勒索软件攻击:美国金融机构面临的不断演变的敲诈威胁
在一个寒冷的十一月清晨,日出之前,我接到了安全领导者最不愿接到的电话。一家美国中型银行在一夜之间遭受了严重攻击。客户无法访问账户,ATM机无法使用,公司环境中的每个屏幕都闪烁着同样的不祥信息:系统已被加密,数据已被窃取。攻击者要求支付大量比特币,并威胁如果银行在七天内不遵守,将泄露敏感信息。
这不是一次理论上的桌面演练,也不是我在风险简报中概述的场景;这是真实的。在我协助他们进行调查和恢复的过程中,我不禁反思勒索软件已经演变得多么先进,以及金融部门现在面临的赌注有多高。
金融网络敲诈的“完美风暴”
到2025年,勒索软件已经巩固了其作为美国金融机构面临的最具破坏性网络安全威胁的地位。无论您是在跨国银行还是地方信用合作社工作,这种危险都非常真实且个人化。我看到攻击者从部署简单的文件锁定器发展到发起复杂的多阶段操作,涉及窃取的凭据、深度侦察和多层敲诈。
我们看到攻击者在加密前窃取数据,使组织陷入公开数据泄露和支付赎金以避免声誉损害之间的两难境地。到2024年,三分之二的金融机构已经亲身体验过勒索软件,而根据亲身对话,我认为这个数字可能更高。仅在美国,2023年的事件同比增长超过60%。每周,我都会听到另一个同行在处理攻击,或者更糟的是,发现他们在几周前就已经被入侵。
金融行业长期以来一直是主要目标,但变化在于这些攻击的范围和协调性日益增强。我看到勒索软件从阴影中走向主流,而现在,作为一种由勒索软件即服务(RaaS)驱动的商业模式,它像一家拥有增长基金的初创公司一样在扩展。
勒索软件的演变:从简单锁定到三重敲诈
多年来,我目睹了勒索软件的戏剧性演变,从早期的简单文件加密到如今高度组织化、多层次的敲诈活动。到2025年,这些攻击将变得更加算计、激进和定制化,以施加最大压力,尤其是对我帮助保护的金融机构。我们不再仅仅处理被锁定的文件;我们面临的是旨在强制快速支付和避免公众审查的全方位心理战。
双重敲诈
在我最近处理或分析的几乎所有主要勒索软件案例中,攻击者不仅加密系统,还在触发前窃取了敏感数据。这意味着我们同时面临两个威胁:无法访问的数据和不想暴露的数据。我看到过这样的情况:尽管有可靠的备份,机构仍然支付了赎金,因为公开数据泄露(包含客户PII或机密交易文件等敏感信息)的声誉或法律风险太高。一旦被盗数据开始出现在暗网“泄露网站”上,采取行动的压力会增加十倍。这不再仅仅是系统恢复;而是品牌生存的问题。
三重敲诈
好像加密和数据窃取还不够,我看到攻击者更进一步。在我支持的一些更极端的事件中,勒索软件团伙随后对面向公众的系统发起DDoS攻击,或直接联系监管机构、记者甚至受害者的客户。一个组织甚至联系了被入侵机构的客户,以增加银行支付的压力。这些策略在已经混乱的情况下增加了外部审查。而且,由于今天的披露规则要求我们快速报告违规行为,有时在几天内,攻击者知道他们可以利用早期暴露作为杠杆。这是一场与时间的赛跑,而他们在武器化时钟。
勒索软件即服务(RaaS)和附属网络
我亲眼目睹的另一个变化是勒索软件如何成为一种商业模式。开发者现在构建勒索软件“工具包”并将其租给附属攻击者,由后者执行实际入侵。这些附属使用网络钓鱼、窃取的凭据或已知漏洞进入内部,然后启动勒索软件并与开发者分享利润。我分析过附带逐步说明、常见问题解答和联系支持的附属剧本。这种模式极大地增加了勒索软件攻击的数量和范围,使即使相对不熟练的罪犯也能造成严重损害。而且,由于这些组织快速迭代和共享策略,每一次成功的入侵都使下一次更容易执行。
增加的侵略性和持久性
