2023年關于勒索軟件攻擊的支付額達到11億美元，創歷史新高，是2022年的兩倍。根據Chainanalysis的一份報告，攻擊的頻率、范圍和數量都有所增加，進行攻擊的獨立組織的數量也有所增加。

ReliaQuest的高級網絡威脅情報分析師Chris Morgan告訴記者：“我們現在追蹤的組織比過去多了幾十個。許多這樣的組織從一次行動中吸取經驗，在行動的背后開始自己的行動，通常是在執法活動之后。”Morgan說，隨著更多的商業活動在網上進行，勒索軟件攻擊的潛在受害者也更多，此外，在一些國家，執法部門的管轄權有限，出現團體的機會很少。

每筆支付的金額也在上升，超過75%的支付總額為100萬美元或更多——高于2021年的一半多一點。去年唯一的亮點是，更多的受害者拒絕支付贖金，轉而從備份中恢復。根據Coveware的數據，2023年第四季度，只有29%的受害者支付了欠款，創歷史新低，低于2019年的85%。同樣，來自Corvus Insurance的網絡保險索賠數據顯示，只有27%的受害者支付了贖金。

網絡釣魚仍然是網絡攻擊的首要方式

網絡釣魚仍然是勒索軟件攻擊的頭號攻擊媒介。ReliaQuest的Morgan說：“勒索軟件組織通過多種方式促進最初的訪問，社交攻擊是我們最常見到的一種方式，主要是網絡釣魚和魚叉式釣魚。”

根據2月發布的IBM X-Force威脅情報報告，在所有勒索軟件攻擊中，30%的初始訪問媒介是釣魚電子郵件。受攻擊的帳戶并列第一，也是30%，緊隨其后的是應用程序漏洞攻擊，占29%。

盡管進行了所有的釣魚模擬和安全意識培訓，但用戶在發現釣魚電子郵件方面似乎并沒有變得更好。同樣在2月份發布的Fortra的全球網絡釣魚基準報告顯示，10.4%的用戶點擊了釣魚郵件，而一年前這一比例為7%，而且，在那些點擊的人中，60%的人交出了他們進入惡意網站的密碼。

Cohesiity的CISO和IT主管Brian Spswick說：“我認為培訓計劃行不通，我們每季度都會進行釣魚模擬，但我的百分比保持不變——而且沒有關于誰點擊了和沒有點擊的模式。現在，隨著AI使社交攻擊變得如此聰明，我的信心甚至更低了。”

Spswick說，盡管用戶接受了網絡安全方面的培訓，并警告說會發生網絡釣魚模擬，但仍有17%的用戶點擊。“我們已經這樣做了幾年，而且看起來很穩定，就在那里。在我之前的公司，情況是一樣的，而且行業標準也是一樣的。” 解決方案是建立控制措施，從一開始就阻止這些電子郵件通過，并在它們通過時限制其影響，例如，不允許人們在其筆記本電腦上擁有管理權限，不允許他們下載視頻游戲或連接存儲設備，以及確保環境是分段的。

基于AI的網絡釣魚

社會攻擊的日益復雜是一個特別令人擔憂的問題。Spswick說，他看到AI產生的釣魚嘗試明顯增加，或者，至少很可能是AI。他說：“他們可能雇傭了更好的英語專業學生，并閱讀了這位首席執行官的大量新聞稿，以了解他的語氣，他們使用GenAI的可能性要大得多。”

根據IBM X-Force的數據，一封人工制作的釣魚郵件平均需要16個小時才能創建，相比之下，AI可以在5分鐘內生成一個欺騙性的網絡釣魚。

曾經有一段時間，釣魚電子郵件相對容易被發現，Fortitude Re的CISO Elliott Franklin表示，該公司為其他保險公司提供保險。“過去，你只需要查找拼寫錯誤的單詞。”現在，壞人們正在使用AI來創建這些消息——而改進遠遠不止擁有完美的語法。

Franklin說：“他們正在使用AI來檢查LinkedIn，當有人換工作時，他們會及時獲知，然后他們給他們發一封電子郵件，歡迎他們，來自該公司的首席執行官。”他們正在發送完美的電子郵件，要求員工重新驗證他們的多因素身份驗證，他說。或者要求他們簽署假文件，有了GenAI，電子郵件看起來絕對真實。

此外，當你加上所有這些被泄露的賬戶時，返回的電子郵件地址也可能是完全真實的。“我們的大多數用戶每天都會收到幾百封電子郵件，”Franklin說，“所以，你不能責怪他們點擊這些鏈接。”

