勒索病毒攻击始于2019年底,以Maze为代表的勒索病毒成为第一批代表软件。后来,勒索软件开发者创造了一种新的高效攻击大型盈利公司的方法——双重勒索。在双重勒索中,攻击者不仅加密数据,还窃取高度敏感的信息——客户和员工的个人数据、内部文件、知识产权等——并威胁如果不支付赎金就公布这些信息。这使得该公司不得不支付大笔赎金。2020年,我们将其称为“勒索软件2.0”,毫无疑问,包括REvil(又名Sodinokibi)、DarkSide、Babuk、Avaddon、Conti等在内的大型勒索软件组织已经开始采用这种新方法。Maze还开始在其网站上发布有关被盗数据的信息,其他勒索软件组织也纷纷效仿,建立了自己的泄露网站。事实上,通过分析各种勒索软件组织对各种泄露网站的受害者人数,不难看出“勒索软件2.0”在2021年的增长非常迅速。2021年1月至11月,受害者人数相比增长了30%到2020年全年,共影响1,500个组织。鉴于这些勒索软件组织并未在其泄露的网站上公布所有受害者,实际数字可能要高得多。大约在同一时间,整个犯罪生态系统开始形成,以支持新兴的勒索软件攻击形式——勒索软件即服务(RaaS)。在这个生态系统中,每个参与者都扮演着特定的角色:有的提供加密武器,有的平台发布受害者的详细信息。其他人(合作伙伴或分支机构)对组织进行直接攻击。此外,在这个生态系统中运行的攻击者从第三方购买工具来初步渗透受害者的基础设施。该生态系统为那些希望从勒索软件中获利的人增加了额外的运营效率和庞大的支持网络。双重勒索与RaaS的结合,为网络犯罪分子成功攻击大公司创造了更多手段,勒索数十万甚至数百万美元已成家常便饭。事实上,根据美国财政部金融犯罪执法网络(FinCEN)的数据,仅美国的组织在2021年上半年就可能向勒索软件集团支付了近6亿美元。而且,根据同一份报告,如果你看看过去一年最多产的攻击者,他们可能在过去三年中收取了52亿美元的转会费。由于备受瞩目的B2B目标、巨大的赎金要求、复杂的攻击、高度敏感的数据被盗以及成功攻击的巨额利润,勒索软件成为主流也就不足为奇了。2021年重大勒索软件事件今年最大的攻击事件是美国主要油气管道运营商ColonialPipeline遭到黑客攻击,被迫关闭所有管道操作系统。现已不存在的DarkSide当时发表声明称,他们的目的是要钱,而不是给社会制造麻烦。Colonial最终支付了440万美元的赎金。同月晚些时候,另一个RaaS用户REvil步DarkSide的后尘,关闭了全球最大的牛肉供应商JBS的几个生产基地。该公司最终支付了1100万美元,恢复了他们的运营商,并恢复了被盗数据。对Colonial和JBS的攻击促使拜登总统宣布进入紧急状态,并与普京总统会面讨论共同合作应对勒索软件威胁。这引发了与勒索软件相关的新的重要趋势——政府参与打击勒索软件并加强国际合作。2021年9月,美国财政部以帮助勒索软件攻击者为由对虚拟加密货币交易所Suex实施制裁。另一家从2019年开始运行大量RaaS的运营商Avaddon也在2021年被关闭,这得益于执法部门对勒索软件团体和臭名昭著的僵尸网络Emotet的打击。Avaddon使用恶意软件在用户系统中获得初步立足点。不过,最近Emotet似乎复活了。REvil是勒索软件生命周期新趋势的另一个有趣示例:组织通过大规模攻击制造社会问题,然后由于法律压力而被迫关闭或更名。据报道,REvil于2019年首次亮相,据报道其在2020年的运营中赚取了超过1亿美元,并在窃取有关该公司即将发布的产品的信息后要求苹果支付5000万美元的赎金。当然,所有这一切都是有代价的。在利用领先的统一远程监控和管理工具KaseyaVSA中的漏洞后,REvil能够危害大约50个MSP提供商。然而,REvil的服务器在攻击发生后不久就下线了,有传言称执法部门强迫他们关闭。