跟上勒索軟件:反勒索軟件計劃倡議(CRI)
本月早些時候,白宮主持了國際反勒索軟件倡議(CRI)的第二次會議。
作為拜登政府推動的許多網絡安全舉措之一,CRI是合作伙伴和盟友“在勒索軟件威脅的所有因素上開展國際合作”的論壇。
解決勒索軟件威脅的各個方面一直是拜登政府在網絡安全方面的主要早期目標。正如我的同事解釋的那樣,“美國政府已經開始利用一系列刑事、外交、經濟和軍事能力來打擊持續的勒索軟件威脅。”
這種整體政府的方法試圖挫敗和破壞網絡犯罪分子及其基礎設施,防止他們濫用金融系統,并讓那些已經成為避風港的司法管轄區付出代價,同時還利用公私伙伴關系和外交來改善信息共享、風險意識和彈性。
這一焦點背后的理論是,勒索軟件是相對較低的網絡安全果實。相對來說,很少的人員要對大量的損失負責。讓軟件打補丁能有效防止這種情況。因此,這種想法是,一系列網絡安全“沖刺”可能會帶來很大的不同。
政府在這個問題上肯定很積極。美國財政部制裁了幾家虛擬貨幣交易所,因為它們為清洗勒索軟件計劃收益的交易提供了便利。Conti和REvil勒索集團停止了業務。
當CRI于2021年10月首次召開會議時,30多個國家承諾共同采取行動降低勒索軟件的風險。
然而,在與勒索軟件的戰爭中,勒索軟件至少還在堅守陣地。勒索軟件即服務(RaaS)越來越受歡迎,使更多的參與者能夠輕松地瞄準廣泛的部門。
盡管網絡安全方面的支出有所增加,但越來越多的公司報告稱自己是事件的受害者,這一趨勢預計將持續到明年。更新的勒索病毒正在出現。更多的事件被報道。支付的平均贖金比以往任何時候都高。
更令人擔憂的是,雙重勒索計劃的廣泛采用導致更多組織認為支付贖金可能對他們最有利。在雙重勒索計劃中,壞人在加密數據之前提取數據,并威脅將其公之于眾。
為了開始評估政府當局毫無疑問的承諾的實際結果,我將努力描述國際研究中心規劃的工作領域,并評估我們可以從他們的努力中期待什么。
反勒索軟件倡議:一年來
在2021年的聲明中,CRI承諾通過建立工作組來解決威脅的不同方面,采取多管齊下的方法來解決勒索軟件。
這五個小組的任務是提高彈性,瓦解惡意行為者,解決被濫用來清洗勒索支付的金融機制,促進公私伙伴關系,以及利用外交手段。
每個工作組由不同的合作伙伴領導:立陶宛和印度領導復原力小組,澳大利亞領導破壞小組,英國和新加坡領導應對金融機制,西班牙負責公私伙伴關系,德國負責利用外交。
在他們各自的小組工作了一年后,CRI親自開會討論他們的成就,并提出了下一年的行動計劃。
與上次會議不同的是,13家私營公司應邀參加了這次會議,“代表了不同的規模、區域范圍和重點。”
這些公司是:
CrowdStrike、Mandiant、Cyber Threat Alliance、Microsoft、Cybersecurity Coalition、Palo Alto、Flexxon、SAP、Institute for Security and Technology、Siemens、Internet 2.0、Tata – TCS 和 Telefonica。
納入私營部門行為者符合政府對改善公私伙伴關系以提高網絡安全的關注。鑒于聲明中的許多行動要點將取決于與私人行為者的合作,邀請他們在CRI發言是一個積極的發展。
2021年開始確定多邊小組將應對的共同挑戰和行動路線,現已發展成為更具體的交付品清單。
今年CRI的亮點包括:
- 創建由澳大利亞領導的國際反勒索特別工作組(ICRTF)。
- 利用立陶宛的區域網絡防御中心作為“ICRTF的縮小版”,可以測試信息共享承諾。
- 推動一系列能力建設活動,包括發布應對勒索軟件的工具包,試圖制定預防和應對的"統一框架和準則",以及舉行反勒索軟件演習和打擊非法融資勒索軟件講習班。
- 促進CRI成員之間以及與私營部門的信息共享,內容涉及勒索軟件工具和程序、用于清洗被勒索資金的系統以及反洗錢和打擊資助恐怖主義標準的實施。
- 加強外交接觸,應對跨論壇的勒索軟件威脅。
2022年聯合聲明中概述的行動計劃反映了信息共享和能力建設的重要性,重點是破壞網絡犯罪分子用來清洗其計劃所得的基礎設施。
不斷演變的威脅
所有這些行動聽起來都是有益和有價值的。
問題是,盡管CRI一直在組織委員會和工作組,但勒索軟件的壞行為者仍在繼續開發針對受害者的工具和技術。CRI和其他相關倡議面臨著嚴峻的挑戰。
盡管取得了一些成功,對威脅的認識有所提高,網絡安全支出增加,并建立了新的合作伙伴關系,但勒索軟件的預測仍然看起來不妙。
碰巧的是,網絡罪犯特別擅長適應新的網絡安全措施。
