2020年刚刚过去的半年,全球诸多领域都面临严峻挑战,网络安全领域不容乐观。其中,勒索软件势头一度抬头,敲诈勒索新花样。尽管勒索软件感染约占所有恶意软件事件的3%,但它的破坏力比其他恶意软件更大。一旦出现勒索软件,企业将面临业务中断和高额赎金的风险。深信服千里目安全实验室在对勒索病毒整体攻击趋势、勒索病毒模式、家族类型、行业分布等方面进行分析后,发布了《2020上半年勒索软件洞察报告》(以下简称报告)。一、勒索病毒事件趋势根据深信服安全大脑提供的数据,从2020年2月开始,勒索病毒开始从前期的低潮中恢复过来,攻击势头有所增强。尽管发生了COVID-19大流行,但政府对学校、医疗保健行业的攻击并没有减少。2020年上半年勒索病毒洞察报告2019年与2020年上半年勒索病毒攻击趋势对比通过对大量勒索病毒事件的调查分析以及与部分行业伙伴的交流,发现犯罪团伙正在逐步形成规模化的商业运作,形成新的勒索软件合作生态。活跃的攻击团伙(如臭名昭著的Emotet和Trickbot恶意软件家族等)在进行网络犯罪的过程中,往往会携带大范围的僵尸网络感染。在金融、IT等系统之后,受害者的资产上部署了来自第三方的勒索软件。勒索病毒合作生态体系结构如下图所示:2020年上半年勒索病毒洞察报告勒索病毒合作生态体系结构图在合作生态体系中,各个角色在高度专业化的集群中独立运行。大多数情况下,每个角色都会专注于自己负责的模块,除了业务往来,他们之间几乎没有其他交集。例如,过去攻击团伙和勒索病毒制作团队往往是同一个人,而现在攻击团伙往往独立于勒索病毒开发者和运营者,以相对独立的角色存在。他们专注于借助僵尸网络部署勒索软件,给受害者造成更大范围的损失。这种新型的勒索软件合作生态,将勒索软件的威胁提升到了一个新的高度。2.勒索软件勒索需求近年来,勒索软件犯罪组织意识到采用大范围传播的手法并不能为他们带来更多的投资回报,因此逐渐采用更加复杂和针对性更强的投放技术和机制,展开大规模的“猎杀”有针对性地开展活动。大型企业虽然受到攻击的频率较低,但一旦受到攻击往往要支付高额赎金,拉高了平均赎金水平。2020年上半年,排名靠前的勒索软件攻击数量有所减少,但勒索赎金需求明显增加。根据Coveware的数据,相比2019年,2020年第二季度勒索软件需求同比增长4倍。2020年上半年勒索软件洞察报告2018Q3-2020Q2季度平均勒索软件趋势还有两个值得注意的趋势,分别是也是勒索软件增加的原因:(1)部署勒索软件之前窃取数据的模式驱动了支付勒索软件的高概率。一些勒索软件运营商鼓励攻击者提高赎金,理由是受害者“如果不支付赎金就会泄露数据”。这一趋势始于2019年11月,以Maze、Sodinokibi、DoppelPaymer等新型勒索软件为代表,在攻击过程中,首先会窃取受害者的隐私数据,如果受害者不支付赎金,攻击者将公开或拍卖这些被盗数据。这无疑会增加受害者数据泄露的压力,从而大大增加受害者支付赎金的概率。(2)勒索软件即服务(RaaS)持续盛行,运营商寻求更高赎金要求犯罪组织利用新型低成本勒索软件即服务(RaaS)发起攻击,不再需要深度技术专长参与网络犯罪。在针对大型企业的一系列勒索病毒中,RaaS运营商正在寻求更高的勒索要求,数千万的勒索要求已成为常态。3、勒索病毒家族类型分布从深信服处理过的勒索病毒事件来看,近70%的勒索病毒攻击是由四种最常见的勒索病毒变种(Crysis、GlobeImposter、Sodinokibi、Phobos)实施的,其中大部分攻击使用RDP爆破作为攻击入口。除此之外,还有几个新的RaaS变体,例如VegaLocker、MedusaLocker等。这些新进入者以其低廉的前期成本和技术知识吸引了新手网络犯罪分子。2020年上半年勒索病毒洞察报告2020年上半年紧急事件勒索病毒家族分布梳理近六个月应急响应的勒索病毒攻击向量,发现远程桌面协议(RemoteDesktopProtocol)攻击入口(RDP)入侵和电子邮件网络钓鱼有所增加,而软件漏洞和其他攻击媒介则略有减少。攻击者使用的攻击向量表明了他们首选的目标大小。