他们确实在10月份再次站出来,称之前的关闭是由于内部原因,但多国的推动迫使REvil的泄密站点和Tor支付站点下线,最终导致该组织关闭运营。Babuk是2021年首次出现的多产RaaS运营商,也是臭名昭著的“Babuk储物柜”的发明者。从BabukLocker与目标用户协商的数据赎金金额来看,网络犯罪分子索要的数据赎金从6万美元到8.5万美元不等,更嚣张的是,还从华盛顿大都会警察局窃取了250GB的数据系网络勒索赎金。他们的业务目前也已暂停。Babuk于4月底宣布关闭,同时将其源代码发布到野外,以便其他勒索软件运营商可以使用它。他们后来更名为PayloadBin,并开始向其他没有自己的泄漏站点的勒索软件组织提供他们的平台。随着社会关注度的提高,勒索病毒组织的攻击周期越来越短,但这些组织具有非常强的应变能力。REvil和Babuk最初都来自现已解散的勒索软件组织GrandCab和VasaLocker,而DarkSide很快更名为BlackMatter。在针对美国公司甚至日本主要科技公司奥林巴斯取得短暂成功后,该组织显然在执法压力下垮台了。另一个仍然活跃的知名RaaS运营商是Conti。这个勒索软件组织于2019年首次出现,并在2020年大量出现。他们在2021年发起的一些最引人注目的攻击包括对佛罗里达州布劳沃德县公立学校的攻击和爱尔兰卫生服务执行官的服务器关闭。然而,值得注意的是,即使是Conti也感到了压力:在内部运作细节公开后,他们被迫重新考虑他们的基础设施并关闭他们的支付门户。不幸的是,该组织能够在24小时内恢复并运行其服务器。也就是说,最常成为头条新闻的勒索软件组并不是用户最常遇到的。这是因为上述团体针对能够支付数百万赎金的公司进行了高度针对性的攻击。常见的勒索软件攻击者更有兴趣从更多人那里获取小额资金。以下是2020年勒索软件攻击的比例:Crysis/Dharma和Stop/Djvu都是长期存在的勒索软件,Crysis能够使用多种攻击媒介,但最近它利用了不安全的RDP访问。Stop是最流行的勒索软件家族,它使用一种老式的传播方案来引诱受害者搜索盗版软件并查找包含勒索软件的可执行文件,而不是现代组织最常用的人为攻击。前者同时针对B2B和B2C,后者主要针对B2C领域。这两个群体占2020年所有勒索软件攻击的50%以上,其中REvil仅占1.7%。2021年前三季度与2020年类似,最常遇到的勒索软件家族是Stop/Djvu,而Crysis/Dharma跌至第三位。第二个最常见的家族是Phobos,它也是一个针对中小企业的较老的勒索软件家族。REvil的攻击份额确实增长到2.2%,但它代表了10个最常见的家族中最不常见的家族。因为像Crysis和Stop这样的家族分布更广泛,而不是专注于他们的攻击(并且要求更少的赎金),所以这些通常不会成为头条新闻,但是,它们肯定是更常见的攻击。从大规模感染转向精准攻击:进入高利润勒索软件时代今年早些时候,研究人员发布了一份名为《RansomwarebytheNumbers》的报告,报告发现受到勒索软件攻击的用户总数实际上在下降。事实上,自2020年初以来,遇到勒索软件木马的卡巴斯基B2B产品独立用户占面临任何类型威胁的用户总数的比例一直在稳步下降。这是因为更新的、备受瞩目的犯罪组织已经从大规模感染转向精确攻击,目标是可以支付数百万美元的个人、企业和工业组织。事实上,从2019年到2020年,受目标勒索软件(Babuk和REvil等组织)影响的唯一用户数量增加了767%,这一趋势将持续到2021年。在系统上启动勒索软件是这些攻击的最后阶段。此时,组织的网络往往完全处于攻击者的控制之下。因此,数据加密后,需要研究并建立初始攻击向量,以防止攻击者再次渗透并试图恢复数据。此流程称为事件响应(IR),中型组织和大型公司通常在其员工或承包商的帮助下采用该流程。看看2019年、2020年和2021年前三个季度的数据,一个有趣的模式出现了。