网络安全动态 ·

近七年全球关键基础设施遭受勒索软件攻击的数据分析

勒索软件攻击已成网络空间公害,要命的是它的恶劣影响已辐射到物理空间,对社会生产生活造成重大影响或巨额损失。而频频发生的勒索攻击,让网络安全从业者一次又一次体会到了深深的无力感。刚刚过去的9月份第二周,勒索软件Netwalker连续兴风作浪,阿根廷移民局、巴基斯坦电力公司、数据托管中心 Equinix均遭了殃,且都索要400万美元左右的赎金,气焰嚣张。安全周刊注意到,费城天普大学的一个研究团队一直在跟踪恶意攻击者对全球关键基础设施的勒索软件攻击,并且收集了自2013年11月至今年8月的勒索攻击事件数据,任何人都可以申请访问该团队收集的数据。这是一个非常有趣的项目。从中可见勒索软件的趋势与发展,也有助于关键基础设施行业重新认识一下勒索软件的危害。

该项目的工作被称为关键基础设施勒索软件攻击(CIRWA)的存储库,于2019年9月开始。截至2020年8月,该数据库收录了自2013年11月以来记录的680多个勒索软件攻击记录。

近七年全球关键基础设施遭受勒索软件攻击的数据分析 网络安全动态 第1张

该存储库以Microsoft Excel文件的形式免费提供,存储有关媒体和网络安全公司描述的相关事件的详细信息。

这些信息包括目标组织的名称、发起攻击的年份、攻击开始的日期、目标组织的位置、目标部门、攻击的持续时间、使用的勒索软件系列、勒索金额、付款方式、是否付款、付款多少、信息来源以及相关事件。根据使用的勒索软件的类型,还有指向MITER ATT&CK框架的链接。

目前对数据的分析表明,政府设施是关键基础设施的最有针对性的类型(紧随其后的是教育和医疗保健),而Maze是最常见的勒索软件。值得注意的是,该项目跟踪了影响美国国土安全部定义的关键基础设施的事件。

勒索软件攻击最常见的持续时间是一周或更短,最常见的勒索金额是50,000美元或更少,但是在13起已知事件中,攻击者要求的赎金金额超过500万美元。

近七年全球关键基础设施遭受勒索软件攻击的数据分析 网络安全动态 第2张

对关键基础设施的勒索软件攻击事件统计

这张图可以看出,近两年来,勒索软件的频次逐年上升。今年仅仅前8个月已有241起。

近七年全球关键基础设施遭受勒索软件攻击的数据分析 网络安全动态 第3张

对最为常见的勒索软件的统计显示,排在前10位的,依次是Maze、WannaCry、Ryuk、Revil/sodinokibi、Samsam、DoppelPaymer、Netwlker、BitPaymer、CryptoLocker、CryptoWall。

近七年全球关键基础设施遭受勒索软件攻击的数据分析 网络安全动态 第4张

而从被勒索的关键基础设施行业来看,政府部门是勒索的重点,达到了199次。紧随其次的教育行业和医疗卫生行业,均为106次。关键制造、应急服务、通信、效能系统、商业行业、金融行业、能源、食品和农业、水务和污水处理、化工、国防工业基础行业、核工业等都是勒索的高发区。

近七年全球关键基础设施遭受勒索软件攻击的数据分析 网络安全动态 第5张

从勒索攻击索要的赎金来看,绝大多数案例都在100000美元以下,但超过5000000美元的勒索案例也有13起。网络安全行业的从业者应该不会忘记,7月份的智能穿戴设备制造商佳明勒索事件,据传佳明为了解密数据并恢复服务,支付了约1000万美元的赎金。

天普大学刑事司法系副教授Aunshul Rege主持了该项目的研究,项目由她的国家科学基金会(NSF)职业奖资助

近七年全球关键基础设施遭受勒索软件攻击的数据分析 网络安全动态 第6张

Rege告诉SecurityWeek他们的目标只是基于公开的CIRW事件的开源信息提供数据集。研究团队努力寻找在关键基础设施空间中没有附加条件的数据集,研究人员/教育者(例如团队自己)以及学生都可以使用这些数据集。

Rege说,驱动收集数据集的动因,是为教育/学术空间做出贡献以帮助教育者和学生。无论如何,研究团队都在收集其受NSF职业生涯资助的数据,因此他们决定以结构化的方式重新发布这些数据,以便与学术界共享。研究团队于2019年9月启动了162起事件的CIRW数据集。目前共有687起事件。

根据Rege的说法,很多人发现数据很有用。到目前为止,已有众多群体从这批数据中受益。

高等教育领域的教育工作者都要求提供班级项目,研究报告和出版物。本科生课程项目;研究生论文;这批数据均有帮助。

政府代表参加工业控制系统(ICS)培训班,提高认识并评估对关键基础设施勒索软件攻击的内部反应。

研究人员研究跨勒索软件病毒株的TTP趋势和模式,将数据与其内部数据集进行比较,以及进行威胁建模和情报分析。

私营部门的代表用于培训,威胁情报,风险和统计分析,提高认识并概述当前趋势。

任何人都可以免费索取数据,Rege说他们已经批准了迄今为止收到的几乎所有请求。

在对个别个人的申请中,他们会慎重对待其需求。研究团队确实收到了一些来自个人电子邮件地址(gmail,protonmail等)的请求,他们会对其进行跟踪。跟踪谁在使用数据集的两个原因是,一是获得反馈;二是挖掘潜在开发协作研究项目。

该项目的维护者一直在根据社区提供的反馈进行改进,例如将攻击映射到MITER ATT&CK框架。

一个刑事司法系副教授在研究勒索软件的问题,这不会抢了网络安全从业者的饭碗吧。跨界研究看来是一个新路子,可以跳出一些专业的框框来寻找答案。网络安全中的勒索攻击,也是一种网络犯罪,从法律视角进行研究也是新的探索。总之,此事蛮耐人寻味。

声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 [email protected]

参与评论