CISA、FBI、NSA就勒索软件攻击严重增加发布咨询意见

图片来源：TechPrivacy

Cybersecurity authorities from Australia, the U.K., and the U.S. have published a joint advisory warning of an increase in sophisticated, high-impact ransomware attacks targeting critical infrastructure organizations across the world in 2021.

这些事件突出了广泛的领域，包括国防、应急服务、农业、政府设施、IT、医疗保健、金融服务、教育、能源、慈善机构、法律机构和公共服务。

该机构在联合公报上说：“勒索软件策略和技术在2021继续发展，这表明勒索软件威胁者的技术成熟度越来越高，对全球组织的勒索威胁也越来越大。”

鱼叉式网络钓鱼、被盗或暴力强迫远程桌面协议（RDP）凭据和利用软件漏洞成为在受损网络上部署勒索软件的前三大初始感染媒介，尽管犯罪商业模式已经演变为一个“专业”市场，由不同的参与者群体主导，以获得初始准入、协商支付和解决支付纠纷。

但在去年对殖民地管道、JBS和Kasya高度宣传的袭击中，一个引人注目的转变是，勒索者在2021下半年从美国的“大游戏”狩猎中逃脱，集中于中等规模的受害者，逃避执法的审查。

这些机构表示：“在对受害者网络进行加密后，勒索软件威胁行为人越来越多地使用‘三重勒索’，威胁要（1）公开发布被盗的敏感信息，（2）扰乱受害者的互联网接入，和/或（3）将事件告知受害者的合作伙伴、股东或供应商。”。

根据Syhunt本周发布的一份新报告，从2019年1月到2022年1月，勒索软件集团从受害者组织窃取了超过150 TB的数据，仅REvil就占该集团从282名受害者窃取的总信息量的44.1TB。

勒索软件集团为最大限度地发挥影响而采取的其他策略包括：攻击云基础设施以利用已知的弱点，通过一次初始妥协破坏托管服务提供商（MSP）以访问多个受害者，部署旨在破坏工业流程的代码，毒化软件供应链，在节假日和周末发动袭击。

To mitigate and reduce the likelihood and impact of ransomware attacks, organizations are being urged to —

• 使所有操作系统和软件保持最新，
• 限制通过内部网络访问资源，特别是通过限制RDP和使用虚拟桌面基础设施，
• 提高用户对网络钓鱼风险的认识，
• 强制使用强大、唯一的密码和多因素身份验证，以保护帐户免受接管攻击，
• 加密云中的数据，
• 实施网络细分，
• 禁用不必要的命令行实用程序，并限制脚本活动和权限，
• 对特权帐户实施基于时间的访问，以及
• 维护数据的脱机（即物理断开连接）备份

这些机构警告说：“犯罪活动的动机是经济利益，因此支付赎金可能会鼓励对手瞄准其他组织，或鼓励网络犯罪分子参与勒索软件的分发。”。“支付赎金也不能保证受害者的文件会被恢复。此外，减少勒索软件威胁参与者的财务收益将有助于破坏勒索软件犯罪的商业模式。”