使用数据科学了解勒索软件
AI智能总结
决策者需要了解的有关勒索软件风险的信息 数据科学应用于勒索软件生态系统分析 弗拉基米尔·克罗波托夫、松川北井、罗伯特·麦卡德尔、费奥多尔·雅罗奇金、松谷真吾趋势科技的研究 艾琳·伯恩斯,Eireann莱弗里特特洛皮分析 内容 发现06 结论58 发表的 趋势科技的研究 写的 弗拉基米尔·克鲁波托夫、松川北井、罗伯特·麦卡德尔、费奥多尔·亚罗奇金、松谷真吾趋势科技研究 艾琳·伯恩斯 ,Eireann莱弗里特特洛皮分析 MicrosoftAzure上的无服务器安全性状态 71年第2页 勒索软件是一种网络威胁,受影响的企业可以立即看到其影响。大多数勒索软件攻击都专注于经济利益,并利用丢失关键业务信息的风险作为勒索手段。近年来,勒索软件运营商的攻击和勒索方法的成熟度、能力和复杂性都发生了重大变化——在某些情况下,现在可以与许多民族国家高级持续性威胁(APT)组织相媲美甚至表现更好。成本也增加了,现在攻击的损失通常以数百万美元计。 本研究论文是趋势科技和WaratahAnalytics(一家数据建模,风险分析和敞口管理服务提供商)的共同努力。它使用数据科学方法分析现代勒索软件生态系统,并利用从基于网络和基于主机的遥测、地下论坛、比特币和金融交易以及聊天日志中收集的信息,以及对犯罪业务流程的深入分析,以发现勒索软件生态系统中的趋势、新发展和瓶颈。在进行这项研究时,我们发现仅靠这些数据源中的任何一个都不足以理解和缓解勒索软件问题。相反,只有通过整体方法和从尽可能多的角度检查现有数据,才能真正了解这个生态系统。 需要注意的是,本文的目标是帮助能够大规模保护系统免受勒索软件侵害的决策者和实体(如安全行业、政府和政策制定者)就如何最好地对勒索软件生态系统产生影响形成防御策略。虽然本文不关注企业在部署时会寻求的动手技术防御,但它确实旨在为决策者提供了解组织面临的这种威胁的风险水平的方法。 介绍 勒索软件的演变是一个有趣的故事,与整个网络犯罪的专业化相似。勒索软件攻击最初是非常原始的、机会主义的,并且十年前针对随机计算机,只需支付少量费用,近年来已演变成一种主要威胁,其复杂性、影响和规模接近APT的水平。随着时间的推移,犯罪业务流程得到了改进,犯罪行动的预算与支持勒索软件行动的犯罪服务的价格一起大幅上涨。要求的赎金金额从最初的几十美元增加到数千美元。十年前,获取受害者资产的成本通常在1美元左右,商业模式因地区而异,因为它们取决于每个地区或国家可用的支付方式。然而,比特币的出现导致了勒索软件攻击的全球化。 加密货币使人们能够接收来自任何国家的付款。这在规模方面将勒索软件攻击推向了一个新的水平。平均赎金规模上升到数百甚至数千美元。也有迹象表明,勒索软件领域的专业人员越来越多,这是基于他们对行业或国家/地区的受害者访问的分类。结果,访问成本增加到数十甚至数百美元。此外,这些更现代的勒索软件攻击经常成为目标,威胁行为者有预谋地针对特定的组织或个人。 近年来,勒索软件操作发展到新的复杂程度,现在具有针对性攻击的所有关键迹象:准确的规划和执行、广泛的可用资源、持久性和大量预算。所有这些特征都可以与国家资助的行为者相提并论。事实上,有相当多的猜测认为,一些勒索软件行为者实际上可能得到了国家支持的威胁行为者的支持。对于现代勒索软件事件,其影响是立即可见的,通常会导致关键业务流程中断,并对受害组织产生重大财务影响。这是与其他类型的针对性攻击(如工业间谍活动)的关键区别,在工业间谍活动中,影响并不总是立即可见。 虽然与勒索软件相关的大多数威胁报告都集中在从事件和检测遥测中收集的攻击的技术指标上,并通过对攻击者的网络基础结构的分析来丰富,但我们发现还有其他同样有价值的数据源可用于分析勒索软件活动和组。 现代勒索软件操作是一个复杂的过程,通常涉及来自其他地下行为者的服务和交互。