根据Akamai发布的《互联网状态(SOTI)报告》显示,在不断发展的勒索软件环境中,攻击者正试图突破受害者的防御能力。勒索软件组织正在将他们的攻击技术从网络钓鱼转移到更加强调零日漏洞的滥用。总体而言,漏洞滥用的范围和复杂性都有了很大的增长。
此外,勒索软件组织在勒索和利用漏洞的方法上变得更加激进,例如通过内部开发零日攻击和漏洞赏金计划。勒索软件组织愿意为获得经济利益的机会付费,无论是付钱给其他黑客,让他们找到软件中的漏洞,还是通过初始访问代理(IAB)获得对目标的访问权限。
重点发现
在过去的六个月里,随着零日漏洞和1day漏洞的猖獗滥用,勒索软件威胁领域的攻击技术发生了令人担忧的变化,导致受害者从2022年第一季度到2023年第一季度增加了143%。
【图1:由于零日漏洞的活跃利用,从2022年第一季度到2023年第一季度,所有勒索软件组织的总体受害者数量增长了143%】
勒索软件组织现在越来越多地以文件泄露为目标,这已经成为勒索的主要来源,正如最近对GoAnywhere和MOVEit的漏洞利用所证实的那样。
研究发现,多个勒索软件组织的受害者在首次攻击的前三个月内,遭受后续攻击的可能性几乎高出6倍。
像CL0P这样的勒索软件组织,正在积极寻求获得和开发内部零日漏洞。事实证明,这是一个成功的策略,从2022年第一季度到2023年第一季度,CL0P的受害者数量增加了9倍。
LockBit在勒索软件领域仍占据主导地位,占受害者总数的39%(1,091名受害者),是排名第二的勒索软件家族(ALPHV)的三倍多。在之前的领先者“Conti”缺席的情况下,LockBit的受害者数量大幅增加,从2022年第四季度到2023年第一季度,其受害者数量增加了92%。
针对特定垂直行业的攻击有所增长,制造业受害者数量在2022年第四季度至2021年第四季度之间增长了42%,医疗保健受害者数量在2022年第四季度至2021年第四季度之间增长了39%。
分析突出了两大趋势:首先,勒索软件组织的持续活动可能取决于组织规模和资源等变量;其次,当关键的零日漏洞被利用时,活动显著增加,例如CL0P对高度针对性的安全漏洞的积极利用。
攻击者正在改变策略以获得优势
研究人员发现,攻击者也在改变策略,寻找能够产生更有利可图的价值途径。当他们不再采用最初的勒索策略(加密),而是将精力更多地集中在数据窃取上,以获得比依赖备份的组织更大的优势时,他们正在取得更大的成功。
【图2:勒索软件杀伤链概述,包括勒索策略的一些更新】
初始访问方法剖析
1. 网络钓鱼
2023年,攻击者在发送网络钓鱼邮件时不得不调整策略。多年来,攻击者在引诱用户下载含有宏的微软Office附件后,利用这些附件来运行恶意代码。这种方法非常普遍,最终迫使微软实施了一项政策变更,阻止从互联网下载的Office文件中的所有宏。
这一变化迫使威胁行为者放弃使用宏,转而使用新的方法来破坏他们的目标。今年,我们看到各种文件格式(包括ISO文件)的使用激增。嵌入恶意文件的One Note文档也被发现用于传播多个恶意软件家族。
此外,据报道,一个LockBit附属机构使用安装Amadey Bot恶意软件的网络钓鱼邮件来加密设备并控制设备,而CL0P攻击者一直在向员工发送大量鱼叉式网络钓鱼邮件,以获得进入组织的初始权限。还有一种名为“BazarCall”的攻击正在兴起,这种攻击将受害者引入一个威胁组织控制的呼叫中心,说服受害者开始远程屏幕共享会话,并在攻击者秘密建立的一个进入受害者机器的点上保持通话。我们预计这种不断发展的网络钓鱼诱饵的趋势将继续下去;随着检测的不断改进,攻击者将会提高他们的战术。