2021年1月至11月与勒索软件相关的IR请求的份额已经比2020年的勒索软件IR请求份额高出近10%,比2019年的请求份额高出12.7%。勒索软件攻击的原始总数可能较低,但针对大型组织的攻击正在增加。目标如果勒索软件团体专注于大型公司和组织,那么目标是哪些行业?2020年,收到IR请求比例最高的行业是工业部门(26.85%),其次是政府部门(21.3%)。这两个部门合计占近50%。2021年IR请求的分布情况如下:政府和行业仍然是最常被攻击的领域,前者略有增加,后者略有下降。影响IT部门的攻击数量也显着增加:从2020年的2.78%增加到2021年的13.33%。重要的是要记住,像上面这样的统计数据至少部分受到公司客户群的影响。对这些部门的一些最引人注目的攻击包括对殖民地天然气管道和卫生服务管理局的攻击。此外,卡巴斯基还发现了Cring勒索软件对工业组织的一系列攻击。勒索软件趋势对高价值目标进行针对性攻击的新时代即将拉开帷幕,知名组织成为头条新闻,新兴组织也在调整策略以从受害者身上榨取更多利润。这里有两个最重要的趋势。针对Linux的攻击2020年,DarkSide和RansomExx组织都使用特定于Linux的勒索软件版本对VmWareESXi服务器发起了攻击。现在,在2021年,我们已经看到这种做法在其他恶意团体中越来越流行。REvil、HelloKitty、Babuk、Conti、Hive,甚至可能还有PYSA和RagnarLocker都将Linux添加到它们的目标中。为什么?这使他们能够通过加密托管在ESXi服务器上的虚拟机来最大化攻击面。财务勒索今年4月,DarkSide在其泄密网站发文,表示希望影响公司股价,即进行财务勒索。然而,DarkSide并不是第一个对公司股票贬值表示兴趣的人。早在2020年,REvil就有了这样的想法。此后,金融勒索成为一种日益流行的趋势。去年11月,美国联邦调查局警告称,勒索软件正在利用并购等重大金融事件,将目标对准受勒索软件感染的受害公司。2020年3月至2020年7月期间,三家公司成为勒索软件的受害者。此外,勒索软件运营商正在更新他们的恶意软件以扫描网络以查找与金融相关的关键字,如“纳斯达克”和“10-Q”(季度财务报告)。示例:Defray777/RansomEXX使用的特洛伊木马Pyxie。当一家公司正在进行兼并或收购、计划上市或重新评估其财务状况时,任何类型的信息泄露都可能对公司的估值造成毁灭性的后果。事实上,Comparitech的一项研究发现,勒索软件攻击可以在短期内将公司股票的价值平均降低22%。这样的后果使受害者更愿意支付赎金。随着执法机构和政界人士缩短勒索软件团体的生命周期,效率变得至关重要。金融勒索是一个强大的工具。到2022年,我们预计此类勒索行为将变得更加普遍,并蔓延至常见的勒索软件运营商。总而言之,大规模攻击引起了公众的广泛关注,这并不总是一件好事。像REvil和DarkSide这样的团体因为声音太大而被取缔。加上政府的干预,勒索病毒的生命周期越来越短。为了提高攻击效率,勒索软件的趋势越来越有针对性。安全建议1.除非绝对必要,否则不要将远程桌面服务(如RDP)暴露给公共网络,并始终使用强密码。2.立即将可用的补丁应用于商业VPN解决方案,这些解决方案为远程工作者提供访问权限并充当网络中的网关。3.在所有设备上使用更新的软件,以防止勒索软件利用漏洞。4.将防御策略集中在检测横向移动和数据泄露上。特别注意传出流量以检测来自网络犯罪分子的连接。定期备份您的数据,以确保您可以在紧急情况下快速访问它。使用最新的威胁情报信息来掌握威胁行为者使用的实际TTP。5.使用该解决方案识别早期攻击阶段。6、专门接受安全教育。7.使用可靠的端点安全解决方案。本文翻译自:https://securelist.com/the-story-of-the-year-ransomware-in-the-headlines/105138/如有转载请注明出处。