我在最近攻击中遇到的持久性水平令人震惊。攻击者通常会在环境中花费数周时间进行侦察、提升权限和计划攻击。他们故意针对备份,删除影子副本,并在启动有效负载前关闭安全软件。他们获得域管理员访问权限并不罕见,从而完全控制企业系统。这些不是机会犯罪;而是经过充分研究、精心策划的拆除。当我们看到赎金票据时,真正的损害已经造成。
技术复杂性和跨平台能力
在技术上,勒索软件从未如此先进。我遇到过用Rust和Golang构建的变种,这些语言传统安全工具往往难以检测。攻击者现在经常部署EDR规避工具来关闭端点保护。最让我担心的是,这些威胁中有许多现在不仅能够针对Windows系统,还能针对Linux服务器、VMware ESXi管理程序和云基础设施。我合作过的许多金融机构在混合环境中运行核心工作负载,我们必须相应地扩大防御范围。今天的勒索软件攻击可以同时瘫痪分支网络和云托管的银行平台。
国家支持的协作
也许我目睹的最令人不安的趋势是网络犯罪组织与国家支持的行为者之间的重叠日益增加。我参与的情报简报显示,与朝鲜等国家有联系的组织如何与勒索软件团伙合作或直接支持他们。在某些情况下,他们充当访问经纪人,入侵目标并将入口卖给另一个组织。这些合作伙伴关系模糊了网络犯罪和地缘政治破坏之间的界限,特别是当经济动机的行为者采用通常为间谍活动保留的策略时。对于我们这些保护金融机构的人来说,这意味着我们不仅面对罪犯;我们可能面对的是拥有深厚资源和政治动机的国家支持威胁行为者。
金融机构的战略要点
根据我在现场的观察,很明显,2025年的勒索软件不仅仅是关于锁定文件或停机;它是关于全频谱敲诈。我们必须假设攻击者会窃取数据、寻求媒体关注并利用所有可用杠杆来强制支付。这就是为什么我们的防御策略已经演变为包括加密和离线备份、持续监控数据窃取以及处理公开披露和监管义务的预定义响应计划。
前线的教训:现实世界中的勒索软件
在过去的几年里,我有机会(有时是不情愿地)目睹勒索软件事件在金融部门展开。无论是建议同行、直接响应还是在事件后汇报,我都亲眼目睹了什么有效、什么失败以及机构希望他们能更早做什么。以下是一些让我印象深刻的例子,以及我从中吸取的教训。
Scattered Spider的社会工程攻击
我研究的一个更令人不安的案例涉及Scattered Spider(UNC3944)。该组织采用社会工程策略冒充银行员工,欺骗IT帮助台重置登录凭据。从那里,他们提升了权限并在整个网络中广泛部署勒索软件。最让我印象深刻的是他们如何令人信服地扮演角色,甚至引用内部工具和使用LinkedIn来源的信息。
在看到这一点后,我们重新审视了我们的帮助台协议。我们意识到培训是不够的;我们必须为任何敏感请求实施多步身份验证。我们还增强了内部监控,以检测异常行为,例如员工账户访问他们以前从未访问过的数十个系统。那次攻击提醒我,即使是最先进的入侵也往往始于一个人为决策点。
供应商违规影响信用合作社(Ongoing Operations)
2023年底,一次勒索软件攻击击中了Ongoing Operations,这是一家被60多家信用合作社使用的服务提供商。虽然没有任何信用合作社直接被入侵,但由于他们的共享供应商被下线,他们仍然遭受停机和中断。这对我们许多人来说是一个警钟:即使我们在内部做的一切都正确,供应链中的一个薄弱环节也可能导致重大后果。
该事件促使我们审查每一个关键供应商,并就他们的备份策略、恢复时间表以及他们在事件期间分享更新的意愿提出更具挑战性的问题。我们还在合同中加入了更详细的事件响应期望。在可能的情况下,我们为关键服务多样化提供商,以避免过度依赖任何一个合作伙伴。
通过供应商的LockBit攻击(美国银行案例)