AI并不只是讓攻擊者完美地模仿高管的寫作風格。今年1月，在一次視頻電話會議上，一位虛偽的首席財務官說服了香港的一名金融工作者，讓他匯出了一筆2500萬美元的電匯。通話中還有其他幾名工作人員——財務工作人員認出了他們——他們也都是AI偽造。

這讓Franklin感到擔憂，因為如今，當一名堅韌再保險公司的員工想要重置密碼時，他們需要進行視頻通話，并拿出自己的ID。“這將在一段時間內發揮作用，”Franklin說，但最終，這項技術將變得足夠簡單和可擴展，任何黑客都可以做到。“最終，這就是我們將擁有的，”他說。

Fortitude Re正在從幾個方面解決這個問題。首先，有業務風險緩解流程。“我們不能拖累我們的商業伙伴，但我們絕對必須有一項書面和強制執行的政策。比如說，在這里，你必須用這個號碼給這個人打電話，并得到他們的批準——你不能只發送電子郵件或短信，或者你必須進入我們公司的文檔管理系統——不是一封電子郵件，不是一條短信，也不是WhatsApp上的一條直接消息。員工們開始意識到這一點很重要，值得付出努力。”

然后是對網絡安全的基本攔截和解決。“這是人們不愿再談論的老生常談的話題。打補丁，身份和訪問管理，漏洞管理，安全意識。”Franklin說，這可能是陳舊的東西，但如果很容易做到，他就不會有工作了，這一切都必須在預算內完成，并與他擁有的人一起完成。

最后，為了應對勒索軟件的最新演變，Franklin以牙還牙。如果壞人在使用AI，那么好人也可以。過去，該公司使用Mimecast來防御釣魚電子郵件，但在2023年年中，Fortitude Re改用了一個新平臺，該平臺使用GenAI來檢測偽造，并幫助保護公司免受勒索軟件的侵害。“電子郵件是勒索軟件攻擊的主要來源，所以你必須有一個好的、可靠的、內置了AI的電子郵件安全工具。”

老派的方法是查看特定的指標，比如壞的IP地址和特定的關鍵字，這已經不夠了。Franklin說：“壞人有電子郵件安全解決方案的副本，他們可以知道哪些被屏蔽了，哪些沒有被屏蔽。”這意味著他們可以繞過傳統的過濾。

如今，電子郵件安全工具必須能夠閱讀整個郵件，并了解其周圍的上下文——例如，應該發送郵件的員工正在度假，或者該電子郵件正試圖讓用戶采取緊急、不尋常的操作。

IronScale自動過濾掉最糟糕的電子郵件，給其他有可疑內容的郵件貼上警告標簽，并使用GenAI來理解單詞的含義，即使沒有特定的關鍵字。Franklin說，“Mimecast和Proofpoint長期以來一直是電子郵件安全的黃金標準。他們擁有市場，我是Proofpoint的鐵桿粉絲，并在許多公司實施了Proofpoint，但我不認為他們現在真的在創新。”

壞人使用的另一個詭計是在釣魚電子郵件中包含二維碼。大多數傳統的安全工具都無法捕捉到它，他們只是將其視為另一個無害的嵌入圖像。Franklin說，“IronScale可以識別二維碼，并判斷它們是否是惡意的，這是一項真正讓我們對該程序感興趣的功能”。

藥房服務提供商Remedi SeniorCare的信息安全總監格雷格·帕斯特預計，勒索軟件攻擊今年將繼續增加。“我們必須用AI來對抗AI，”帕斯特告訴記者。他使用AI支持的安全工具來防止勒索軟件攻擊，而不是傳統的基于簽名的反病毒工具，如托管檢測和響應以及終端檢測和響應。

此外，該公司使用Menlo Security的瀏覽器隔離工具和Mimecast的電子郵件安全。“但是，以防萬一還有什么東西通過，我們有個計劃，我們有一個全面的事件響應計劃，我們模擬勒索軟件攻擊。我們絕對是在為AI攻擊做準備。”帕斯特說，“攻擊者將把AI集成到他們的勒索軟件即服務工具中。如果他們不這么做就太愚蠢了。作為一名網絡罪犯，如果你不能與時俱進，你就不會賺到任何錢。這是一個連續的循環——在公司方面，在供應商方面，以及網絡罪犯方面。”

