从医疗保健和工业领域的违规行为(泄露大量敏感数据或完全停止生产)到针对相对容易成为目标的小型企业的攻击,勒索软件攻击者正在扩大其影响范围。
接下来,我们分析了主要的勒索软件事件和趋势。在本报告中,分享了我们的观察、研究和统计数据,以阐明不断变化的勒索软件威胁形势及其对网络安全的影响。
勒索软件趋势:目标群体和攻击不断增加
卡巴斯基从多个相关公共来源收集了 2022 年和 2023 年有关目标勒索软件团体及其攻击的数据,并对这些数据进行了过滤和验证。研究显示,与 2022 年相比,全球目标勒索软件团体的数量增加了 30%,其攻击的已知受害者数量增加了 71%,令人震惊。
与随机攻击不同,这些目标群体主要针对政府、知名企业或企业内的特定个人。此外,他们中的大多数人都在勒索软件即服务 (RaaS) 模式下分发恶意软件,其中涉及许多较小的团体(称为附属机构),只需支付订阅费或部分赎金即可访问勒索软件。在下图中,您可以看到 2023 年最活跃的勒索软件系列。
2023 年企业系统中最常遇到的勒索软件是 Lockbit 3.0。其如此活跃的原因可能是其构建器在 2022 年泄露,这导致各个独立团体使用该构建器创建自定义勒索软件变体,然后将其用于针对世界各地的企业组织。该集团本身也拥有庞大的联属网络。
其次是 BlackCat/ALPHV,首次出现于 2021 年 12 月。2023 年 12 月,FBI 与其他执法机构一起扰乱了 BlackCat 的运营,并查获了该组织的多个网站。然而,行动结束后,BlackCat 立即表示,它已“取消”至少部分网站。美国国务院悬赏1000万美元悬赏该组织的同伙。
2023 年第三大最活跃的勒索软件是 Cl0p。该组织成功突破了受管理的文件传输系统 MoveIt 来获取其客户的数据。据新西兰安全公司 Emsisoft 称,截至 2023 年 12 月,这一漏洞已影响了 2500 多个企业。
需要注意的勒索软件变种
在威胁研究实践中,我们分析了各种勒索软件样本。本节分享几个值得注意的勒索软件家族,这些家族虽然不是 2023 年最活跃的,但在某种程度上却很具特点。
· BlackHunt
BlackHunt 于 2022 年末检测并于 2023 年更新,使用基于 Conti 勒索软件源代码的 C++ 可执行文件瞄准全球受害者。
它利用可定制的攻击媒介,包括欺骗性策略,例如显示虚假的 Windows 更新屏幕来掩盖文件加密过程,并采用安全措施进行测试,例如在执行之前检查“Vaccine.txt”。如果恶意软件作者想要测试可执行文件而不加密自己的文件,他们会创建一个 Vaccine.txt 文件。如果恶意软件在系统中找到此文件,则不会继续加密。
· Rhysida
Rhysida 于 2023 年 5 月出现,是一项新的 RaaS 操作,最初针对 Windows,但后来扩展到 Linux。
两个版本都使用 AES 和 RSA 算法进行文件加密,并在密钥生成过程中使用 ChaCha 流密码。该勒索软件还对其隐藏服务实施基于令牌的访问,以增强保密性。
· Akira
Akira 是一款紧凑的 C++ 勒索软件,与 Windows 和 Linux 兼容,已经影响了各个领域的 60 多个企业。
它采用单一密钥进行加密,并且在早期版本中存在加密缺陷,这使得勒索软件操作者在不知情的情况下可以解密文件。然而,这个缺陷在最近的变体中得到了修复,在撰写本报告时这些变体还无法解密。对于受害者通信,Akira 使用基于 JQuery 终端的简约隐藏服务。
· Mallox
也被称为Fargo和TargetCompany,自2021年5月出现以来一直在造成严重破坏。随着2023年攻击的增加和近500个已识别样本,截至2024年频繁更新和活跃的联盟计划。
