2023年勒索生态将更加多元化,Conti、REvil等大型勒索团伙的衰落催生了更多的小型勒索团伙,对网络安全的威胁更大。勒索软件生态系统将在2022年发生重大转变,因为网络攻击者从占主导地位的大型团体转移到较小的勒索软件即服务(RaaS)组织,以寻求更大的灵活性和更少的执法关注。勒索软件的大众化对企业来说是个坏消息,因为它也带来了各种策略、技术和程序,更多的妥协指标(IOC)需要跟踪,而试图谈判或支付赎金的受害者可能会遇到更多障碍。“我们很可能将安全格局的加速变化追溯到2021年年中,届时DarkSide勒索软件对ColonialPipeline的攻击以及随后对REvil团伙的执法打击导致几个勒索软件团伙垮台。截至目前,勒索软件领域似乎一如既往地生机勃勃,各种团体和组织适应政府执法打击和增加的破坏性行为、内斗和内部威胁,以及行业的激烈竞争,勒索软件开发商和运营商不断转移其从属关系以运行最赚钱的勒索软件业务。”大型勒索软件团伙受关注自2019年以来,勒索软件领域一直由大型专业勒索软件团伙主导,持续的勒索软件攻击成为头条新闻并受到更多媒体关注。甚至有人看到勒索软件团伙的发言人接受采访或在Twitter及其网站上发布新闻,以回应已发生的重大违规行为。2021年,勒索软件团伙DarkSide袭击了ColonialPipeline的燃料管道设施,导致美国东海岸的燃料供应严重中断,凸显了勒索软件攻击可能对关键基础设施构成的风险,并导致政府加大打击力度。威胁的强度。执法部门的高度关注导致网络犯罪论坛的所有者重新考虑他们与勒索软件团伙的关系,一些论坛禁止勒索软件攻击的广告。DarkSide很快停止了攻击,REvil于当年晚些时候更名为Sodinokibi,其创建者被起诉,其中一名创始人被捕。REvil是2019年最成功的勒索软件团伙之一。俄乌冲突于2022年2月爆发,许多在俄罗斯和乌克兰以及前苏联国家拥有成员和附属机构的勒索软件团伙之间的关系迅速紧张。一些勒索软件团伙,如Conti,急于站队,威胁要攻击支持俄罗斯的国家的基础设施。这与勒索软件团伙通常采用的非政治方式背道而驰,后者已招致其他勒索软件团伙的批评。之后,勒索软件团伙Conti的内部信息泄露事件也暴露了很多操作秘密,引起了团伙成员的不安。在哥斯达黎加政府遭到重大袭击后,美国国务院悬赏1000万美元,以获取有关孔蒂领导人身份或位置的信息,导致该组织于5月决定解散。Conti团伙的衰落导致勒索软件攻击数量连续几个月下降,但这并没有持续多久,因为空白很快被其他勒索软件团伙填补,其中一些是新的,这让人们对他们产生了怀疑它是由Conti、REvil和过去两年停止运营的勒索软件团伙的其他成员创建的。2023年最活跃的勒索团伙(一)LockBit目前处于领先地位LockBit是Conti团伙解散后加强活动的主要勒索团伙,通过修改其勒索软件应用程序并推出新版本进行攻击。尽管该团伙自2019年以来一直在进行攻击,但直到LockBit3.0的推出,该团伙才成功在勒索软件威胁领域占据领先地位。据多家安全机构发布的调查报告显示,LockBit3.0是2022年第三季度勒索软件攻击次数最多的组织,是数据泄露网站上列的2022年受害人数最多的勒索软件团伙。我们可能会在2023年看到衍生产品,因为LockBit代码被心怀不满的开发人员泄露,现在任何人都可以构建勒索软件程序的自定义版本。据思科Talos团队称,一个名为Bl00dyGang的勒索软件团伙已开始在勒索软件攻击中使用泄露的LockBit3.0生成器。(二)Hive敲诈勒索超1亿美元根据CiscoTalos公布的数据,2022年,除了LockBit团伙外,号称受害人数最多的勒索软件团伙是Hive。这是2022年Talos事件响应活动中观察到的主要勒索软件团伙,在PaloAltoNetworks公布的事件响应案例榜单中排名第三,仅次于Conti和LockBit。根据美国联邦调查局、网络安全和基础设施安全局(CISA)以及美国卫生与公众服务部(HHS)的联合报告,在2021年6月至2022年11月期间,该团伙对全球1,300多人进行了黑客攻击.该公司勒索了超过1亿美元。美国安全机构指出:“众所周知,Hive组织会使用勒索软件或其他勒索软件变体重新感染受害者的网络,而这些受害者在没有支付赎金的情况下恢复了网络。”(3)BlackBasta是Conti的衍生产品根据CiscoTalos观察,2022年第三大勒索软件团伙是BlackBasta,疑似是Conti的子公司,在技术上有一些相似之处。BlackBasta于今年4月开始运营,不久之后Conti团伙宣布解散并迅速开发了自己的工具集。该团伙利用Qbot木马进行传播,利用PrintNightmare漏洞进行攻击。从2022年6月开始,该团伙还推出了针对Linux系统的文件加密器,主要针对VMwareESXi虚拟机。这种跨平台扩展也出现在其他勒索软件团伙中,例如LockBit和Hive,它们都有Linux加密器,或者用Rust编写的勒索软件,例如ALPHV(BlackCat),它允许它在多个操作系统上运行。Golang是另一种跨平台编程语言和运行时,也被一些较小的勒索软件团伙采用,例如HelloKitty(FiveHands)。(4)Royal蓄势待发今年早些时候出现的另一个被怀疑与Conti有联系的勒索软件团伙名为Royal。虽然该组织最初使用其他组织的勒索软件程序,包括BlackCat和Zeon,但该组织开发了自己的文件加密程序,似乎受到或采用了Conti的程序,并且发展迅速,到2022年11月,攻击的受害者将超过LockBit。按照这个速度,Royal预计将成为2023年最大的勒索软件威胁之一。(5)ViceSociety瞄准教育行业Royal并不是唯一一个通过重新利用他人开发的勒索软件程序而获得成功的勒索软件团伙。根据CiscoTalos在其网站上列出的受害者数量,ViceSociety勒索软件攻击排在第四位。该团伙主要针对教育部门,并依赖现有勒索软件家族的分支,如HelloKitty和Zeppelin。更多勒索软件团伙构成网络安全挑战“勒索软件垄断的终结给网络安全分析师带来了挑战,”思科Talos研究人员表示。TalosGangs监控的数据泄露网站上至少有8个勒索软件团伙发布了75%的帖子。由于对手在多个勒索软件即服务(RaaS)组中工作,因此更加难以归因于新兴的勒索软件团伙。“一些勒索团伙,例如LockBit,已经开始引入其他勒索手段,例如DDoS攻击,以迫使受害者支付赎金。这种趋势很可能在2023年继续,勒索团伙有望拿出新的勒索手段.勒索软件攻击在勒索软件之前将受害者货币化思科Talos勒索软件相关事件响应服务调查中有一半处于勒索软件攻击前阶段,表明企业在检测策略方面处于劣势,技术和程序方面越来越好.
