财务部门面临的勒索软件威胁

关键要点

• 财务部门是勒索软件攻击的主要目标。
• 勒索软件攻击策略日益复杂，包括双重勒索和针对支付平台的攻击。
• 零日漏洞的利用和Ransomware-as-a-Service（RaaS）模型的兴起使攻击环境更加复杂。
• 针对金融机构的攻击不仅仅为了经济利益，还可能出于政治动机。
• 安全团队可以采取多种措施减轻这些威胁。

随着勒索软件攻击的加剧，金融行业成为了攻击者青睐的目标。这是因为这一领域涉及高价值的金融数据、实时支付系统，以及其在全球经济中的重要角色。过去一年，威胁环境发生了明显变化，攻击者不断完善他们的策略，以最大程度地获取经济利益和运营中断。


针对金融机构的勒索软件事件增加，反映了攻击者行为的更广泛变化。攻击团伙不再仅限于基本的数据加密勒索，而是转向更复杂的方法，包括数据外泄、供应链破坏和针对交易及支付平台的精准打击。Ransomware- as-a-Service（RaaS）模型的崛起、零日漏洞的频繁使用以及国家支持的角色逐渐增加，进一步复杂化了这一威胁环境。

SC媒体观点专栏由SC媒体网络安全领域的可信社区专家撰写。

以下是塑造金融行业勒索软件威胁的五大趋势，以及安全团队可以采取的五个步骤以减轻风险并降低未来攻击的影响：

五大趋势

1. 双重与三重勒索成为常态：
   勒索软件运营商已经从简单的数据加密转向更具攻击性的勒索方式。双重勒索——攻击者不仅加密数据，还窃取敏感信息——已经成为标准策略。如果受害者拒绝支付，攻击者会威胁在暗网论坛上发布或出售被盗数据。三重勒索进一步增加了压力。在加密和盗取数据后，攻击者会联系客户、合作伙伴甚至监管机构以强迫支付。金融机构报告了多起案例，勒索软件操作者威胁直接联系高价值客户，警告他们如果不支付赎金，其个人财务数据将被泄露。例如，一家跨国投资银行近期遭遇攻击，攻击者加密了客户的敏感数据，并直接联系了几位大客户，迫使该银行支付1500万美元的赎金。
2. 针对支付和交易平台的精准攻击：
   勒索软件团伙逐渐开发出专门针对金融基础设施的恶意软件。高频交易系统、支付网关和实时清算平台成为了主要目标，因为即便是短期中断也可能导致显著的财务和声誉损失。在一起引人注目的案例中，勒索软件团伙针对了一家与SWIFT连接的支付处理商，导致交易数据被加密并中断了结算操作数小时。这次攻击导致严重的市场波动，并迫使该机构暂停交易活动。攻击的技术复杂性表明部分攻击可能与国家支持有关，或与对金融行业有深入了解的有组织犯罪团伙有关。
3. 零日漏洞的广泛使用：
   勒索软件运营商越来越依赖零日漏洞来获取金融网络的初始访问权限。与传统的钓鱼或社会工程攻击不同，部分勒索软件团伙会购买或开发零日漏洞以针对未打补丁的系统。一例案例涉及利用广泛使用的文件传输应用中的零日漏洞，攻击者利用该漏洞进入金融机构的内部网络，窃取敏感数据后再部署勒索软件加密关键系统。此攻击影响了多家大银行和支付处理商，赎金要求超过每家1000万美元。零日漏洞的利用让攻击者有了优势，因为可以绕过外围防御和终端保护工具。
4. 勒索软件作为毁灭性攻击的掩饰：
   某些针对金融部门的勒索软件攻击似乎具备地缘政治动机，而不仅仅是为了经济利益。在这些情况下，勒索软件充当了破坏性攻击的掩护，旨在破坏金融稳定。2024年初的一次毁灭性攻击中，攻击者加密了一个大型欧洲金融机构的系统，但没有提供解密密钥或赎金要求。进一步分析显示，该恶意软件旨在破坏数据，使恢复几乎不可能。该攻击被认为与一位以攻击关键基础设施闻名的国家赞助威胁演员有关。将勒索软件作为政治武器的使用反映了金融部门威胁与更广泛网络战争战略之间日益增加的重叠。
5. Ransomware-as-a-Service的增长：
   Ransomware-as-a- Service（RaaS）的崛起降低了勒索软件运营商的入门门槛，增加了针对金融机构的攻击数量和复杂性。RaaS模型使得即使是缺乏经验的威胁演员也能使用由更有经验的运营商提供的预构建恶意软件和基础设施发起勒索软件攻击。在RaaS模型下，勒索软件开发者将其恶意软件租赁给合作伙伴，换取赎金支付的一部分。这一模型导致勒索活动迅速扩散，有些威胁演员同时对多家金融机构发起协调攻击。一家最活跃的RaaS运营商在执法机构短暂干扰后迅速恢复运营。在几周内，该团伙对多家金融机构发起了一系列攻击，目标包括内部网络和第三方服务提供商。该团伙快速恢复并持续操作的能力，突显了RaaS生态系统的韧性。