Mallox通过Clearnet和TOR服务器进行操作,以面向互联网的MS SQL和PostgreSQL服务器为目标,并通过恶意附件进行传播。受影响最严重的国家包括巴西、越南、沙特阿拉伯等。
· 3AM
3AM是一种新的RaaS变体,具有复杂的命令行界面和用于防止自动沙箱执行的“访问密钥”功能,勒索软件需要访问密钥才能执行。
与大多数人为操作的勒索软件一样,3AM附属机构使用Cobalt Strike在目标基础设施中获得了初步立足点。在Cobalt Strike中,他们使用水印选项,该选项允许攻击者唯一识别与特定Cobalt Strike团队服务器关联的信标流量。这可能表明3AM附属机构与其他勒索软件团体共享对目标的访问权限,并使用水印将其流量与其他流量分开。
该勒索软件采用高效的文件处理技术,例如反向遍历(从末尾处理字符串以快速识别文件路径和扩展名)以及与Windows API集成,并在加密之前终止各种进程,从而使恢复工作变得复杂。与受害者的通信是通过基于TOR的隐藏服务进行的,尽管存在操作安全配置错误,例如真实IP暴露。
在事件响应实践中观察到的趋势
本部分包含基于事件响应服务在2023年处理的事件的趋势和统计数据。本部分中的数据可能与从公共来源获得的数据有所不同,因为它们并未涵盖去年发生的所有勒索软件相关事件。
根据事件响应团队的数据,到2023年,三分之一的事件 (33.3%) 与勒索软件有关,勒索软件仍然是所有企业组织的主要威胁,无论它们属于哪个经济部门或行业。
2023年观察到的另一个重要趋势是:通过承包商和服务提供商(包括IT服务)进行的攻击首次成为三大攻击媒介之一。
这种方法可以轻松实现大规模攻击,并且通常在发现数据泄漏或加密数据之前不会被发现。如果谈到勒索软件,可信关系攻击是四个主要的初始感染媒介之一。另外三个是:面向互联网的应用程序的妥协,占所有勒索软件攻击的50%;凭证泄露(40%),其中15%是通过暴力攻击获得的;和网络钓鱼。
2023年事件响应实践中最常遇到的勒索软件家族包括Lockbit (27.78%)、BlackCat (12.96%)、Phobos (9.26%) 和 Zeppelin (9.26%)。
大多数数据加密攻击在一天(43.48%)或几天(32.61%)内结束。其余持续数周(13.04%),只有10.87%持续一个月以上。实际上,所有长期勒索软件攻击(持续数周和数月)除了数据加密之外,还具有数据泄露的特点。
勒索软件组织的策略和技术
勒索软件组织继续采用先前确定的入侵策略,利用类似的工具和技术。攻击者瞄准了容易受到远程命令执行 (RCE) 影响的面向互联网的应用程序,例如受易受攻击的log4j版本支持的应用程序。攻击者利用这些应用程序中的漏洞,获得了未经授权的访问并破坏了基础设施。
一旦确认利用,攻击者通常会通过操纵负责应用程序执行的本地特权帐户来进行操作。他们执行命令来修改用户密码并将一组工具(例如Meterpreter和Mimikatz)上传到受感染的系统。通过执行Meterpreter并创建或修改系统进程,攻击者可以获得额外的访问权限并在受感染的系统上建立持久性。
在某些情况下,攻击者会利用企业基础设施内面向公众的应用程序中的漏洞,并利用BloodHound和Impacket等工具在网络内进行横向移动并获取目标基础设施的知识。然而,为了逃避端点控制,他们还采用了不同的技术,例如使用Windows Command Shell收集事件日志并提取有效用户名。
此外,攻击者还利用本机 Windows SSH 命令进行命令和控制(C2)通信以及数据泄露。在确定通过互联网访问到达远程系统的路径后,他们配置 SSH 后门并建立反向隧道以进行数据交换。
总体而言,勒索软件组织表现出对网络漏洞的深入了解,并利用各种工具和技术来实现其目标。众所周知的安全工具的使用、面向公众的应用程序中的漏洞利用以及本机 Windows 命令的使用突出表明需要采取强大的网络安全措施来防御勒索软件攻击和域接管。
