通过在互联网外围防火墙处阻止 TCP 端口 445 的入站和出站,阻止 SMB 进出组织网络的外部访问。阻止 TCP 端口 137、138、139。注意:SMBv2 及更高版本不使用 NetBIOS 数据报。继续使用 SMBv2 不会带来重大风险,可以在需要时使用。建议在可行的情况下将其更新到 SMBv3。 阻止或限制内部 SMB 流量,以便仅在需要它的系统之间进行通信。例如,Windows 设备需要与域控制器进行 SMB 通信才能获取组策略,但大多数 Windows 工作站不需要访问其他 Windows 工作站。 配置 Microsoft Windows 和 Windows Server 系统,要求使用基于 Kerberos 的 IP 安全 (IPsec) 进行横向 SMB 通信,通过检测非组织 Microsoft Active Directory 域成员的系统,防止恶意行为者通过 SMB 访问通信。 在不需要远程访问文件或命名管道应用程序编程接口 (API) 的情况下,禁用 Microsoft Windows 和 Windows Server 设备上的 SMB 服务器服务(“服务器”)。 有关更多信息指导,请参阅 Microsoft 的 Windows Server 中的安全 SMB 流量。
摘要 — 网络安全解决方案在检测使用固定算法和加密率的勒索软件样本时表现出色。然而,由于目前人工智能 (AI) 的爆炸式增长,勒索软件(以及一般的恶意软件)很快就会采用人工智能技术,智能、动态地调整其加密行为,以使其不被发现。这可能会导致网络安全解决方案无效和过时,但文献中缺乏人工智能驱动的勒索软件来验证它。因此,这项工作提出了 RansomAI,这是一个基于强化学习的框架,可以集成到现有的勒索软件样本中,以调整其加密行为并在加密文件时保持隐秘。RansomAI 提出了一个代理,它可以学习最佳的加密算法、速率和持续时间,以最大限度地减少其检测(使用奖励机制和指纹智能检测系统),同时最大限度地提高其损害功能。所提出的框架在勒索软件 Ransomware-PoC 中得到了验证,该软件感染了 Raspberry Pi 4,充当众包传感器。深度 Q 学习和隔离森林(分别部署在代理和检测系统上)的一系列实验表明,RansomAI 可以在几分钟内以超过 90% 的准确率逃避对影响 Raspberry Pi 4 的勒索软件 PoC 的检测。索引术语 — 勒索软件、强化学习、人工智能、恶意软件、逃避
今年,我们欢迎公私和政府间在破坏性活动方面的合作不断加强。在 2021 年 RTF 报告中,我们呼吁将勒索软件视为对国家安全的威胁,并“通过国家领导人的持续沟通,传达对勒索软件采取集体行动的国际优先事项”(行动 1.1.4) � 美国政府继续将勒索软件列为重大威胁 (行动 1.1.1;1.1.4);例如,2023 年美国国家网络安全战略将击败勒索软件作为一项战略目标,并“认识到强有力的合作,特别是公共和私营部门之间的合作,对于确保网络空间安全至关重要”(行动 1.2.3) � 美国及其伙伴政府继续推动跨部门应对勒索软件,包括教育和宣传活动,如国务院的四方网络挑战;传播威胁情报,包括 CISA 与勒索软件相关的联合网络安全警告;执法部门的破坏性活动;对 Trickbot 等网络犯罪团伙、Genesis 等非法市场和 Blender�io 等加密货币混合器的制裁;以及报告要求 �
摘要 — 勒索软件操作已从相对简单的威胁行为者演变为高度协调的网络犯罪集团,这些集团经常在一次攻击中勒索数百万美元。尽管勒索软件占据了新闻头条并使全球企业陷入瘫痪,但对勒索软件操作的现代结构和经济性的深入研究相对较少。在本文中,我们利用泄露的聊天信息对最大的勒索软件集团之一 Conti 进行了深入的实证分析。通过分析这些聊天信息,我们描绘出 Conti 的运营是一个高利润业务的图景,从利润结构到员工招聘和角色。我们提出了追踪赎金支付的新方法,确定了向 Conti 及其前身支付的可能赎金超过 8000 万美元——是之前公开数据集的五倍多。作为我们工作的一部分,我们发布了一个与 Conti 相关的 666 个带标签的比特币地址数据集,以及另外 75 个可能的赎金支付比特币地址。未来的工作可以利用此案例研究来更有效地追踪并最终抵制勒索软件活动。索引术语 — 勒索软件、Conti、网络犯罪
