卡巴斯基多年来一直关注勒索病毒的发展趋势。过去,研究人员陆续发布了多份关于该主题的年度报告:PC勒索软件分析、勒索软件分析2016-2017和勒索软件分析与恶意加密矿工分析2016-2018。随着WannaCry和NotPetya的爆发,勒索软件已经成为主流攻击趋势。2019年,勒索软件攻击开始引领攻击趋势。然而,从2018年开始,研究人员开始注意到另一件事:勒索软件检测总数的统计数据急剧下降。这是怎么回事?勒索软件是否已退出主流攻击行列?对于关注信息安全社区新闻的任何人来说,这似乎不太可能。在2019年和2020年,勒索软件攻击活动经常成为头条新闻,从Maze攻击LG到臭名昭著的APT组织Lazarus将勒索软件添加到其武器库中。安全公司Emsisoft的数据显示,2020年,仅美国就有2300多家政府机构、医疗机构和学校遭到勒索。事实上,勒索病毒的攻击趋势并未减弱,只是攻击方式发生了变化。过去的一般勒索软件活动已被高度针对性和破坏性的攻击所取代,通常针对大型组织。此外,攻击者似乎更专注于窃取数据并对其进行加密,即窃取机密信息,并在受害者拒绝付款的情况下攻击公开其私人信息。所有这些都旨在发起更多具有更多回报价值的攻击。在本报告中,研究人员研究了2019年至2020年勒索软件攻击背后的数字、这些数字的含义以及对勒索软件未来的预测。主要发现2020年,在其设备上遭遇勒索软件的独立用户数量为1,091,454人,低于2019年的1,537,465人。2019年,遭受勒索软件攻击的用户占遭遇恶意软件用户总数的3.31%;2020年,这一数字略有下降,降至2.67%。2019年勒索软件检测占恶意软件检测总数的比例为1.49%,2020年为1.08%。2019年和2020年,WannaCry是Windows系统上最常遇到的加密勒索软件系列。2019年,在移动设备上遭遇勒索软件的独立用户数量为72,258人。到2020年,这个数字下降到33,502。然而,在受到恶意软件攻击的用户总数中,2019年至2020年期间,在移动设备上遇到勒索软件的独立用户所占百分比稳定在0.56%。从2019年到2020年,受到目标勒索软件系列影响的独立用户数量增长了767%。迄今为止,针对性勒索软件攻击占比最大的行业是工程和制造,占比达25.63%。该报告基于卡巴斯基安全网络(KSN)处理的去个性化数据。本报告涉及两个主要指标。唯一用户定义为在给定时间段内至少遇到一次勒索软件的支持KSN的卡巴斯基产品的唯一用户数量。第二个是检测,这是卡巴斯基产品在给定时间段内阻止的勒索软件攻击的数量。该报告还包括卡巴斯基专家对攻击趋势的研究。卡巴斯基产品检测各种类型的勒索软件。其中包括加密勒索软件(加密文件的恶意软件)、屏幕锁、浏览器锁和引导锁。除非另有说明,否则统计指的是任何类型的勒索软件。具有跨平台攻击特性的勒索软件正如卡巴斯基此前指出的那样,自2017年以来,检测到的勒索软件总数一直在稳步下降。这一趋势一直持续到2019年和2020年。2019年,在所有平台上遇到勒索软件的独立用户总数为1,537,465。2020年,这一数字下降到1,091,454,下降了29%。2019-2020年在其设备上遭遇勒索软件的独立KSN用户数量对比事实上,在2020年的每个月,在所有设备上遭遇勒索软件的独立用户数量均低于上年同月观察到的数量.两年来,遭受勒索软件攻击的用户数量相对稳定,2020年徘徊在10万至17万之间,2019年徘徊在15万至19万之间,除了2019年7月的显着飙升。这是由于两个勒索软件家族的增加。第一个是“Bluff”,这是一个浏览器储物柜,这意味着受害者面临着一个他们无法选择退出的假标签,如果他们不支付一定数额的钱,后果将非常严重。另一种是加密勒索软件Rakhni,它于2013年首次出现,主要通过带有恶意附件的垃圾邮件传播。在所有设备上遇到任何类型的恶意软件的用户中,勒索软件所占的百分比也从2019年的3.31%下降到2020年的2.67%。然而,勒索软件在恶意软件检测总量中的份额保持相对稳定,从2019年到2020年仅略有下降,从1.49%下降到1.08%。最活跃的加密勒索软件家族WannaCry仍然是迄今为止最活跃的加密勒索软件家族,迄今为止,WannaCry是有记录以来最大的勒索软件感染,在150个国家/地区造成至少40亿美元的损失。2019年,遇到加密勒索软件的用户中有21.85%遇到了WannaCry。2019年排名前5位的加密勒索软件家族其他活跃的家族包括GandCrab,这是一个2019年活跃的勒索软件家族,它使用RaaS模型、STOP/DJVU和PolyRansom/VirLock。Shade是一种广泛使用的加密软件,于2014年首次出现,在2019年仍然是最活跃的勒索软件家族之一,但多年来其活动有所下降。