另一个警示故事来自LockBit对Infosys McCamish(美国银行供应商)的攻击。攻击者访问了敏感的客户数据,而公开披露的延迟引发了一波客户不满和媒体反弹。我记得密切跟踪了后果,特别是因为我们在生态系统中也使用第三方处理器。
这加强了我们的信念:供应商尽职调查不是可选的。但更重要的是,它提醒我们在出现问题时及时和透明沟通的重要性。从那时起,我们修订了违规通知流程,以确保我们的法律、通信和安全团队都保持一致并高效工作。我们不会在联系客户之前等待每一个细节的确认;我们专注于透明、主动和支持。
Evolve Bank & Trust勒索软件违规
当Evolve Bank在2024年初被击中时,我对他们的快速响应印象深刻。他们涉及执法部门,通知公众,并为受影响的客户提供身份保护服务。虽然违规本身很严重,但他们的处理有助于控制声誉损害和监管后果。
该案例帮助我们完善了事件响应剧本。我们现在有预先起草的客户通信、与取证和公关公司的常备合同,以及关于何时涉及网络保险提供商的明确指导。我们还进行了跨部门演练,以压力测试我们的流程。有计划是一回事;知道在压力下可以执行是另一回事。
执法成功:Hive拆除
并非每一个勒索软件故事都以受害者损失告终。FBI在2023年拆除Hive勒索软件组织是一个罕见且令人鼓舞的胜利。通过渗透该组织的基础设施,执法部门能够帮助受害者恢复并最终悄悄拆除该行动。我记得那个故事如何重新点燃了我们整个社区的希望,并提醒我们合作真正重要。
这些例子都让我明白了一点:勒索软件是不可预测的、快速移动的和多维的。表现最好的金融机构是那些不仅在技术上,而且在战略和操作上做好准备的机构。他们分割了网络以控制损害。他们排练了恢复计划。他们培训了团队,强化了供应商,最重要的是,他们承认没有人是免疫的。
根据我的经验,准备是唯一真正的区别因素。我们不能保证不会被击中,但我们可以控制我们的响应有多好。
加强防御:我的预防和恢复方法
在过去的几年里,我与金融部门的团队合作,将我们的网络安全态势从反应性转变为真正的弹性。我们的心态已经变成:预防我们能预防的,并从我们不能预防的快速恢复。以下是我帮助实施的实践,其中许多是由真实世界勒索软件事件中的艰难教训直接塑造的。
1. 强化入口点并持续监控
我们加倍努力保护我们的初始访问点。根据我的经验,违规通常始于像恶意电子邮件或遗漏的软件补丁这样简单的事情。我们投资了高级电子邮件过滤器、沙箱和持续的钓鱼培训为我们的员工。我参加过那些模拟钓鱼活动,它们很有效。
我们全面强制执行MFA,特别是对于远程访问和管理员账户。我努力推动从基于SMS的MFA转向抗钓鱼选项,例如安全密钥和验证器应用。在修补方面,我们不再等待计划窗口。我们旨在在24到48小时内部署关键更新,由实时威胁情报和安全更新指导。我们的SOC现在使用AI驱动的异常检测进行24/7监控,标记如大规模文件更改、流氓账户创建或异常横向移动等模式。这帮助我们在几次早期入侵升级为更严重问题之前捕获它们。
2. 网络分割和最小权限访问
当我几年前第一次审查我们的网络布局时,我意识到如果勒索软件渗透,它可以传播得太自由。所以我们重新架构。目前,我们的HR系统不能直接与我们的核心银行平台通信,除非首先通过多个安全控制。
我们采用了严格的最小权限访问策略。域管理员使用很少、短暂且严格监控。借助现代身份治理工具,我们定期审查访问权限并消除“权限蔓延”。这些变化不仅限制了风险;还让我们的审计师对我们的控制成熟度更有信心。
3. 安全、离线和测试的备份
备份是非谈判的,但我亲眼目睹了多少机构假设它们有效,只在事件期间发现并非如此。我们遵循3-2-1模型:三个数据副本,两种媒体类型,一个离线。我们的备份包括不可变副本,这些副本在一段时间内无法更改或删除。