2. 1day和0day漏洞利用
零日漏洞和旧漏洞是下一个主要的攻击媒介,勒索软件组织越来越多地利用软件安全漏洞作为进入网络的初始接入点。意识到代码漏洞的潜在影响,以及它们更容易渗透到预定目标的事实,攻击者已经相应地调整了他们的盈利策略。事实上,攻击者获得初始访问权限的最常见方法是利用面向互联网的应用程序,通常是通过滥用未打补丁的系统上的1day漏洞。这些组织非常迅速地采用了已发布的漏洞,以及滥用零日漏洞。对组织来说,修补和更新软件或系统是一场与时间的赛跑。
旧漏洞,如Log4Shell (CVE-2021-44228)和ProxyLogon(CVE-2021-26855)仍然被利用来破坏网络和部署勒索软件。这方面的证据已经出现,因为LockBit已经使用Log4Shell攻击VMware实例。此外,一些受害者报告称,BlackByte通过一个已知的微软Exchange服务器漏洞获得了访问权限。
今年,研究发现攻击者从传统的“以任意服务器和端点为目标”的勒索软件案例,转向滥用包含敏感数据的应用程序,这些应用程序可以用来对付被勒索的公司。值得注意的例子包括:
ESXiArgs勒索软件活动,它利用VMWare ESXi服务器上的1day漏洞来攻击服务器上托管的虚拟机,对它们进行加密,从而使它们无法使用;
CL0P和Bl00dy勒索软件等,利用PaperCut MF/NG不当访问控制漏洞,允许未经身份验证的远程攻击者绕过身份验证,在设备上执行任意代码;
CL0P,针对多个托管文件传输(MFT)服务器中的大量零日漏洞。在2023年3月的攻击之后,MOVEit漏洞也很快被利用。在这两起案件中,漏洞都被用来窃取敏感文件并勒索受害者。
虽然利用零日漏洞并不是什么新鲜事,但值得注意的是,像CL0P这样的勒索软件组织正在积极寻找或研究漏洞,并大规模地滥用它们来危害数百甚至数千个组织。在利用零日漏洞后的几周内,CL0P受害者数量激增,这表明这种技术可以产生更大的收益,而且这种趋势可能会在不久的将来继续下去。
3. 被盗凭据
有效的被盗凭据还可能允许通过面向互联网的应用程序或公开的服务,实现初始访问。这正是Vice Society和ALPHV等组织的攻击媒介。有效的凭据可以从暗网供应商或通过网络钓鱼、暴力破解或密码猜测来获取。在收到有效凭据后,攻击者可以利用外部远程服务(如VPN或RDP)来破坏网络。2022年11月,攻击者利用Fortinet VPN服务器的一个漏洞获得了初始访问权限,然后将勒索软件传播到整个网络。据报道,LockBit附属机构ALPHV和Vice Society一直在通过凭据滥用进行攻击。
4. Drive-by 妥协
攻击者也有可能通过Drive-by 妥协获得初始访问权限。这是指攻击者通过浏览恶意或合法网站的用户获得系统访问权限。这可以通过授予攻击者的应用程序访问令牌来利用用户的web浏览器来实现。像LockBit和REvil这样的勒索软件组织已经被发现使用这种技术,来获得对受害者系统的初始访问权限。
顶级勒索软件组织的攻击现状
此次季度分析显示了顶级勒索软件的显著变化(图3)。在Conti消失后,LockBit占据了榜首,成为最多产和活跃的组织之一。数据显示,LockBit占受影响组织的39%(1,091名受害者),是排名第二的ALPHV勒索软件受害者数量的四倍多。由于LockBit的猖獗活动和受害人数的增加,它引起了执法部门和安全防御者的大量关注。所有人的目光都集中在LockBit上,它是否会踏上Conti的“老路”——停止运营后,贴上规模较小的勒索软件名号重整旗鼓——还有待观察。
