跟上勒索软件：反勒索软件计划倡议(CRI) - 网安 - 专业的网络安全产业、社区、知识平台

本月早些时候，白宫主持了国际反勒索软件倡议(CRI)的第二次会议。

作为拜登政府推动的许多网络安全举措之一，CRI是合作伙伴和盟友“在勒索软件威胁的所有因素上开展国际合作”的论坛。

解决勒索软件威胁的各个方面一直是拜登政府在网络安全方面的主要早期目标。正如我的同事解释的那样，“美国政府已经开始利用一系列刑事、外交、经济和军事能力来打击持续的勒索软件威胁。”

这种整体政府的方法试图挫败和破坏网络犯罪分子及其基础设施，防止他们滥用金融系统，并让那些已经成为避风港的司法管辖区付出代价，同时还利用公私伙伴关系和外交来改善信息共享、风险意识和弹性。

这一焦点背后的理论是，勒索软件是相对较低的网络安全果实。相对来说，很少的人员要对大量的损失负责。让软件打补丁能有效防止这种情况。因此，这种想法是，一系列网络安全“冲刺”可能会带来很大的不同。

政府在这个问题上肯定很积极。美国财政部制裁了几家虚拟货币交易所，因为它们为清洗勒索软件计划收益的交易提供了便利。Conti和REvil勒索集团停止了业务。

当CRI于2021年10月首次召开会议时，30多个国家承诺共同采取行动降低勒索软件的风险。

然而，在与勒索软件的战争中，勒索软件至少还在坚守阵地。勒索软件即服务(RaaS)越来越受欢迎，使更多的参与者能够轻松地瞄准广泛的部门。

尽管网络安全方面的支出有所增加，但越来越多的公司报告称自己是事件的受害者，这一趋势预计将持续到明年。更新的勒索病毒正在出现。更多的事件被报道。支付的平均赎金比以往任何时候都高。

更令人担忧的是，双重勒索计划的广泛采用导致更多组织认为支付赎金可能对他们最有利。在双重勒索计划中，坏人在加密数据之前提取数据，并威胁将其公之于众。

为了开始评估政府当局毫无疑问的承诺的实际结果，我将努力描述国际研究中心规划的工作领域，并评估我们可以从他们的努力中期待什么。

反勒索软件倡议:一年来

在2021年的声明中，CRI承诺通过建立工作组来解决威胁的不同方面，采取多管齐下的方法来解决勒索软件。

这五个小组的任务是提高弹性，瓦解恶意行为者，解决被滥用来清洗勒索支付的金融机制，促进公私伙伴关系，以及利用外交手段。

每个工作组由不同的合作伙伴领导:立陶宛和印度领导复原力小组，澳大利亚领导破坏小组，英国和新加坡领导应对金融机制，西班牙负责公私伙伴关系，德国负责利用外交。

在他们各自的小组工作了一年后，CRI亲自开会讨论他们的成就，并提出了下一年的行动计划。

与上次会议不同的是，13家私营公司应邀参加了这次会议，“代表了不同的规模、区域范围和重点。”

这些公司是：

CrowdStrike、Mandiant、Cyber Threat Alliance、Microsoft、Cybersecurity Coalition、Palo Alto、Flexxon、SAP、Institute for Security and Technology、Siemens、Internet 2.0、Tata – TCS 和 Telefonica。

纳入私营部门行为者符合政府对改善公私伙伴关系以提高网络安全的关注。鉴于声明中的许多行动要点将取决于与私人行为者的合作，邀请他们在CRI发言是一个积极的发展。

2021年开始确定多边小组将应对的共同挑战和行动路线，现已发展成为更具体的交付品清单。

今年CRI的亮点包括:

创建由澳大利亚领导的国际反勒索特别工作组(ICRTF)。
利用立陶宛的区域网络防御中心作为“ICRTF的缩小版”,可以测试信息共享承诺。
推动一系列能力建设活动，包括发布应对勒索软件的工具包，试图制定预防和应对的"统一框架和准则"，以及举行反勒索软件演习和打击非法融资勒索软件讲习班。
促进CRI成员之间以及与私营部门的信息共享，内容涉及勒索软件工具和程序、用于清洗被勒索资金的系统以及反洗钱和打击资助恐怖主义标准的实施。
加强外交接触，应对跨论坛的勒索软件威胁。

2022年联合声明中概述的行动计划反映了信息共享和能力建设的重要性，重点是破坏网络犯罪分子用来清洗其计划所得的基础设施。

不断演变的威胁

所有这些行动听起来都是有益和有价值的。

问题是，尽管CRI一直在组织委员会和工作组，但勒索软件的坏行为者仍在继续开发针对受害者的工具和技术。CRI和其他相关倡议面临着严峻的挑战。

尽管取得了一些成功，对威胁的认识有所提高，网络安全支出增加，并建立了新的合作伙伴关系，但勒索软件的预测仍然看起来不妙。

碰巧的是，网络罪犯特别擅长适应新的网络安全措施。

根据网络安全公司Deep Instinct最近的一份报告，在微软决定默认禁用宏(恶意软件传递给受害者的最成功方式之一)后，网络犯罪分子迅速开始转向通过LNK文件等新方法丢弃恶意软件。