另一家使用AI防御勒索軟件的公司是文檔存儲公司Spectra Logic。據該公司IT副總裁托尼·門多薩稱，該公司現在擁有北極狼和Sophos的工具，可以自動檢測可疑行為。他說：“我們努力保持自己在競爭中的領先地位，現在我看到了更多基于AI的攻擊。威脅參與者正在利用每個人都可以使用的AI工具。”

2020年，當該公司的團隊在疫情期間首次遠程訪問時，該公司受到了社會攻擊。有人打開了他們不應該打開的電子郵件，攻擊者獲得了訪問權限，這次攻擊通過該公司的網絡迅速傳播開來。他說，“基礎設施是99%的內部設施，互聯互通，不是隔離的。我們所有的系統都是實時的交易系統，速度快得令人難以置信——它們可以在一瞬間傳播病毒。”

他們甚至破壞了備份和用來進行備份的軟件。“他們想在三天內賺到360萬美元，”門多薩說，“這是我職業生涯中遇到過的壓力最大的情況。”幸運的是，該公司還擁有數據和系統的快照，這些快照是隔空的，不會受到攻擊。“因此，我們立即切斷了與他們的聯系。”

門多薩說，現在他變得更加積極主動。他說：“我知道這種事還會發生。沒有安全是100%的，特別是在基于AI的攻擊下。”此后，Spectra Logic在安全基礎設施、網絡分段、完全加密、可自動隔離設備的異常檢測、事件響應框架和網絡攻擊恢復計劃方面進行了投資。此前，它只有一個針對物理災難的恢復計劃。

他說，異常現象經常出現——一天幾千次。“在過去，我們必須看著它，做出人類的決定，如果一個人突然從朝鮮連接上，我們可能會切斷他的網絡。”但由于來襲威脅的數量如此之大，只有AI才能足夠快地做出反應。“你必須有一個自動化的工具。”他說，一開始有假陽性，但就像AI一樣，系統也學會了。

“三重勒索”抬頭

根據NCC威脅監測2023年的報告，值得注意的趨勢包括“三重勒索”攻擊的增加，攻擊者將加密數據并將其扣為人質，但是，隨著越來越多的受害者簡單地從勒索軟件中恢復，他們也在泄露數據，并威脅要公開這些數據。為了結束這三重影響，攻擊者還將向監管機構通報攻擊情況，并直接向受害者施加額外壓力，要求組織支付費用。

而且情況變得更糟，2023年末，一個名為亨特斯國際的犯罪組織侵入了西雅圖的弗雷德·哈欽森癌癥中心，當該中心拒絕支付贖金時，襲擊者威脅要對癌癥患者進行“毆打”。他們還直接給病人發電子郵件，勒索他們更多的錢。“獵人國際實際上是在施加壓力，”網絡安全公司Nuspire的安全分析師喬希·史密斯說，“他們在勒索策略上加倍下注，他們已經升級到這一點，這一事實非常令人震驚。”

2024年，如果這些策略被證明是成功的，其他勒索軟件組織可能會效仿。“不幸的是，我相信我們會看到更多這樣的事情，”史密斯說。

更快地利用漏洞

2023年，攻擊者還加倍利用新漏洞進行攻擊。史密斯說，“釣魚和基于漏洞的攻擊策略在2024年都可能繼續流行，他們喜歡最容易摘到的果子，最少的努力。當釣魚仍在工作，漏洞仍在工作時，他們將繼續這樣做。”

事實上，當網絡安全公司Black Kite分析4000名受害者的經歷時，利用漏洞是頭號攻擊載體。“他們擁有大規模開采的自動化工具，”Black Kite的研究主管費爾哈特·迪克比伊克說，“去年，他們進入了波音和其他大公司。”

以MoveIt攻擊為例，這是一次網絡攻擊，利用了Progress Software的MoveIt托管文件傳輸產品中的一個漏洞。勒索軟件集團Cl0p于5月份開始利用零日漏洞，接觸到MoveIt的客戶。迪克比伊克說，這些襲擊是毀滅性的。“我們確定了600家可以通過開源工具發現這個漏洞的公司——攻擊者攻擊了所有這些公司。”

根據Emsisoft的數據，截至2024年2月，受該漏洞影響的組織總數超過2700個，個人總數超過9000萬人。

今年1月，Black Kite發布了一項新的指標——勒索軟件敏感度指數，該指標使用機器學習，根據從開源情報以及面向公眾的漏洞、錯誤配置和開放端口收集的數據，預測公司面臨勒索軟件的風險。“在所有指數在0.8到1之間的公司中，46%的公司去年經歷了一次成功的勒索軟件攻擊，”Dikbiyi說，“這表明，如果你在海洋中向海盜船揮舞旗幟，你就會被擊中。與這些家伙作戰的最好方法就是成為一艘幽靈船。”