勒索软件:成为国家和国际安全问题
过去几年,勒索软件攻击对公共和私人组织的影响已升级到威胁国家安全的程度。这种日益严重的威胁导致勒索软件在国家网络安全战略、网络安全监管机构的年度报告以及联合国网络安全不限成员名额工作组(OEWG)等论坛上的政府间讨论中得到强调。
勒索软件攻击的频繁性和破坏性对于政府来说已经变得不可持续,促使他们集中资源并制定国家和多国举措来打击勒索软件组织。
一项值得注意的举措是于2021年成立国际反勒索软件倡议(CRI),该倡议汇集了49个国家和国际刑警组织。通过CRI,各方共同努力共享网络安全信息、破坏攻击者的操作并解决助长勒索软件攻击的金融机制。CRI 成员还签署了一份声明,主张反对国家政府管辖下的机构支付赎金,这表明需要针对勒索软件支付制定新的全球规范和标准。
新加坡和英国等国家在 CRI 中发挥了关键作用,他们专注于了解勒索软件支付生态系统并倡导打击勒索软件融资的政策。
立法措施和政策行动是打击勒索软件的核心。在美国,《2022 年关键基础设施网络事件报告法案》等立法旨在增强事件报告和抵御攻击的能力。2023 年初,法国实施了一项法律,将及时报告网络安全事件作为保险承保的条件。
国家机构对勒索软件的报告表明,打击这种威胁是当局的首要任务。在其最新的2023 年 IT 安全报告中,BSI(德国)将勒索软件确定为德国最大的网络安全威胁,并指出勒索软件已从“大型游戏狩猎”转向针对小型公司和市政当局。
目前,全球执法机构正在联手开展摧毁勒索软件网络的行动。2023 年,国际行动夺取了Hive、BlackCat和Ragnar等勒索软件组织的基础设施。2024 年初,克罗诺斯行动扰乱了Lockbit 并获取了其解密密钥,2024 年 5 月,该组织的领导人被揭露并受到制裁。
尽管网络犯罪分子通常会在事后重建他们的基础设施,但这些努力至少会使得勒索软件的维护成本变得更加高昂,并且通过为受害者提供免费解密服务来减少他们的收入。这些行动以及其他努力突显了打击勒索软件的综合方法,通过国际合作、立法行动和金融监管的结合,各国致力于有效减轻勒索软件攻击所带来的全球威胁和影响。
勒索软件——2024 年会发生什么
展望 2024 年,我们观察到勒索软件生态系统发生了重大转变。虽然许多著名的勒索软件组织已经消失,但更小、更难以捉摸的组织正在出现。这种增长主要源于先前较大团体的代码和工具泄露,导致它们解散或销声匿迹。
随着官员们研究反制勒索软件的措施,并且全球各地的执法机构共同打击网络犯罪,勒索软件行动变得日益分散化。更大规模、更协调的团体逐渐分崩离析,转变为更小规模的组织,这使得执法机构难以有针对性地打击它们。
此外,这些小型组织的影响力较小,对执法机构的关注也较少,因此它们更不易被追踪和起诉,这增加了独立勒索软件从业者逃脱抓捕的可能性。
总体而言,勒索软件攻击仍然是网络安全领域一个重大且不断演变的威胁。从对关键行业的显著侵害到小型企业的袭击,勒索软件的影响不断扩大。在我们审视勒索软件的现状时,出现了一些关键的观察结果和趋势。
为了降低勒索软件攻击的风险,个人和组织应优先考虑网络安全措施:
· 使用强大且正确配置的安全解决方案。
· 实施托管检测和响应(MDR)以主动发现威胁。
· 禁用未使用的服务和端口以最大限度地减少攻击面。
· 通过定期更新和打补丁保持所有系统和软件的最新状态。
· 定期进行渗透测试和漏洞扫描,及时发现并解决漏洞。
· 为员工提供全面的网络安全培训,以提高对网络威胁和最佳实践的认识。
· 建立和维护关键数据的定期备份,并测试备份和恢复程序。
· 使用威胁情报跟踪组织使用的最新TTP,并调整检测机制以捕获这些威胁。
· 特别注意网络内安装和运行的任何“新”软件(包括合法软件)。
参考及来源:
https://securelist.com/state-of-ransomware-2023/112590/