根據網絡安全公司Deep Instinct最近的一份報告,在微軟決定默認禁用宏(惡意軟件傳遞給受害者的最成功方式之一)后,網絡犯罪分子迅速開始轉向通過LNK文件等新方法丟棄惡意軟件。
Fortinet的威脅情報小組將勒索軟件變種的增加歸因于RaaS產品的流行。
作為網絡犯罪專業化的一個例子,RaaS允許運營商將勒索軟件出租給“分支機構”或“合作伙伴”,然后由他們部署。
作為贖金分成的交換,更多的演員——不管他們有多老練——可以追捕他們的受害者。
彈性不僅僅是技術性的。雖然幾個高知名度的勒索團體最近被解散了,如REvil或Conti團體,但它們很快就會以新的形式重新出現。
解散并以“干凈”的身份重新出現并不少見,這給擾亂行動的目標增加了一層復雜性。
如果沒有一個更新的國際框架或罪犯藏身的國家的合作,瓦解這些團伙更像是一場打地鼠游戲,而不是一場抓捕行動。
勒索軟件團伙還成功地找到了激勵受害者支付贖金的其他方法。雙重和三重勒索是網絡安全研究人員多年來一直警告的新趨勢的一部分。
雙重勒索現在是一種行之有效的方法。它是這樣工作的:在加密文件之前,罪犯提取文件。如果受害者拒絕支付贖金,網絡罪犯可以威脅公開這些數據。
例如,澳大利亞健康保險公司Medibank目前正冒著泄露其約970萬客戶數據的風險,與犯罪集團BlogXX(可能是也可能不是以前的REvil group)僵持不下。
過去,以這種方式泄露的數據包括敏感的個人信息、法拉利維修手冊和學生的心理評估。
網絡安全公司CrowdStrike的情報高級副總裁亞當·邁耶斯(Adam Meyers)警告說,這種方案在確保支付方面的效力是如此之大,“去年,82%的勒索軟件參與者也開始轉向數據勒索,我們甚至看到他們中的一些人正在放棄勒索軟件”。
一些網絡犯罪分子通過將他們的要求轉向那些可能會受到泄露影響的人,進一步進行勒索。這叫三重敲詐。
在這里,提取的數據的敏感性被用來敲詐那些會受到披露影響的個人。
根據Meyers的說法,新的勒索水平使網絡犯罪分子能夠重新控制談判,并改變贖金支付的計算方法。
用他的話說,“支付或不支付的計算在很大程度上取決于數據何時泄露,監管合規性和法律影響如何,因此與贖金要求相比,這可能是天文數字。”
美國和歐洲仍然是最受關注的地區。然而,根據一些報道,報告的勒索事件在那里正在減少,而在拉丁美洲卻在增加。
根據2021年國際刑警組織網絡威脅評估報告,非洲和東盟地區的事件正在增加。
鑒于大多數CRI成員是歐洲人(只有三個非洲國家、四個亞洲國家、三個拉丁美洲國家和兩個中東國家參加了會議),勒索病毒事件分布的變化將考驗CRI的國際化程度。
雖然CRI的目標可能不是復制一個聯合國大會,但缺乏代表性可能會損害其目標。降低對其他地區勒索軟件趨勢的可見性可能會阻礙實現提高對整體威脅環境的認識的目標。
強有力的能力建設努力以及與那些在技術和政策網絡能力方面最為掙扎的國家的協調,有助于防止它們成為尋找簡單目標的網絡犯罪分子關注的焦點。
CRI的另一個目標是提高那些允許其領土成為罪犯避風港的國家的外交成本。
考慮到民族國家有時可能是勒索軟件攻擊的幕后黑手,利用漏洞來實現其政治目標,這一點變得更加重要。
好消息是外交界在網絡戰線上一直很活躍:政府現在擁有一系列工具來應對網絡安全事件。
然而,當被視為安全港的國家(尤其是俄羅斯、中國和伊朗)不參與CRI時,是否能實現實質性的改變還有待觀察。
鑒于當今的地緣政治背景,這是意料之中的。
但CRI可能需要直接應對這一挑戰:在這種情況下,外交的目標是什么?
勒索軟件最終對犯罪分子來說是一種有吸引力的冒險。
只要這種情況持續下去,新的戰術、技術、程序和變種就會不斷出現。
拜登政府已經明確表示,重點不應該僅僅是應對出現的網絡安全威脅,而是建立防御和恢復能力。
這就是為什么看到美國領導的倡議如此關注應對威脅,而不是預防威脅,令人驚訝。
信息共享和經驗教訓將是有用的,但它們不會將勒索軟件扼殺在萌芽狀態。
CRI令人沮喪的一點是,它可能在建立官僚主義應對勒索軟件方面比實際反擊勒索軟件更成功。
這可能反映了與30多個合作伙伴就任何事情達成一致的預期挑戰。
鑒于這些數據,人們很容易對這些努力不屑一顧。
隨著CRI進入第二年,它最具體的成果似乎是未來建立一個任務組。勒索軟件仍然存在。
隨著網絡犯罪分子不斷適應、改變他們的方法,并追逐更有可能付款的新目標,保持對新變種和趨勢的了解至關重要。
CRI試圖將自己塑造成一個反應機制,希望能瓦解一些壞人。
有可能它適合這項任務。如果該倡議至少被證明是一個能力建設的堅實平臺,那將對整體環境產生積極影響。
這聽起來不像快速跨國瓦解犯罪網絡那樣雄心勃勃,但它是變革得以發生的基礎。