事实上,卡巴斯基在2020年发布了所有“Shade”病毒的解密器——它不再是卡巴斯基产品检测到的五个最活跃的勒索软件家族之一。2020年排名前五的加密勒索软件家族WannaCry仍然是2020年最常遇到的勒索软件家族,有16%(80,207)遇到加密勒索软件的用户遇到了这种恶意软件。此外,新兴的勒索软件也进入了最活跃的五个家族——CrySiS/Dharma。CrySiS勒索病毒又名Dharma,最早出现于2016年,2017年5月该勒索病毒的万能钥匙发布后,可以解密之前的样本,导致该勒索病毒一度消失,但随即再次出现。其新的变种样本,加密后缀为java,通过RDP暴力破解进入受害者服务器进行加密勒索。该勒索病毒的加密算法采用AES+RSA方式进行加密,导致加密文件无法解密。在过去的一年里,这款勒索软件异常活跃,有一百多个变种,Crysis可以使用多种攻击媒介,尽管最近它主要使用不安全的RDP访问。该恶意软件于2016年首次被发现,并不断发展并遵循勒索软件即服务模型。总体而言,2019年和2020年延续了2018年初首次注意到的趋势:勒索软件集团的整合。只有少数几个著名的家族在整个攻击格局中仍然很重要,其余的攻击是由不属于任何特定家族的勒索软件木马执行的。当然,新的家族不断出现,STOP和GandCrab就是很好的例子。勒索软件攻击的地理分布在分析受攻击用户的地理位置时,研究人员考虑了卡巴斯基客户的分布。这就是为什么当我们查看攻击的地理位置时,我们使用受勒索软件攻击的用户百分比作为这些地区受任何类型恶意软件攻击的用户百分比,这些地区有超过10,000名卡巴斯基产品的独立用户。所有百分比反映了在上述时间段内在任何设备上至少遇到过一次勒索软件的唯一用户占遇到任何类型恶意软件的唯一用户总数的百分比。中东2019年中东地区所有设备遭遇勒索软件的用户比例最高的国家如下:用户占比:19.03%,前五国家中遭遇勒索病毒的用户占比在6%左右。2020年,勒索软件用户最多的五个国家保持不变,略有调整。在该国所有遇到恶意软件的用户中,巴基斯坦仍然是遭受勒索软件攻击的用户中所占比例最大的国家,但总体百分比下降至14.88%。事实上,在也门遇到勒索软件的用户比例实际上上升到了7.49%,而在巴勒斯坦和伊拉克的用户比例有所下降,而在埃及受到影响的用户比例则大致保持不变。北美和南美2019年北美和南美遭遇勒索软件用户比例最高的国家如下:在该国所有遭遇恶意软件的用户中,美国遭遇勒索软件攻击的用户比例最高为5.49%,其次是巴拉圭,为4.87%。遇到勒索软件的用户比例最高的国家还包括委内瑞拉、加拿大和危地马拉。2020年,北美洲和南美洲用户数量最多的国家基本相同,尽管遭受勒索软件攻击的用户比例较小。在该国遇到恶意软件的所有用户中,遭受勒索软件攻击的用户所占百分比去年,委内瑞拉遇到勒索软件的用户比例位居第二,巴拉圭跌至第四位。此外,危地马拉被乌拉圭取代。非洲2019年非洲遭遇勒索软件用户比例最高的国家如下:用户比例为12.02%,其次是埃塞俄比亚,8.57%。勒索软件用户比例最高的其他国家是加纳、安哥拉和利比亚。到2020年,情况发生了一些变化:在该国遇到恶意软件的所有用户中,遭受勒索软件攻击的用户所占百分比勒索软件用户最多的国家是喀麦隆,其次是马里。莫桑比克、埃塞俄比亚和加纳仍位居前五,但这三个国家经历过勒索软件的用户比例均有所下降。亚洲2019年亚洲遭遇勒索软件用户比例最高的五个国家如下:在该国所有遭遇恶意软件的用户中,阿富汗遭受勒索软件攻击的用户比例最高,为26.44%,其次是孟加拉国中国,23.14%。用户比例最高的第三个国家集中在中亚:土库曼斯坦、乌兹别克斯坦和塔吉克斯坦。2020年,情况略有变化:在该国遭遇恶意软件的所有用户中,遭受勒索软件攻击的百分比乌兹别克斯坦在遭遇勒索软件的用户比例最高的国家中排名垫底,仅次于吉尔吉斯斯坦(4.05%),所有其他国家的勒索病毒率明显低于2019年。阿富汗用户占比下降至17.67%,孟加拉国用户占比下降至11.31%。欧洲在欧洲,遇到勒索软件的用户比例最高的国家是以下国家:阿塞拜疆在该国所有遇到勒索软件的用户中受到勒索软件攻击的用户比例最高,为5.03%,其次是土耳其和塞浦路斯。遭遇勒索软件的用户比例最高的六个国家是法国、亚美尼亚和保加利亚,后两个国家的受影响用户比例相同。2020年,情况看起来有些不同:在该国遇到恶意软件的所有用户中,法国遭受勒索软件攻击的用户比例最高,其次是黑山和摩纳哥,取代了土耳其和塞浦路斯。阿塞拜疆以4.21%的份额排名第四,马其顿排名第五。本文翻译自:https://securelist.com/ransomware-by-the-numbers-reassessing-the-threats-global-impact/101965/如有转载请注明出处。