但对我们来说,区别在于操作化备份演练。我们排练了整个环境的恢复,从核心数据库到用户笔记本电脑。这不是假设的;我们知道需要多长时间,并且我们在每次练习中改进了我们的RTO。这让我们的领导层放心,我们永远不会被迫支付赎金来检索我们的数据。
4. 事件响应计划和演练
我们的事件响应计划已经演变为我们运营的一个活跃部分。我们开发了详细的剧本,映射了遏制策略、通信协议和升级阈值。这些不仅仅是技术文档;它们跨部门使用。
我帮助领导了与安全、法律、合规、公关和执行团队的跨职能演练。我们模拟一切:系统锁定、媒体询问、监管披露。我们还预先与事件响应公司和危机通信供应商谈判了合同,所以我们从不在关键时刻 scrambling。我们的保险政策也与我们的计划挂钩;我们确切知道何时通知提供商,并且我们练习了报告流程。
这些练习发现了令人惊讶的差距,例如意识到我们的紧急联系人列表存储在可能在攻击期间被加密的服务器上。我们已经解决了这些问题,现在我们每年至少运行两次模拟,包括更广泛的FS-ISAC和财政部主导的场景。
5. 网络卫生和零信任架构
虽然我们实施了许多勒索软件特定的防御措施,但我们也通过基础改进投资了长期弹性。我是零信任的强烈倡导者,我们已经推出了微分割、持续身份验证和敏感数据的内部加密。
我们升级了我们的端点与下一代防病毒和EDR解决方案,并签约了托管检测提供商帮助我们全天候监控。在日志记录方面,我们集中了一切:服务器、防火墙、应用程序和云工作负载,所以我们的威胁猎手可以全面查看整个环境。
我还确保我们的威胁情报团队密切关注暗网。我们在被盗凭据被使用之前找到它们,允许我们及时重置它们。网络安全培训现在不仅包括IT员工,还包括董事会成员和高管。现在每个人都拥有部分防御。
6. 赎金支付政策和监管考虑
这是我们内部最困难的对话之一。我们的政策很明确:我们不想支付。然而,我们也概述了我们会考虑支付的条件,以及谁将参与做出该决定。
我们与法律和合规合作,确保如果我们被迫与攻击者打交道,我们永远不会违反OFAC或国际制裁。而且,由于CIRCIA要求我们在24小时内报告赎金支付,我们已经调整了我们的剧本以符合规定。董事会意识到、参与并在这个问题的伦理和监管维度上保持一致。
7. 合作和威胁共享
我发现我们最有价值的防御之一不是工具,而是社区。我们通过FS-ISAC与其他金融机构主动共享妥协指标(IOC)、钓鱼诱饵和可疑行为。我们得到的回报情报帮助我们早期阻止了多个威胁。
我们还直接与财政部、DHS和FBI接触。至少在一个案例中,联合模拟期间共享的情报帮助我们在潜在入侵升级之前捕获它。我们还为更广泛的公私倡议做出贡献,例如联合勒索软件任务 force,旨在全球拆除勒索软件网络。当执法成功时,我们都受益,我们以任何可能的方式支持这些努力。
在勒索软件围攻中构建网络弹性
从我的角度来看,在2025年防御勒索软件需要一种分层、协作的方法。我们围绕五个支柱构建我们的整个策略:预防、检测、遏制、恢复和合作。虽然威胁行为者比以往任何时候都更复杂,但我也从未见过金融部门更统一、资源更好或更决心反击。
我们的目标不仅仅是生存勒索软件,而是使支付赎金变得不必要。这意味着不仅停止攻击,而且确保我们的系统可以恢复,我们的客户可以信任我们,我们的监管机构看到我们以诚信和远见运营。
最终,勒索软件培养了一种更强的网络准备和合作文化。我看到银行从痛苦的事件中学习,反弹更强,然后自由地与他人分享他们的教训。我看到执行团队拥有网络安全的所有权。我看到我们的部门团结起来,一天是竞争对手,下一天是防御者,对抗共同威胁。