關于零日，有一些積極的消息。根據IBM X-Force報告，與2022年相比，2023年的零日減少了72%，只有172個新的零日，而且，在2022年，與2021年相比下降了44%，然而，去年累計漏洞總數超過26萬個，其中8.4萬個漏洞具有武器化漏洞。

然而，由于許多組織在修補方面仍然滯后，漏洞仍然是主要的攻擊媒介。根據IBM的數據，面向公眾的應用程序中的漏洞攻擊是去年所有網絡攻擊中29%的初始訪問媒介，高于2022年的26%。

Rust、間歇性加密等

勒索軟件犯罪集團的創新步伐再創新高。網絡安全公司Conversant Group的CSO兼創始人約翰·安東尼·史密斯表示：在過去兩年里，我們見證了這些犯罪在復雜性、速度、復雜性和攻擊性方面的演變速度呈曲棍球棒曲線。

2023年發生的入侵事件證明了這些威脅。史密斯說：“他們把創新的策略和復雜的方法結合在一起，損害了企業，讓它屈服，幾乎沒有談判的余地。”

這方面的一個跡象是，駐留時間-第一次進入數據外泄、加密、備份銷毀或贖金要求之前的時間-已大幅縮短。史密斯說：“雖然過去需要幾周的時間，但現在威脅參與者往往只需4到48小時就能完成攻擊。”

另一種新策略是，攻擊者通過使用SIM交換攻擊和令牌捕獲或利用員工的MFA疲勞來逃避多因素身份驗證。一旦用戶對自己進行身份驗證，令牌就被用來對進一步的請求進行身份驗證，這樣他們就不必繼續進行身份驗證了。代幣可以通過中間人攻擊被竊取。攻擊者還可以從瀏覽器中竊取會話Cookie來實現類似的功能。

SIM交換攻擊允許勒索軟件團伙獲得針對受害者的短信和電話。史密斯補充說，“使用個人設備訪問公司系統只會增加這些安全風險。”

根據Resecity首席運營官肖恩·洛夫蘭的說法，勒索軟件攻擊者繼續利用面向公眾的應用程序中的漏洞，使用僵尸網絡，并在攻擊過程中使用合法軟件和操作系統功能“生活在陸地上”，但他表示，去年的攻擊也出現了一些新的技術方面。

例如，勒索軟件開發人員現在越來越多地使用Rust作為他們的主要編程語言，因為它的安全功能和難以反向工程。“這是該領域的一項重大發展，”洛夫蘭說，“還有一種新的趨勢是間歇性加密，它只加密文件的一部分，這使得檢測更具挑戰性，但加密過程更快。”

為應對更多的勒索軟件即服務提供商做好準備

每一位網絡安全專家都預計，隨著威脅參與者擴大運營規模，同時企業繼續加強防御，勒索軟件攻擊將繼續增長，但網絡犯罪經濟中可能會發生變化的一個領域是勒索軟件即服務提供商。

這些系統的工作方式是，提供商創建勒索軟件工具包，個別附屬公司發送釣魚電子郵件并談判勒索，這兩個組織之間有一定程度的隔離，以創造彈性和與執法部門的隔離，但當局最近表示，他們將追查這些附屬公司。此外，事實證明，附屬公司本身也是中央勒索軟件提供商的安全風險。

GuidePoint Security公司GRIT威脅情報部門的實踐主管德魯·施密特表示：“隨著LockBit被拿下，網絡犯罪分子將會有很多考慮，會對基于分支機構的系統更加猶豫。”

與附屬公司分享資金也會減少中央勒索軟件集團的利潤。施密特說：“如果他們可以使用生產性AI進行談判，他們就可以提高效率。”這將只剩下勒索軟件運營商的核心群體，而不是附屬公司，從而降低了威脅參與者的總運營成本。“這是我們正在考慮的問題。”

如果真的發生了，我們可能需要幾年時間才能看到這一變化的全面影響。2023年最大的勒索軟件運營商LockBit在2月份被當局取締。在被拿下時，該集團有大約180家附屬公司。人們曾希望，此次攻擊將對2024年的勒索軟件造成影響，但Zscaler ThreatLabs在關閉僅一周后就已經觀察到了新的LockBit勒索軟件攻擊。此外，根據BleepingComputer的說法，LockBit已經更新了解密器，安裝了新的服務器，并已經在招募新的五元組成員。