国内外最新研究数据显示,近期,针对企业和组织的勒索软件攻击呈上升趋势。安全研究人员和安全厂商对勒索病毒的长期分析和研究,以及安全软件/网关设备对勒索病毒拦截率的提升,导致无差别恶意勒索病毒的利润持续下降,也迫使攻击者进行技战术。调整攻击思路。包括削弱无差别攻击勒索,转向持续复杂的技术投入,选择拥有重要数据和高支付能力的组织和企业进行攻击,通过高支付成功率获取高额赎金。本文旨在在上一篇分析报告的基础上,进一步结合2021年上半年全球勒索攻击趋势及攻击手段输出的ATT&CK技术战术分析,对受“针对性”影响的行业趋势进行统计上半年的敲诈勒索事件。具体报道如下。一、2021年上半年定向勒索攻击供参考,2021年上半年定向勒索攻击事件频发,受害者中不乏全球知名厂商和机构。上半年公开的攻击次数达到1200次左右,仅用半年时间就接近2020年全年1400次的公开敲诈攻击。勒索攻击不仅会给受害者造成经济损失和数据损坏/泄??露,还可能造成严重的负面社会影响,例如:2月份,游戏厂商CDProjektRed,出品了知名游戏《巫师3》和《赛博朋克2077》在未支付赎金后,攻击者在暗网上公开拍卖源代码数据。2月,韩国汽车制造商起亚和现代在美国遭到袭击。此次攻击导致公司IT中断,影响汽车销售,车主用于操作车辆的应用程序被迫下线无法使用。袭击者索要2000万美元的赎金。3月20日,全球知名PC厂商宏碁遭到REvil勒索组织攻击,勒索金额高达5000万美元。4月27日,华盛顿大都会警察局遭到Babuk勒索团伙的袭击,泄露了大量敏感身份信息。5月7日,美国ColonialPipeline遭到DarkSide勒索组织的袭击,业务受到严重影响,并导致17个州进入紧急状态。5月中旬,全球最大的保险公司之一安盛集团亚洲分公司遭到勒索软件攻击,3TB敏感数据被盗,攻击者还对安盛全球网站进行DDoS攻击,使其无法访问一段时间。5月31日,全球最大的肉类加工厂JBS遭到REvil勒索软件组织的攻击,并支付了1100万美元的赎金。6月3日,马萨诸塞州最大的渡轮服务遭到勒索软件攻击,导致票务和预订系统中断。7月2日,Kaseya遭到REvil勒索组织的袭击。攻击者利用0day漏洞入侵服务器发起供应链攻击,推送携带勒索软件的恶意更新。上千家企业受到波及,赎金规模高达7000万美元。2、2021年上半年活跃的勒索组织为了对这些网络环境复杂的企业和组织进行针对性的勒索攻击,攻击者在目标选择上必须更加精准,入侵技术和手段也更加复杂.为提高高额赎金的成功率,施压受害人的手段也需要多样化。如此复杂的袭击事件,个人攻击者难以实施,因此多为团伙作案。一些攻击者在网上招募攻击团队,或者向其他攻击者购买网络访问权限来实施攻击。勒索软件攻击甚至催生了一种“商业模式”,例如RaaS(勒索软件即服务)。他们将与勒索软件相关的技术打包成服务进行销售,让没有相关技术和知识的人参与到这样的“大型”犯罪活动中来。针对性勒索攻击发展迅速,模式日趋成熟,遭受勒索攻击的企业和组织数量持续上升。通过统计2021年上半年与约40家勒索组织相关的约1200起公共攻击事件发现,Conti、Avaddon、REvil、DarkSide等勒索组织占据了一半以上的“市场份额”。然而,Avaddon和DarkSide因执法部门的打击等事件而停止运营,REvil的基础设施和网站也在7月初无法访问。此外,在上半年活跃的勒索攻击组织中,也出现了一些新的组织。比如2021年初才出现的巴布克组织,只用了半年时间就完成了从诞生到成长的过程,并在极短的时间内出击。几十个目标。其中,2021年上半年较为活跃的勒索组织如下:(1)ClopClop所使用的勒索病毒最早被发现于2019年2月左右,是CryptoMix勒索病毒的新变种,使用clop相关后缀对文件进行加密.勒索目标。Clop勒索软件背后的攻击者声称他们的目标是企业而非最终用户。2020年3月,Clop勒索软件团伙首先在暗网发起泄密站点,发布受害者信息进行双重勒索攻击。网站发布一年多来,勒索团伙一直活跃,被泄露网站的受害者人数不断增加。2020年,该团伙入侵德国第二大科技公司SoftwareAG,勒索金额超过2000万美元,创下2020年之前的最高赎金记录,从而引起广泛关注;它泄露了存储在韩国E-LandRetail服务器上的200万用户的信用卡数据,造成了严重的数据泄露。