LockBit的持续成功主要归功于它的改进,包括在最新的3.0版本中引入了新技术——比如漏洞赏金计划(邀请所有安全研究人员、道德黑客和黑帽黑客提交他们软件中的漏洞报告,奖励从1000美元到100万美元不等)——以及使用Zcash加密货币作为支付模式,这进一步放大了这种威胁的普遍性。虽然漏洞赏金计划的使用主要是防御性的,但目前尚不清楚这是否也会被用于寻找漏洞和LockBit利用受害者的新途径。
此外,他们的分支机构部署这些攻击目标可以赚取高达75%的赎金。为了对受害者施加更大的压力,LockBit背后的攻击者已经开始联系受害者的客户,通知他们事件,并采用三重勒索策略,包括分布式拒绝服务(DDoS)攻击。为了遏制LockBit在全球的流行,美国网络安全和基础设施安全局(CISA)与其国际合作伙伴一起发布了一份网络安全咨询报告,强调了LockBit的技术,以帮助安全防御者保护他们的组织。
ALPHV,也被称为BlackCat,其受害者人数仅次于LockBit。这个勒索软件的与众不同之处在于它使用了Rust编程语言,使其能够感染windows和Linux系统。Microsoft Exchange服务器中的几个漏洞(其中一个CVE-2021-34473,CVSS得分为10)被滥用以渗透预定目标。在去年发生的一起ALPHV攻击中,攻击者复制了受害者的网站(使用输入的域名)作为一种新的勒索技术;他们在网站上公布窃取的文件,并向目标施加压力,要求其支付赎金。分支机构可以赚取高达90%的利润,这使得它们相对于其他集团对新的分支机构更具吸引力。
CL0P紧随ALPHV之后,受害者人数排名第三。CL0P以滥用托管文件传输平台中的几个零日漏洞而闻名,例如2019年1月的GoAnywhere MFT安全漏洞(CVE-2023-0669);2023年4月的papercut漏洞(CVE-2023-27350和CVE-2023-27351);以及最近的一个零日漏洞moveit Transfer(CVE-2023-34362,这导致了许多公司的数据被盗)。
虽然不清楚Royal勒索软件究竟是何时出现的,但已知的是,他们的运营商可能与Conti Team one成员有关,或者与Conti勒索软件背后的组织有联系。Royal勒索软件可能是Zeon勒索软件的一个品牌,但与其他勒索软件运营商不同,Royal勒索软件没有任何附属计划,且通常会通过IAB购买网络访问权限。赎金要求可能在25万美元到200万美元之间,并且可以通过回调网络钓鱼作为入口点使用远程桌面协议(RDP)恶意软件来构成威胁。
【图3:TOP10 勒索软件组织】
总的来说,虽然大多数勒索软件威胁都有一个活动基线,但有两个趋势非常突出:第一个趋势是勒索软件组织的稳定持续活动,这可能取决于组织规模(分支机构的数量)及其资源等变量。LockBit似乎每月大约有50名受害者,而其他勒索软件组织的受害者人数更少。ALPHV开始时活性较低,但在2021年至2022年期间出现了几次井喷。
第二个趋势表明,当某些团体滥用关键的零日漏洞时——就像我们观察到的CL0P积极整合高度针对性的安全漏洞一样——这种趋势会大幅上升。从2021年10月到2023年2月,CL0P的受害者数量每月低于35人,然而,有必要强调的是,CL0P在2023年3月出人意料地上升,这可能与该组织利用GoAnywhere软件的零日漏洞有关。
初始访问代理被纳入RaaS业务模型