其中一些参与者提供资产托管等服务,1访问一个特定的受害者的基础设施,2与受害者协商,或实现横向移动攻击阶段,而其他人可能提供基本功能,如工具、二进制加密服务等。这些参与者之间的通信在地下论坛和信使平台上进行。此通信的上下文可以提供有关犯罪分子交互、其业务流程和运营成本的宝贵信息。此外,这为研究人员进一步的参与者开源情报(OSINT)分析提供了宝贵的支点。由于使用区块链进行金融交易的事实可以公开追踪,因此可以研究勒索软件操作的财务方面。勒索软件组织创建的泄漏站点还会暴露受害者的姓名,并提供有关攻击规模和速度的信息,这有助于估计特定勒索软件组织的规模、复杂性和可用资源。 对于我们的研究,我们决定使用多个数据源来分析信息,这些数据源共同提供战略、战术、运营和技术威胁情报,以识别不太明显的趋势并找到更复杂的相关性。 在不同的数据源和知识域之间。我们使用机器学习算法和数据可视化方法来分析勒索软件组的活动,这有助于我们发现趋势、目标范围的变化、隐藏协作的迹象以及勒索软件组业务流程之间的相似性。通过这种方式,我们能够确定跟踪勒索软件参与者的其他选项和技术。作为这些数据科学实验的结果,我们能够提供威胁参与者指标列表,可用于比较勒索软件组、估计风险和对威胁参与者行为进行建模。关于所用数据来源和所用技术的更多详情,见本报告附录。 各种数据泄漏 金融交易 地下论坛 战略 战术 盈利策略 操作 技术 检测遥测 业务流程 网络基础设 施 二进制文件 图1.使用的数据源及其提供的威胁情报类型 本文的重点不是攻击者的方法,而是提供案例研究,以说明有关勒索软件组织如何操作和实施攻击的宝贵发现,这反过来又有助于量化勒索软件泄露所涉及的风险。我们还分享了决策者可以考虑的关键要点,以改善对其关键基础设施的保护。最后,通过我们的研究,我们确定了勒索软件行为者在运行日常运营或支付赎金时面临的某些困难。 案例研究发现 本节重点介绍使用应用于本研究中使用的多个勒索软件相关数据源的各种技术得出的有价值的发现、依赖关系和趋势。这包括对勒索软件受害者的分析,并根据其地理位置或目标行业查看异常值,以确定哪些目标较少、最有针对性的以及随时间的变化或趋势。它还包括与攻击者操作相关的见解:运营成本、附属公司之间勒索软件攻击的利润分配、根据受害者的个人资料计算初始赎金大小,以及攻击者在谈判期间利用什么向受害者施加压力。 除此之外,本节还介绍了勒索软件团伙利用的关键技术和漏洞。最后,它提供了对2022年勒索软件组织高低活动期的估计,从而深入了解何时对组织的IT或信息安全环境进行更改或安全团队只是休假更安全。我们希望从本节中学到的知识可以帮助组织审查自己的风险状况,并更好地了解他们寻求保护自己的对手。 根据赎金支付状态分配受害者 分析方法 在这项研究中,受害者的信息被发布在Conti和LockBit的泄漏站点上,后来从泄漏站点中删除(版本 分别为2.0和3.0)假定已支付赎金(以下简称已付案件),根据该支付率计算赎金支付率。在研究期间,1,716名受害者档案中有274份失踪。根据此数据源,赎金支付率约为16%,但应该注意的是,该比率会因其他勒索软件系列而异。为了可视化付费案件的趋势,根据受害者的原籍国、商业行业和员工人数进一步分析了受害者。然后处理相应的数据以识别异常值,特别是使用具有第一自由度的卡方检验和具有显著差异的数据(p值为 <=0.05的数据)。我们将在以下小节中更详细地解释这一点。请务必注意,我们从结果中排除了样本少于5个的项目,因为样本数量被认为不足。 使用卡方测试评估 卡方检验确定在更具体的数据集(即按地区或业务类型)中,我们的平均勒索软件支付率(16%)与勒索软件支付率之间是否存在统计上的显著差异。以下小节重点介绍了数据在行业、地区和国家之间的分布方式,以及哪些国家和行业似乎是主要趋势中的异常值。这意味着即使考虑到自然差异,一些国家和垂直行业也比其他国家和垂直行业更有可能支付赎金。 分析结果 根据原籍国的分析,非洲地区的赎金支付率最高,为34.8%,比所有国家的平均水平高出18.8%。