针对安全团队的五个缓解步骤

金融部门的安全团队可以采取以下五种方式来减轻这些日益增长的威胁：

1. 实施零信任模型：
   零信任模型确保在持续验证后，系统和数据的访问仅在必要时给予，尽量减少初次访问漏洞的影响。具体措施包括：
2. 对所有系统和应用要求多因素身份验证（MFA）。
3. 遵循最小权限原则，仅授予访问所需的最低资源权限。
4. 实施网络分段，以控制潜在的横向移动。
5. 利用人工智能驱动的行为分析持续监测用户行为中的异常。
6. 增强终端检测和响应能力（EDR）：
   EDR工具在检测和隔离勒索软件活动方面发挥着重要作用。可以采取以下步骤：
7. 部署能够实时识别和隔离勒索软件行为的EDR工具。
8. 整合威胁情报源，以根据最新的攻击模式更新EDR规则。
9. 自动化响应协议，以隔离受到影响的系统并防止进一步损害。
10. 加强数据备份和恢复协议：
    可靠的备份和恢复协议减少了勒索软件运营商对受害者的勒索筹码。可采取以下措施：
11. 保持离线、不可篡改的关键数据备份。
12. 定期测试恢复程序，确保操作准备就绪。
13. 加密备份并实施版本控制，以防止数据损坏或篡改。
14. 修复漏洞并强化第三方安全：
    在使用之前先修复漏洞，可以减少勒索软件运营商的攻击面。可以采取以下步骤：
15. 优先修复面向Internet的系统和应用中的漏洞。
16. 定期进行渗透测试，以发现并弥补薄弱环节。
17. 通过严格的访问控制和合同安全要求限制第三方访问。
18. 制定全面的事件响应计划：
    有效的事件响应（IR）计划可以减少恢复时间并限制作业受到的影响。要制定稳固的IR计划：
19. 为勒索软件响应制定详细的行动指南，包括双重勒索和破坏性攻击。
20. 建立与监管机构、执法机构和受影响客户沟通的协议。
21. 定期进行红队演习，以测试响应程序的有效性。

针对金融部门的勒索软件攻击日益精准和复杂，双重勒索、零日利用和国家支持运营的增长是主要推动因素。金融机构需通过以下方式进行适应：采用零信任架构、增强EDR能力、加强事件响应规划。

金融部门的战略重要性使其成为犯罪和国家支持行为者的高价值目标。RaaS模型的崛起和零日漏洞的可用性日益增加，可能会进一步推动勒索软件活动的升级。通过主动应对这些威胁，金融机构可以降低操作中断、经济损失和声誉损害的风险。

Callie Guenther，网络威胁研究高级经理，Critical Start

SC媒体观点专栏由SC媒体网络安全领域的可信社区专家撰写。每一篇贡献旨在为重要的网络安全话题带来独特的声音。内容力求高质量、客观且不以商业为目的。