勒索软件幕后经济链条分析
2022-6-18 11:45:0 Author: www.4hou.com(查看原文) 阅读量:16 收藏

微信截图_20220504122516.png

勒索软件攻击呈上升趋势,但很少有人了解除了最初的勒索赎金之外的隐藏成本。这可能包括响应和恢复费用、法律费用和监控费用。近日,一位乌克兰研究人员为了打击入侵本土的攻击者,把自己的Twitter名字改为“ContiLeaks”,更让人意想不到的是,他还故意把Conti勒索软件源代码泄露在Twitter上。这个代码一经发布,吸引许多黑客、其它勒索软件团伙和安全研究人员采用该软件的源代码来进行各种各样的操作,一时之间便在网上引起了轩然大波。

这些勒索软件组织的复杂性甚至涉及受害者的目标以及如何确定赎金多少以及他们使用的谈判技术以获得最大的经济利益。幸运的是,通过制定明确的响应和缓解计划,各类组织已经意识到勒索软件的威胁。事实上,勒索软件攻击的持续时间正在缓解。

然而,攻击者总是会提高他们的攻击水平并寻找新的方法来造成严重破坏。

CheckPointResearch(CPR)监测到全球遭受勒索软件攻击的组织同比增长24%。

多年来,攻击者一直在不断完善其攻击流程,并开发了与受害者谈判的复杂技术,目的是要求受害者能交付要来越高的赎金。为了展示勒索软件两个方面技术迭代的真实情况,即从受害者和攻击者的角度,我们使用以下信息源来支持我们的见解:

受害者的损失——Kovrr的网络事件数据库包括有关过去网络事件及其财务影响的数据。

攻击者的利润——来自ContiLeaks的信息,作为勒索赎金动态变化的过程。

在这项研究中,我们发现虽然赎金的多少通常基于受害者的年收入,但可能会因许多因素而异。这项研究还将展示攻击者如何定义初始赎金需求,并从攻击者的角度展示成功谈判勒索软件的基本规则:

对受害者财务状况的准确估计;

从受害者那里窃取的数据价值;

勒索软件组织以往的声誉;

受害者是否有网络保险;

受害者谈判代表的方式和利益。

该研究还显示,勒索软件攻击的持续时间(从最初的攻击到恢复正常业务)在2017年至2020年期间稳步上升,达到平均15天的峰值,但在2021年下降到平均9.9天。此外,与受害者遭受的其他损失相比,勒索成本是微不足道的。大多数其他损失,包括响应和恢复成本、法律费用、监控成本等,无论是否满足了勒索要求,都是这样的情况。2020年的数据显示,一次勒索软件攻击的平均总成本比支付的平均赎金高出7倍多。

1-1.jpg

勒索软件攻击的赎金变化

这项研究探讨了勒索软件攻击的两个对立面——受害者和攻击者。为了展示这两个方面,我们使用了一种新的研究方法。

在研究中,我们使用了Kovrr的网络事件数据库,重点关注受害者的财务影响。Kovrr维护一个广泛的网络数据库,其中包含有关网络事件及其财务影响、产品漏洞和漏洞利用的最新信息,以及关于受损和暴露资产的数据。该数据库使用了多种来源,包括公共的和专有的,这些来源包括但不限于保险数据提供商、暗网监控、监管罚款和上市公司的信息披露。

当我们着眼于网络罪犯方面赎金要求的考虑和动态时,我们使用了来自Conti组织泄密的数据。

攻击者——勒索赎金

通过分析Conti群的聊天记录,Conti拥有100多名员工,可以说是一个大公司、全流程作业。

Conti的谈判组织负责与受害者交谈,协商赎金支付,在Conti泄密网站上撰写有关受害者的博客文章,并最终在满足赎金要求时提供解密软件。他们的内部沟通揭示了他们谈判过程的内部运作。

接下来,我们将重点关注Conti操作的赎金索要过程,这一部分,包括谈判过程、如何确定赎金水平以及可以采取哪些措施来得到赎金。

最初的赎金要求

勒索谈判成功的最重要因素之一是确定一个现实的要价——一个受害者和攻击者都愿意接受的价格。

这对Conti组织尤其重要,他们可以在任何时间处理数百起赎金事件。和一般的组织一样,Conti的谈判组织要处理的任务太多,人手也不够。赎金运营商希望赎金事件尽快结束,而一开始的合理要价可以大大缩短谈判过程。以下是Conti组织受害者索要赎金的几个示例:

2.webp.jpg

从上表中,我们可以看到,Conti组织在计算初始赎金需求时并没有对每个受害者使用相同的公式,而是直接基于受害者从ZoomInfo和DNB等公共来源获得的估计收入。这些示例中的平均赎金需求约为受害者年收入的2.82%。然而,趋势是受害者的年收入越高,要求的收入百分比就越低,因为该百分比将代表更高的赎金。

以下是一位名为pumba的Conti操作员和他的名为tramp的组织负责人之间的交流,表明很难就初始赎金要求达成一致:

3.webp.jpg

Conti成员决定初始赎金要求

谈判过程

赎金谈判是一个动态过程,但通常有五个主要步骤,正如我们从Conti聊天日志中观察到的那样。

第1步:威胁受害者

在开始谈判之前,Conti运营商会仔细检查从受害公司窃取的数据,以找到最敏感的文件作为谈判筹码。随后,他们将这些文件上传到ContiNews泄密网站的一篇私人博客文章中,并威胁受害者说,如果不付款,这些文件将被公开。

4.webp.jpg

攻击成功后发送给受害公司的消息示例

第2步:快速支付赎金就会获得折扣

Conti组织通常会为愿意在几天内支付赎金的受害者提供20-25%的折扣。

5.webp.jpg

Conti为快速付款的“客户”提供折扣

6.webp.jpg

提供25%的折扣

第3步:谈判

受害者通常会让第三方谈判者代表他们进行谈判,并对他们为什么不能支付赎金或为什么需要很长时间提出各种解释。在这个阶段,受害者可能会要求额外的“折扣”。

7.webp.jpg

Conti代表之间的谈判示例以及受害者要求折扣和延期付款

8.webp.jpg

受害者试图谈判价格的另一个示例

第4步:再次威胁

如果受害者不愿意支付,Conti组织将开始将受害者的一小部分机密文件上传到他们的泄密网站,并将博客公开。在某些情况下,这会促使受害者支付赎金。

9.webp.jpg

Conti泄漏受害者部分数据的示例

第5步:达成协议或数据转储

在谈判的最后阶段,Conti组织和受害者双方达成协议,或者将所有机密数据上传到Conti泄密网站。

10.webp.jpg

成功谈判的结论示例

受害者的支付能力

Conti组织利用ZoomInfo和DNB的数据集来评估受害者的年收入。有时,这些列表只是估计值,与受害者的实际收入不匹配,进而导致谈判出现问题。Conti的组织还在被盗信息中寻找银行记录的证据,以更好地了解受害者的现金储备。

泄露的受害者数据的质量

Conti组织既泄露数据又加密目标系统。有时,加密只是部分的,不影响关键系统。在其他时候,他们窃取的数据是非关键的。在这种情况下,Conti的运营商在谈判过程中会更加灵活。

Conti在行业里的名声

勒索软件组织的名声也是至关重要的,这是受害者是否支付赎金的关键依据。如果受害者知道Conti组织不提供解密器,或者Conti应该公开或转售机密信息,这可能会极大地阻止未来的受害者付款。Conti组织似乎非常重视其声誉。

网络保险

Conti的组织还将查看被盗数据,以查找与网络保险有关的任何文件。Conti更喜欢有网络保险的目标,因为支付赎金目标概率更高。

受害者的谈判代表

在赎金谈判过程中,受害者通常会雇佣第三方赎金谈判团队来处理与Conti运营商的谈判。在某些情况下,可以不进行谈判。

11.webp.jpg

Conti向受害者提供说明

受害者——将被攻影响降至最低

攻击持续时间

勒索攻击迫使业务中断,这是由于部分或全部业务因攻击而无法运营。这可能是由于对关键服务器、数据库或员工端点进行了加密。在一些引人注目的勒索软件攻击中,这种影响非常明显,并给受害组织及其客户造成了严重的问题。,比如:

