经过一年的快速增长后,勒索软件攻击数量在 2024 年第一季度大幅下降。CyberInt 专家记录勒索企图下降 22%几个月后。
网络攻击的减少主要是执法部门努力的结果。警方近期精心策划多次大规模行动打击专门从事敲诈勒索活动的网络犯罪团伙。我们特别想到克洛诺斯行动,这导致 Lockbit 的部分基础设施瘫痪。该团伙对世界上大部分勒索软件网络攻击负有责任,但发现自己暂时脱离危险。
另请阅读:勒索软件阻止英国城市关闭路灯
损害越来越大
Sophos 的最新报告证实今年第一季度勒索软件攻击有所下降。正如 Sophos 经理 John Shier 所解释的那样,他们的研究人员还注意到“勒索软件攻击的总体频率略有下降”。一切都表明,由于当局的反复攻击,海盗活动在 2024 年前三个月显着放缓。
另一方面,Sophos 观察到产生的伤害增加通过勒索软件。如果“过去两年整体攻击率有所下降”,这家英国公司注意到了影响“针对受害者的攻击有所增加”。
双重勒索的兴起
现在,网络犯罪分子“他们不再满足于加密数据,还致力于窃取数据””,约翰·希尔继续说道。在典型的攻击中,勒索软件将加密公司的所有数据。为了恢复加密密钥并访问信息,受害者必须支付加密货币赎金。因此操作在此停止。黑客越来越频繁地窃取攻击过程中发现的数据。
这种做法称为双重勒索。除了加密数据之外,黑客还窃取公司信息并威胁将其发布到互联网上,通常是在专门针对网络犯罪分子的黑市上。 Sophos 在 2024 年初研究的攻击中,有 32% 的攻击是黑客在加密数据之前花时间窃取数据。
这种做法“为攻击者提供了更多向受害者勒索金钱的机会,同时允许他们通过直接在暗网上出售被盗数据来从攻击中获利””,约翰·希尔解释道。收集赎金后,网络犯罪分子会将被盗数据货币化,这大大加剧了损害的网络攻击。事实上,即使已经支付了赎金,被盗的信息也可以被其他攻击者利用。这就是为什么许多公司都有勒索软件受害者记录第二次攻击最初的事件发生后。这也是为什么你永远不应该屈服于勒索并支付海盗索要的赎金。
爆炸性的恢复成本
面对这些复杂的操作,企业发现从勒索软件攻击中恢复越来越困难。受 Sophos 询问,受害者表示“业务恢复的平均成本”已大幅增加。你现在必须付款平均273万美元在勒索企图后恢复。这是“与 2023 年相比增加了近 100 万美元”,强调了报告。
此外,企业需要越来越多的时间勒索后重新开展活动。 2024 年受影响的公司中,近 35% 声称需要 30 多天才能从网络犯罪分子的入侵中恢复过来。去年,只有 23% 的公司在遭受攻击后需要一个多月的时间来恢复服务。
“从勒索软件攻击中恢复需要的时间越来越长。恢复时间的增加可能是由于日益严重和复杂的攻击、勒索软件正常化作为针对企业的首选攻击方法以及组织本身缺乏恢复活动的准备“,Sophos 报告中详细介绍了 John Shier。
黑客瞄准的医疗保健行业
据 Sophos 称,黑客越来越青睐复杂的攻击,可能对 IT 基础设施造成严重损害。一项观察证实Dragos 进行的一项调查,一家专门从事IT安全的公司。在 2024 年 4 月末发布的一份报告中,该公司解释说,勒索软件的世界目前充满攻击,包括“后果不仅仅是数据丢失和财务影响”。越来越多的攻势确实是针对“直接影响目标组织的基本运营完整性”。事实上,企业发现自己一度完全无法正常运营。
此外,越来越多的勒索软件受害者坚决拒绝支付所要求的赎金。 Coveware 的一项研究表明不到 30% 的公司受到影响同意服从黑客。 2019年,85%的受害者仍然屈服于勒索。商界逐渐意识到,满足犯罪分子的要求是没有用的。面对日益顽固的受害者,海盗改变了策略。
事实上,主要犯罪团伙已决定转向以前无法触及的目标,例如医院。正如 Emsisoft 所解释的那样,黑客通过针对医疗基础设施逐渐增加了勒索策略,冒着侵犯重病患者隐私的风险。 Dragos 表示已经观察到 Emsisoft 的镜像“自 2024 年初以来,重点从勒索软件团体转向医疗保健行业”。网络犯罪分子没有在可能拒绝支付赎金的行业上浪费时间,而是将目标瞄准了医疗保健提供者。这些实体拥有大量特别敏感的数据,例如医疗记录。为了保护患者的隐私,他们往往愿意服从黑客。
这就是为什么网络攻击虽然数量较少,但造成的损害却大得多。如果发生攻击,这些医疗信息很可能最终进入黑市,任何网络犯罪分子都可以触及。如果经验丰富的黑客利用这些信息,可能会引发其他勒索操作、网络钓鱼攻击或身份盗窃企图。
联合健康集团的例子
针对的网络攻击联合健康集团美国一家专门从事健康业务的大型保险公司完美地说明了专门从事勒索的黑客所造成的损害的增加。今年三月,联合健康集团 (UnitedHealth Group) 的一个部门、美国医疗系统的重要一环——Change Healthcare 发现自己在俄罗斯 BlackCat 黑客的眼中。网络犯罪分子对数据进行了加密,并要求支付 2200 万美元的加密货币赎金。
为了保护美国人的隐私,Change Healthcare 支付了赎金。不幸的是,海盗们在加密之前窃取数据。尽管支付了赎金,BlackCat 仍将被盗的数据库泄露给黑市。一些线索显示,至少有两个团伙窃取了 Change Healthcare 的部分医疗数据。
在这次大规模攻击之后,Change Healthcare 服务发现自己陷入困境几周无法使用。该组织的医疗保健提供者合作伙伴被剥夺了常用的电子处方软件。这次攻击造成了严重的延误,迫使 Change Healthcare 紧急部署医疗请求准备软件。三周后一切才恢复正常。
Change Healthcare 案例清楚地说明了新型勒索软件攻击的特征。基于双重勒索,它们对公司的IT基础设施造成严重破坏,使系统永久瘫痪,同时伴随着敏感数据的泄露。
