据 Barracuda Networks 称,44% 的勒索软件攻击是在横向移动期间发现的。
25% 的事件是在攻击者开始编写或编辑文件时检测到的,14% 的事件因不符合已知活动模式的行为而被揭露。
研究人员分析了 2023 年 8 月至 2024 年 7 月期间报告的 200 起事件样本,涉及 37 个国家和 36 个不同的勒索软件组织。
近期勒索软件攻击中最常见的 RaaS 模型
样本显示,21% 的事件针对医疗保健组织,高于一年前的 18%,而 15% 的报告攻击针对制造业,13% 针对科技公司。
涉及教育的事件从去年的 18% 下降了一半,占 2023/24 年的 9%。
最流行的勒索软件组织采用勒索软件即服务 (RaaS)模式。
其中包括LockBit,在过去 12 个月中,六分之一的攻击是该组织发起的,占攻击者身份已知的攻击的 18%。
ALPHV/BlackCat 勒索软件占攻击总数的 14%,而相对较新的勒索软件组织 Rhysida 占指定攻击总数的 8%。
勒索软件攻击很难被发现和遏制。不同的网络犯罪分子客户可以使用不同的工具和策略来部署相同的负载,从而产生相当大的差异。
幸运的是,大多数攻击者都依赖一些久经考验的方法,例如扫描、横向移动和恶意软件下载。
这些方法可以触发安全警报,为安全团队提供多次机会,在勒索软件事件完全爆发之前检测、遏制和缓解这些事件。
这在并非所有机器都完全安全的 IT 环境中尤为重要。
勒索软件活动的领先指标
根据检测数据,2024 年前六个月可能存在勒索软件活动的首要指标包括:
横向移动
44% 的勒索软件攻击被监控横向移动的检测系统发现。
文件修改
系统检测到 25% 的文件修改,记录文件的写入或修改时间,并对其进行分析以查看它们是否与任何已知的勒索软件签名或可疑模式匹配。
异常行为
14% 的行为被检测系统捕获,该系统可识别系统或网络内的异常行为。该系统可学习用户、流程和应用程序的典型行为。
当检测到异常行为(例如异常的文件访问、篡改操作系统组件或可疑的网络活动)时,它会触发警报。
对针对健康技术企业的 PLAY 勒索软件攻击和袭击汽车护理公司的 8base 事件的详细调查发现,攻击者试图在未受保护的设备上建立立足点,以发起下一阶段的攻击,并将恶意文件隐藏在很少使用的音乐和视频文件夹中。
在对抗勒索软件等主动威胁时,多层检测至关重要,攻击者通常会利用 IT 团队合法使用的商业工具,并可以实时调整其行为和策略以取得成功。