另一方面,欧洲国家的赎金支付率最低,为 11.1%,比平均水平低约5%。北美和亚洲等其他地区的赎金支付率- 太平洋地区的支付率略高于平均水平,分别为17.1%和18.9%,而中东地区的支付率最低,为8.3%。然而,北美和亚太地区的卡方检验结果没有显示出显著差异,这与欧洲和非洲的卡方检验结果不同,欧洲和非洲的卡方检验结果均低于0.05,如导言中所述。 地区 赎金率(%) 卡方测试假定值 欧洲 11.1 0.0004 非洲 34.8 0.0131 表1.按地区和卡方检验p值划分的赎金支付率列表 至于各国的支付率,南非和秘鲁分别保持了50%和60%的高值。尽管这些数字可能是由于样本数量较少,但与其他国家相比,这些国家/地区的组织也可能具有支付赎金的积极趋势。其他国家,如美国和日本,支付率分别为16.8%(高于平均水平)和13.3%(低于平均水平),但其卡方检验p值并未表明存在显著差异。 国家 赎金率(%) 卡方测试假定值 南非 50 0.008 秘鲁 60 0.007 表2.按国家/地区和卡方检验p值划分的赎金支付率列表 行业分析结果显示,只有金融业有23.8%的显著差异,比所有行业的平均水平高出7.8%,因此可以推测与其他行业相比,金融业有支付赎金的积极倾向 。医疗保健、政府管理和教育等其他行业的赎金支付率低于平均水平,分别为13.3%、10.2%和8.3%。另一方面,法律行业的缴费率为21.3%,略高于平均水平。然而,卡方检验p值并未表明这些行业的显著差异。 行业 赎金率(%) 卡方测试假定值 金融 23.8 0.015 表3.按行业和卡方检验p值划分的赎金支付率 多名员工的分析结果证实,员工人数超过10,000人的组织的赎金支付率低于平均水平5.9%。这可能表明组织的规模可能会对支付赎金的趋势产生负面影响。拥有其他员工数量的组织的赎金支付率在12%到18%之间,其中卡方检验p值未指示显著差异。 员工人数 赎金率(%) 卡方测试假定值 超过10001 5.9 0.046 表4.按员工人数和卡方检验p值划分的赎金支付率 按原籍国分析的结果与按行业分析(重点是美国的法律和金融行业)相结合,显示赎金支付率非常高,分别为27.3%和25.9%,比平均水平高出10%以上。另一方面,美国制造业的赎金支付率较低,为2.4%,比平均水平低约13.5%。该研究还证实,赎金支付率因同一国家/地区的行业而异。 国家 行业 赎金率(%) 卡方测试假定值 美国 制造业 2.4 0.017 金融 25.9 0.042 法律服务 27.3 0.020 表5.按国家、行业和卡方检验p值划分的赎金支付率列表 按国家/地区分析的结果与员工人数相结合,表明西班牙员工人数在11至50之间的组织显示出57.1%的高赎金支付率,比平均水平高出约41%。尽管此数据可能是由 于样本数量较少,但这也可能表明,赎金支付率相对较低的欧洲可能具有高赎金支付率的组织,具体取决于员工数量。欧洲的组织赎金支付率超过30%在意大利可见,员工人数从1,001到5,000不等,赎金支付率为30%;法国,员工人数从2人到10人不等,赎金支付率为33.3%;瑞士的员工人数从51人到200人不等,赎金支付率为33.3%。然而,卡方检验p值并未表明存在显著差异。 国家 员工人数 赎金率(%) 卡方测试假定值 西班牙 11–50 57.1 0.003 表6.按国家/地区、员工人数和卡方检验p值划分的赎金支付率 当根据商业行业分析受害者数据并结合员工人数时,在拥有201至500名员工的金融企业中可以看到高赎金支付率,为40%,拥有1,001至5,000名员工的材料企业为41.7%,拥有201至500名员工的合法企业为50%。除了前面讨论过的高赎金支付率的金融业外,中型法律组织也表现出高赎金支付率。另一方面 ,在员工规模相同的其他受害者中,零售企业的赎金支付率极低。 行业 员工人数 赎金率(%) 卡方测试假定
