，用户需要付费才能访问特定类型的勒索软件，以便将其用于自己的攻击。通过这种方式，用户就成为了联盟会员，他们的付款可以是固定费用，也可以是订阅服务。简而言之，LockBit 的创建者找到了一种利用这种 RaaS 模式从中获取额外利润的方法，甚至可能收到受害者支付的赎金。

尽管 LockBit 勒索软件攻击的总数比上一季度略有下降，下降了 5%，但它们仍然是攻击目标中受害者最多的，2023 年第三季度确认的受害者有 240 人。

2023 年第三季度，来自 Cactus、INC Ransom、Metaencryptor、ThreeAM、Knight Ransomware、Cyclop Group 和 MedusaLocker 等较新的勒索软件组织的攻击有所增加，这表明虽然这些组织不像 LockBit 等大型组织那样具有同样的知名度和全球影响力，但它们仍然是潜在威胁。

5. 新型勒索软件变种越来越多地采用 Rust 和 GoLang 编程语言

勒索软件团伙不断尝试使其操作更加难以检测或分析，甚至无法被检测到或分析。这使得受害者、网络安全专家和政府难以分析和研究勒索软件、其感染方法及其操作，从而难以找到相应的解决方案。

然而，Cyble 观察到的最新模式显示，Rust 和 GoLang 两种编程语言在 Hive、Agenda、Luna 和 RansomExx 等知名勒索软件组织中的受欢迎程度日益提高。

黑客之所以使用Rust和GoLang编程语言，是因为使用这些编程语言使得分析勒索软件在受害者系统上的活动变得更加困难，并且更容易定制以针对多个操作系统，同时提高感染率。

组织如何应对勒索软件攻击的增加？

近期勒索软件攻击的增多引起了世界各国政府和监管机构的关注，他们纷纷采取措施，降低勒索软件攻击的影响和发生率。企业也纷纷采取措施，主动采取措施，预防风险，减轻勒索软件攻击的影响。

1. 注重员工培训

组织的员工通常是抵御任何攻击的第一道防线，勒索软件也不例外。因此，企业加强了网络安全意识和培训计划，实施了强制性的网络安全培训课程，并倡导网络意识文化。典型的例子包括如何识别网络钓鱼攻击、处理可疑附件以及如何识别网络钓鱼攻击的培训。

2. 事件响应计划

尽管已采取预防措施，但由于各种因素，勒索软件攻击仍然可能发生。各组织已考虑到这一点，并更加注重开发针对此类事件的全面响应能力。这包括建立沟通渠道以便及时通知相关部门、加强内部安全、评估信息安全团队的响应能力以及隔离任何受影响的系统/产品。

3.高级备份和还原

勒索软件攻击有两个主要目标：获取敏感数据，并加密数据，使其无法被目标组织使用。为了应对这一风险，组织已开始更加注重敏感数据的备份，并创建全面的数据恢复流程，以应对网络攻击。

4. 实施零信任安全和多因素身份验证

以往勒索软件团伙利用人为因素，通过威胁行为者和网络钓鱼攻击等方式触发或增强勒索软件攻击。作为应对措施，公司已在所有关键平台和数据上实施了零信任安全模型和多因素身份验证，要求多级验证身份验证才能授予对敏感数据的访问权限。

5. 共享信息并与执法部门合作

行业组织已经建立了情报和分析中心，以整合资源和信息，共同抵御未来的勒索软件攻击。他们还与执法和监管机构密切合作，报告勒索软件攻击行为，并协助诊断安全漏洞。

6. 增加威胁情报平台的采用/使用

通过将人工智能 (AI) 和机器学习等新技术应用于威胁情报平台，组织可以利用专业知识、异常检测和行为分析来收集实时威胁情报，从而有助于减轻勒索软件攻击。

7. 关注漏洞管理

近年来，安全漏洞频频被发现，其中最引人注目的是与 MOVEit Transfer 文件传输解决方案相关的漏洞，该漏洞可能允许攻击者窃取客户数据库信息；此外，还有与流行打印管理软件 PaperCut 相关的漏洞——PaperCut 是一款打印管理软件，在全球拥有约 1 亿用户，用户来自 7 万多家公司。因此，各组织已实施安全协议和漏洞管理，以确保所有关键软件定期更新和修补。

8. 供应链保障和供应商风险管理

在勒索软件犯罪分子无法入侵组织的情况下，他们通常会通过供应商、合作伙伴和第三方攻击该组织的供应链。因此，组织已实施供应商风险评估，以确保其整个供应链的安全，并持续受到保护，免受潜在的勒索软件攻击。