Fortinet的威胁情报小组将勒索软件变种的增加归因于RaaS产品的流行。

作为网络犯罪专业化的一个例子，RaaS允许运营商将勒索软件出租给“分支机构”或“合作伙伴”，然后由他们部署。

作为赎金分成的交换，更多的演员——不管他们有多老练——可以追捕他们的受害者。

弹性不仅仅是技术性的。虽然几个高知名度的勒索团体最近被解散了，如REvil或Conti团体，但它们很快就会以新的形式重新出现。

解散并以“干净”的身份重新出现并不少见，这给扰乱行动的目标增加了一层复杂性。

如果没有一个更新的国际框架或罪犯藏身的国家的合作，瓦解这些团伙更像是一场打地鼠游戏，而不是一场抓捕行动。

勒索软件团伙还成功地找到了激励受害者支付赎金的其他方法。双重和三重勒索是网络安全研究人员多年来一直警告的新趋势的一部分。

双重勒索现在是一种行之有效的方法。它是这样工作的:在加密文件之前，罪犯提取文件。如果受害者拒绝支付赎金，网络罪犯可以威胁公开这些数据。

例如，澳大利亚健康保险公司Medibank目前正冒着泄露其约970万客户数据的风险，与犯罪集团BlogXX(可能是也可能不是以前的REvil group)僵持不下。

过去，以这种方式泄露的数据包括敏感的个人信息、法拉利维修手册和学生的心理评估。

网络安全公司CrowdStrike的情报高级副总裁亚当·迈耶斯(Adam Meyers)警告说，这种方案在确保支付方面的效力是如此之大，“去年，82%的勒索软件参与者也开始转向数据勒索，我们甚至看到他们中的一些人正在放弃勒索软件”。

一些网络犯罪分子通过将他们的要求转向那些可能会受到泄露影响的人，进一步进行勒索。这叫三重敲诈。

在这里，提取的数据的敏感性被用来敲诈那些会受到披露影响的个人。

根据Meyers的说法，新的勒索水平使网络犯罪分子能够重新控制谈判，并改变赎金支付的计算方法。

用他的话说，“支付或不支付的计算在很大程度上取决于数据何时泄露，监管合规性和法律影响如何，因此与赎金要求相比，这可能是天文数字。”

美国和欧洲仍然是最受关注的地区。然而，根据一些报道，报告的勒索事件在那里正在减少，而在拉丁美洲却在增加。

根据2021年国际刑警组织网络威胁评估报告，非洲和东盟地区的事件正在增加。

鉴于大多数CRI成员是欧洲人(只有三个非洲国家、四个亚洲国家、三个拉丁美洲国家和两个中东国家参加了会议)，勒索病毒事件分布的变化将考验CRI的国际化程度。

虽然CRI的目标可能不是复制一个联合国大会，但缺乏代表性可能会损害其目标。降低对其他地区勒索软件趋势的可见性可能会阻碍实现提高对整体威胁环境的认识的目标。

强有力的能力建设努力以及与那些在技术和政策网络能力方面最为挣扎的国家的协调，有助于防止它们成为寻找简单目标的网络犯罪分子关注的焦点。

CRI的另一个目标是提高那些允许其领土成为罪犯避风港的国家的外交成本。

考虑到民族国家有时可能是勒索软件攻击的幕后黑手，利用漏洞来实现其政治目标，这一点变得更加重要。

好消息是外交界在网络战线上一直很活跃:政府现在拥有一系列工具来应对网络安全事件。

然而，当被视为安全港的国家(尤其是俄罗斯、中国和伊朗)不参与CRI时，是否能实现实质性的改变还有待观察。

鉴于当今的地缘政治背景，这是意料之中的。

但CRI可能需要直接应对这一挑战：在这种情况下，外交的目标是什么？

勒索软件最终对犯罪分子来说是一种有吸引力的冒险。

只要这种情况持续下去，新的战术、技术、程序和变种就会不断出现。

拜登政府已经明确表示，重点不应该仅仅是应对出现的网络安全威胁，而是建立防御和恢复能力。

这就是为什么看到美国领导的倡议如此关注应对威胁，而不是预防威胁，令人惊讶。

信息共享和经验教训将是有用的，但它们不会将勒索软件扼杀在萌芽状态。

CRI令人沮丧的一点是，它可能在建立官僚主义应对勒索软件方面比实际反击勒索软件更成功。

这可能反映了与30多个合作伙伴就任何事情达成一致的预期挑战。

鉴于这些数据，人们很容易对这些努力不屑一顾。

随着CRI进入第二年，它最具体的成果似乎是未来建立一个任务组。勒索软件仍然存在。

随着网络犯罪分子不断适应、改变他们的方法，并追逐更有可能付款的新目标，保持对新变种和趋势的了解至关重要。

CRI试图将自己塑造成一个反应机制，希望能瓦解一些坏人。

有可能它适合这项任务。如果该倡议至少被证明是一个能力建设的坚实平台，那将对整体环境产生积极影响。

这听起来不像快速跨国瓦解犯罪网络那样雄心勃勃，但它是变革得以发生的基础。