攻击中最困难的步骤之一是获得对受害者网络的初始访问权限。IAB是专门从事这方面工作的恶意组织。他们使用不同的策略来攻破网络,然后将访问权出售给出价最高的人。这些组织使用常见的方法,如网络钓鱼和利用1day漏洞,在网络中站稳脚跟,然后收集信息,核实被入侵公司网络的规模和收入,并相应地收取访问权限的价格。现代勒索软件组织倾向于外包他们的许多任务,包括网络的初始访问。
IAB仍然是勒索软件入侵的主要载体,一些IAB与特定的勒索软件组织有很强的联系,比如Qbot和BlackBasta,而其他IAB则向各种组织出售访问权限。据报道,lockbit、DarkSide、Conti和BlackByte等勒索软件组织都利用IAB作为其运作的一部分。
勒索软件攻击者需要远程访问凭据,不仅是为了渗透受害者的网络,也是为了横向移动、建立持久性和获得访问权限等。勒索软件攻击者和IAB之间的这种共生关系进一步加剧了勒索软件攻击数量的上升。因此,对于防御者来说,能够检测到IAB使用的恶意软件是非常重要的,因为从最初的感染到整个网络的勒索软件的周期可能非常短。
任何规模的组织都会成为目标
根据Astra的一份报告,勒索软件攻击在不同规模的行业和公司中仍然猖獗——针对组织的攻击大约每19秒发生一次,每天总共有170万次攻击。在过去五年中,这些攻击平均每次造成的损失约为185万美元。此外,网络安全风险投资公司预测,到2030年,勒索软件将每两秒钟攻击一次组织。
如果你认为,大型组织才是攻击者最青睐的目标,那就大错特错了!当研究人员根据收入规模分析受害者时,结果发现规模较小的组织受到勒索软件攻击的风险较高,超过60%的受害者属于收入范围较低的范畴(约5000万美元),这表明小型组织也无法幸免遇难,反而会由于防御机制薄弱而更可能沦为攻击受害者。
【图4:规模较小的组织受到勒索软件攻击的风险较高】
不过,我们也不能忽视这样一个事实,即相当多(12%)的受害组织属于较高的收入类别(5.01亿美元及以上)。
关键行业面临更高的风险
在行业细分方面,关键行业显示出更高的勒索软件风险(见图5)。其中,制造业是受勒索软件攻击影响最重的(占比20%)。商业服务和零售业紧随其后,分别占11%和9%。
这种增加的风险来自于部署在不同制造和供应链站点的大量遗留或老旧商业软件,包括操作设备、传感器和其他连接端点(从联网汽车到化工厂)。
研究数据也清楚地体现了这种风险的增加,其中受影响的制造业公司数量在2021年第四季度至2022年第四季度之间飙升了42%。
【图5:制造业仍然是受勒索软件攻击人数最多的垂直行业】
防御建议
为了有效地缓解勒索软件威胁,组织应该:
采用多层次的网络安全方法,在不同的攻击阶段和不同的威胁环境中应对威胁。
使用网络映射和分段来识别和隔离关键系统,并限制对这些系统的网络访问。这限制了任何恶意软件的横向移动。
保持所有的软件、固件和操作系统都是最新的安全补丁。这有助于减少勒索软件可能利用的已知漏洞。
定期维护关键数据的离线备份,并建立有效的灾难恢复计划。这确保了快速恢复操作的能力,并将勒索软件事件的影响降至最低。
制定并定期测试事件响应计划,概述在发生勒索软件攻击时应采取的步骤。该计划应包括明确的沟通渠道、角色和责任,以及执法部门和网络安全专家的协作流程。
定期开展网络安全意识培训,教育员工了解网络钓鱼攻击、社会工程和其他勒索软件威胁行为者使用的常见媒介;鼓励员工及时报告可疑活动;将培训扩展到与现场供应商合作以及与公司系统远程交互的政策和程序;所有厂商和供应商在进入现场或系统之前也应接受此培训。
本文翻译自:https://www.akamai.com/blog/security/ransomware-on-the-move-evolving-exploitation-techniques如若转载,请注明原文地址