勒索软件敲诈手段如何演变

网络威胁行为者正在采用新的方法来敲诈和威胁受害者。

勒索软件敲诈格局正在演变，威胁行为者采用新的方法来敲诈和威胁受害者。单一敲诈——网络犯罪分子要求支付赎金以解密被锁定的数据或系统——正迅速变得不那么常见，勒索软件组织越来越多地采用双重敲诈：威胁行为者要求支付赎金以解密受害者数据/系统，然后威胁除非支付赎金，否则将公布窃取的数据。三重敲诈也在上升，例如分布式拒绝服务（DDoS）攻击或进一步恐吓受害者/他们的客户、员工和利益相关者支付赎金。

这种情况最近在臭名昭著的勒索软件组织BlackCat/APLHV对其所谓的受害者未能遵守四天的网络攻击披露规则向美国证券交易委员会（SEC）提出投诉时上演。这一前所未有的举动将该威胁组织的敲诈努力提升到了一个新的水平，此前该组织声称最近入侵了软件公司MeridianLink并窃取了数据。

Cyber Security Hub与肯特大学社会网络安全研究所的Jason Nurse博士，以及皇家联合服务研究所（RUSI）勒索软件危害与受害者体验项目的联合负责人，就不断变化的勒索软件敲诈格局及其对企业构成的威胁进行了交谈。

Cyber Security Hub：勒索软件敲诈方法在哪些方面正在演变？

Jason Nurse博士： 勒索软件攻击已经显著演变，显示出更高的复杂性和危害潜力。过去，网络犯罪分子试图瘫痪组织的系统并敲诈赎金以恢复访问。随着企业增强恢复能力和抵制支付，我们的研究发现攻击者已经调整了他们的方法，造成更多样化的危害。

CSH：不断演变的敲诈方法对组织面临的勒索软件威胁产生了什么影响？

JN： 敲诈方法的演变意味着勒索软件威胁无处不在，是组织面临的持续挑战。我们在最近对勒索软件攻击影响的分析中发现了一系列广泛的危害。随着企业通过改进入侵防御系统、员工培训和加强备份策略等措施来加强防御以应对威胁，网络犯罪分子迅速调整策略以提高要价。

这一威胁的重要性促使政府加大参与。反勒索软件倡议（CRI）是此类努力的一个极好例子，最近CRI成员国同意不使用政府资金支付赎金，这无疑是解决这一复杂问题的一个有力步骤。

CSH：不断演变的敲诈趋势对当今的勒索软件威胁行为者意味着什么？

JN： 勒索软件敲诈机制的演变趋势突显了当今威胁行为者的一个显著特征——他们坚定不移的决心。这些行为者表现出以任何必要方式适应以提高获得赎金支付前景的显著意愿。在暗网公告板上点名羞辱受害组织、与这些组织的业务伙伴联系以及披露敏感企业数据，都突显了惊人的决心水平。

然而，毫无疑问让大多数安全社区震惊的是，一个网络犯罪集团与SEC的接触。在这种情况下，该集团提出投诉，指控一家企业未能披露由黑客发起的数据泄露。考虑到报告义务、通知程序以及负面宣传的更广泛影响，这将组织置于一个具有挑战性的位置。

CSH：您对被勒索软件攻击后遭受敲诈的任何组织有什么建议？

JN： 支付不是唯一的选择——当然也不应该是首选。组织必须认识到勒索软件集团将采用各种策略来推动支付。如果组织被敲诈，初始步骤应包括将所有受感染系统与中央网络隔离或完全关闭它们。然后，组织可以与执法部门、监管机构、网络保险提供商以及，根据内部专业知识，事件响应公司合作，以在其响应中获得支持。

其中一些服务可能能够访问解密密钥（例如No More Ransom），提供关于攻击者的威胁情报，提供关于支付后果的见解，并提供关于攻击者与其他实体关联的信息。这些资源在组织考虑对敲诈企图的最有效响应时被证明是无价的。

CSH：安全如何领先于勒索软件敲诈？

JN： 这很大程度上是一场军备竞赛。网络攻击者不断探索提高其勒索软件敲诈策略有效性的方法。相反，防御者持续尽其所能进行准备和响应。一个主动的网络安全策略以领先于勒索软件威胁，涉及更好地理解其所有方面——攻击者、攻击向量、危害、支付机制等——并直接解决每个方面。

例如，已有案例显示执法部门追踪到攻击者并追回被敲诈的资金，并逮捕了攻击责任人。我们的研究基于这样的信念：只有通过对勒索软件敲诈带来的多样化危害有细致入微的理解，我们才能制定改进的政策和机制来应对这一普遍威胁。