1.以色列的Hillel Yafe医院于2021年10月遭到袭击,业务中断数周。

2.在2022年3月1日遭到勒索软件攻击后,丰田停止了部分生产设施的运营。

基于Kovrr广泛的网络事件数据库,其中包括每年数千起勒索软件事件的数据,我们能够确定由勒索软件攻击引起的业务中断的平均时间和中位数。攻击持续时间(以天为单位)如下图所示。持续时间定义为从勒索软件攻击本身开始到受害者报告的正常操作恢复之间的时间。

12.webp.jpg

勒索软件攻击平均持续时间(以天为单位)

从数据来看,很明显,勒索软件攻击的平均持续时间从2017年到2020年稳步上升,然后在2021年下降。我们认为,2020年的峰值和2021年的下降主要是由于始于2020年的双重勒索攻击增多。这些攻击让组织措手不及,导致攻击者和受害者之间进行了长时间的谈判。随着这一趋势越来越流行,并持续到2021年,各组织制定了更好的应对计划,以减轻勒索软件事件,从而降低了攻击的持续时间。

此外,在2017年至2020年期间,勒索软件攻击的增加可以归因于这样一个事实,即勒索软件越来越多地采用大型攻击策略,即针对整个组织,而不是个人电脑。这导致了业务中断时间的延长,因为与个人或小型企业相比,大型组织可能会遭受更大的损害,而大型企业运营的复杂性意味着需要更长的时间来恢复其系统。

上图还表明,2017年至2018年期间的中值持续时间有所下降,这是因为2018年有许多短期事件,这降低了中位数。

谈判的重要性

根据Kovrr的数据,包括每年数千个相关案例,我们可以从2019年开始,对平均勒索需求与平均勒索付款的比率进行分析

13.webp.jpg

勒索平均需求的比率

2019-2021年的平均勒索金额

我们可以从图中看到,在勒索软件攻击中总是有协商的余地,这在Conti案例中非常明显。我们还可以看到,与2019年相比,2020年和2021年的勒索付款出现了很大的“折扣”。

我们认为造成这种情况的原因是:

1.各组织正在实施有效的勒索软件响应计划,其中包括付款谈判阶段。

2.自2020年以来,双重勒索和大目标攻击战术越来越多,这意味着勒索软件的目标是大型组织,而不是2020年前的小公司或个人。

此外,正如Conti案例研究所述,在2020年至2021年期间,勒索支付与需求之比略有上升,这可以归因于勒索软件使用者在计算勒索需求方面变得更加高效。

很明显,由于勒索软件攻击造成的业务中断会使受害组织遭受重大损失。在下一节中,我们将研究勒索软件攻击的总体财务影响,包括业务中断的影响,并重点关注特定的引人注目的案例。

成本分析

勒索软件攻击的财务影响包括几个部分:明显的勒索成本(在支付赎金的情况下)、响应和恢复成本、法律费用、监控和其他成本。无论勒索要求是否得到支付,这些要素中的大部分都适用。

使用这些数据,我们想回顾几个显示勒索软件攻击的财务影响的关键示例,而不是勒索成本:

14.webp.jpg

这些只是不同行业的一些例子,说明勒索软件攻击的影响并不局限于勒索成本,但在许多情况下,勒索成本与受害者遭受的其他损失相比只是微不足道的。

当从这个角度分析勒索软件攻击时,我们能够量化勒索成本和攻击总成本之间的差异。

下面我们给出了平均总攻击成本与基于每年数千起案件的平均赎金支付之间的比率:

15.webp.jpg

平均攻击总成本与攻击总成本之间的比率以及2019-2020年期间的平均赎金支付

我们可以从上图看出,勒索金额只是勒索软件攻击总成本的一部分,平均而言,攻击的所有其他费用都会超过勒索成本。另一个观察结果是,2020年发生的额外成本的比例远高于2019年。我们认为这是由于双重勒索和攻击大型目标的兴起。

本文翻译自:https://research.checkpoint.com/2022/behind-the-curtains-of-the-ransomware-economy-the-victims-and-the-cybercriminals/如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/WoZW
如有侵权请联系:admin#unsafe.sh