Phobos几乎专门针对具有不安全RDP配置的小型企业,这种利用既便宜又常见,并且操作技术难度很小。对于大型企业,攻击者通常使用钓鱼邮件作为初始攻击。2020年上半年勒索洞察报告中勒索软件入侵方式前四名的占比。活跃的勒索软件家族将以针对性强、定制化的勒索软件展开大规模“猎杀”活动,勒索大量赎金。例如SamSam,这是一个可以追溯到2016年的勒索软件程序,以其“高效和定制的攻击”而闻名。近年来,Ryuk和Sodinokibi等新型勒索软件组织也采用了类似的策略。通过国内外安全厂商披露的Sodinokibi/REvil相关报告和实际案例研究,我们可以看到该勒索病毒的完整攻击路径:2020年上半年勒索病毒洞察报告四、勒索病毒行业分布全球攻击情况有显着增加。值得注意的是,不少勒索软件攻击在疫情期间并未对医疗行业手下留情。2020年上半年,约6.4%的勒索软件攻击针对的是医疗行业。此外,许多威胁攻击者会精心策划并注意勒索软件攻击的时机,以最大化勒索收入。例如,在针对本田集团的SNAKE勒索团伙事件中,发现该攻击团伙在病毒代码中硬编码了与本田集团相关的系统名称。、公网IP、域名信息等,这意味着这次勒索攻击是蓄谋已久。COVID-19的爆发迫使部分学校和企业开放了远程访问,但远程服务配置不当也是教育行业和企业攻击增多的重要原因。如下图所示,2020年上半年勒索软件攻击行业分布中,企业、政府、教育行业位列前三。2020年上半年勒索软件洞察报告2020年上半年勒索软件攻击行业分布五、勒索软件与APT组织勒索软件与APT组织有着明显的区别,通常都是营利性的。部署勒索软件通常只是为了赚钱,而APT组织通常旨在窃取数据。由于APT组织的作案手法是攻击极其安全的网络,这些攻击长期存在,不易被发现。但拉撒路似乎模糊了这条线。Lazarus组织是MATA(Dacls)恶意软件框架的唯一所有者,该框架最终会在受害者的主机上部署VHD勒索软件。下图展示了卡巴斯基在处理一起勒索软件感染事件中发现的攻击过程。攻击者通过易受攻击的虚拟专用网络进行入侵并获得管理员权限。同时,在受感染系统(Dacls)后门上部署了MATA,使其能够接管ActiveDirectory服务器,然后将VHD勒索软件部署到网络上的所有计算机。这起事件表明,APT组织也有可能利用勒索软件团伙进行套利。2020年上半年勒索软件洞察报告LazarusAPT组织使用MATA框架发布VHD勒索软件6.2020年上半年勒索软件攻击。通过梳理2020年上半年全球勒索病毒的一些重大事件,我们可以看到勒索病毒在上半年依然非常活跃。2020H1RansomwareInsightReport2020H1RansomwareInsightReport2020H1RansomwareInsightReport7.总结以上统计揭示了2020年上半年勒索病毒的主要趋势,勒索病毒攻击的目标逐渐向政企组织转移精准攻击勒索软件,以及勒索、加密和窃取加密数据的双重方法以及披露威胁以索取更高的赎金;此外,勒索软件的商业运作模式逐渐规模化,新的合作生态将威胁提升到一个新的高度。从勒索软件的大量增加到攻击模型的变化,勒索软件仍然是不法分子的首选工具。勒索软件的传播者一直在积极寻找从犯罪活动中获利的新方法,包括与其他犯罪集团合作。合作、拍卖被盗敏感数据等方式。随着安全供应商不断开发检测和阻止攻击的防御措施,勒索软件也在不断发展,变得更善于隐藏在文件和合法网站中,从而避免被传统防病毒软件检测到。去中心化也是当前恶意软件生态系统的一个重要特征。分散的形式可以生成灵活的商业模式,其中勒索软件使用僵尸网络来加速识别受害者资产并完成部署。虽然许多组织已经通过实施防病毒软件和其他基于签名的解决方案来保护他们的系统,但这些方法在抵御高级勒索软件攻击方面效果较差。组织需要实施多层安全措施来应对现代勒索软件的挑战,以有效保护其网络。https://www.coveware.com/blog/q2-2020-ransomware-marketplace-report如有转载请注明原文地址