以下是我在研究 Bassterlord 时了解到的一些见解。然而,这个故事的迷人之处是从本报告“访谈”部分分享的内容中发展而来的。在访谈中,我真正开始看到改变 Bassterlord 作为一个人的事件和触发因素,这让我了解了他是如何成为今天的罪犯的。结合勒索软件攻击和与高级勒索软件罪犯的直接联系,我们在访谈中详述的这个背景故事将揭示 Bassterlord 故事的真正影响。
LockBit 3.0 在编译时配置了许多不同的选项,这些选项决定了勒索软件的行为。在受害者环境中实际执行勒索软件时,可以提供各种参数来进一步修改勒索软件的行为。例如,LockBit 3.0 接受其他参数,用于横向移动和重新启动到安全模式中的特定操作(请参阅“妥协指标”下的 LockBit 命令行参数)。如果 LockBit 关联公司无法访问无密码的 LockBit 3.0 勒索软件,则在执行勒索软件期间必须输入密码参数。如果 LockBit 3.0 关联公司无法输入正确的密码,则无法执行勒索软件 [T1480.001]。密码是解码 LockBit 3.0 可执行文件的加密密钥。通过以这种方式保护代码,LockBit 3.0 阻碍了恶意软件的检测和分析,因为代码在加密形式下是不可执行和不可读的。基于签名的检测可能无法检测到 LockBit 3.0 可执行文件,因为可执行文件的加密部分会根据用于加密的加密密钥而有所不同,同时还会生成唯一的哈希值。当提供正确的密码时,LockBit 3.0 将解密主要组件,继续解密或解压缩其代码,并执行勒索软件。
14.勒索软件攻击和相关资金流动的规模在全球范围内急剧增长。近年来,许多司法管辖区的勒索软件攻击频率都有所增加,根据司法管辖区的不同,增长幅度从 10% 到几百个百分点不等。各个司法管辖区的受害者报告数量也相应增加,与勒索软件相关的可疑交易报告 (STR) 也有所增加。在一个司法管辖区,2021 年前六个月提交的 STR 确定了相当于 5.9 亿美元(5.52 亿欧元)的勒索软件相关交易,与 2020 年总额达到 4.16 亿美元(3.89 亿欧元)相比增长了 42%。11 执法机构最近的年度报告显示勒索软件活动大幅增长 12 ,行业估计显示攻击次数和活跃勒索软件毒株数量也有类似的增长。2021 年,勒索软件攻击次数估计约为 6.233 亿次,是 2020 年估计攻击次数 3.046 亿次的两倍多。13 同样,据报道,活跃勒索软件毒株数量估计比 2019 年增加了一倍。14
Lady Gaga、苏格兰皇家动物学会、阿拉斯加瓦尔迪兹市和巴西南里奥格兰德州的法院系统有什么共同点?他们都是勒索软件攻击的受害者,而且勒索软件攻击的数量和严重程度都在增加。2016 年,黑客每天在全球发动大约四千起勒索软件攻击,这个数字已经令人震惊。然而,到 2020 年,勒索软件攻击达到了惊人的数量,仅在美国,每天就有两万到三万起。也就是说,每十一秒就会发生一次勒索软件攻击,每次攻击平均导致受害者网络停机十九天,损失超过 230,000 美元。2021 年,全球与勒索软件恢复相关的成本超过 200 亿美元。本文介绍了与勒索软件预防相关的监管挑战。本文立足于有关执法不力的广泛文献,探讨了有限的定罪、起诉和国际合作的核心原因,这些原因加剧了这一严重的网络安全问题。特别是,本文研究了困扰全球公共领域打击数字勒索的法医、管理、司法、信息和资源分配方面的挑战。为了应对这些挑战,本文提出了将勒索软件国际定罪的理由。依靠现有的国际制度(即 1979 年《劫持人质公约》、2000 年《打击跨国犯罪公约》和禁止窝藏恐怖分子的习惯性禁令),本文声称大多数勒索软件攻击已经根据
复杂且某些高调的行动引起了公众的关注。勒索软件会阻止对计算机系统或其中的文件的访问,直到支付赎金为止。尽管已知的第一个勒索软件实例可以追溯到 1989 年,但在过去十年中,勒索软件攻击的范围和复杂性不断扩大,对公共和私营部门都构成了代价高昂的威胁。1 来自美国财政部的新数据显示,美国银行在 2021 年因勒索软件攻击而支付了近 12 亿美元。2 值得注意的是,美国关键基础设施已成为一个特别引人注目的目标,仅在 2021 年,FBI 就收到近 650 份报告,表明属于关键基础设施部门的组织是勒索软件攻击的受害者。3 2021 年夏天,美国公众感受到了现实世界的影响