进入2021年之后,Clop勒索组织更加活跃,一举成为最活跃的勒索组织之一。自今年2月以来,与Clop相关的威胁组织已经利用AccellionFTA(FileTransferAppliance,文件传输应用程序)漏洞(CVE-2021-27101等)入侵多个重要行业。(2)DarkSideDarkSide出现于2020年8月,其前身可能是《REvil》。该组织最初采用传统的勒索模式,后来逐渐发展为RaaS模式。在攻击前,该组织会仔细选择目标,选择有能力支付赎金的目标,并制定攻击载荷。其官网称不会攻击医院、收容所、殡仪服务公司、学校、非营利组织和政府机构等等。勒索软件执行时会避开独联体国家。该团伙的入侵方式包括:利用漏洞、购买RDP凭证、电子邮件和网站钓鱼攻击。DarkSide组织试图树立专业的公司形象:在官网发布声明、接受记者采访、公开更新内容以吸引更多合作伙伴等。在2021年4月推出的2.0功能更新中,表示加密速度快,加解密过程更加自动化,还会提供DDoS功能,这无疑为自己在勒索领域赢得了更多的“市场份额”。截至2021年5月,在短短九个月的时间里,DarkSide通过勒索获得了超过9000万美元的比特币。在其多种手段的威胁下,约有47%的受害者支付了赎金。(3)REvil/SodinokibiREvil(又称Sodinokibi)勒索组织最早出现于2019年4月,一直活跃至今。是犯罪数量最多的敲诈勒索组织之一。它被认为是有史以来最臭名昭著的敲诈勒索组织GandCrab的“接班人”,GandCrab于2019年6月解散。REvil采用成熟的RaaS运营模式,积极招募合作伙伴分发勒索软件。需要母语为俄语且具有一定网络入侵经验的伙伴。该组织常用的入侵方式包括漏洞利用、钓鱼攻击、RDP暴力破解、供应链攻击等。REvil通常针对全球大中型企业,避开独联体,根据目标年收入制定赎金。其曾声称其2020年的敲诈勒索收入超过1亿美元。2020年1月,REvil开始了双重勒索策略,将被盗数据发布在其名为“TheHappyBlog”的暗网数据泄露网站上。2021年3月,REvil为其关联公司提供了一项新服务:发起DDoS攻击,并将其披露给新闻媒体和受害者的商业伙伴,从而给受害者施加压力。(4)BabukBabuk是一个新兴组织,于2021年1月上旬首次被发现。该组织会更新勒索软件,定制勒索信件,并为每个受害者提供Tor链接以供协商。在活动的早期,该组织在其恶意软件编码和赎金要求方面显得不专业。有安全人员指出,原来的勒索软件存在一定的缺陷。勒索软件作者注意到这篇分析文章,并根据建议修改了代码。Babuk勒索软件的初始金额为6万至8万美元,远低于同期勒索病毒的平均水平。这些情况表明,Babuk很可能是勒索病毒攻击领域的新人,而不是其他“消失”的勒索病毒组织的继任者。对于最初的几个无偿受害者,Babuk只是通过论坛泄露数据,但他们很快建立了自己的数据泄露站点。4月底,Babuk宣布放弃加密勒索业务,转而采用数据窃取勒索模式。Babuk也在数据泄露站点重组并更名为PayloadBin,但目前他们纯粹的数据窃取和勒索并不顺利。(5)AvaddonAvaddon组织于2020年6月上旬首次出现在国外黑客论坛,并开始为其RaaS运营计划招募合作伙伴。其勒索对象非常广泛,没有行业限制,勒索金额根据对象年收入确定。2020年8月,Avaddon建立了自己的暗网数据泄露站点,用于暴露被盗数据。2021年1月,DDoS攻击开始被用来给受害者施压。2021年6月11日,Avaddon宣布关闭运营并将所有2934名受害者的解密密钥发送给研究人员以创建免费解密器。短短一年时间,Avaddon频频发起勒索攻击,成为最活跃的勒索组织之一。Avaddon常见的入侵方式包括僵尸网络分发、钓鱼邮件、RDP暴力破解、漏洞利用等。其首次攻击活动与Phorphiex僵尸网络合作,以全球用户为目标,在短时间内散布大量带有Avaddon勒索软件的恶意垃圾邮件。(6)DoppelPaymerDoppelPaymer组织出现于2019年6月,又名DopplePaymer,由BitPaymer发展而来。该组织的入侵方式包括:搜索引擎广告、虚假软件攻击、钓鱼邮件攻击、RDP访问等。2020年2月,DoppelPaymer成立了“DoppleLeaks”网站,发布在勒索活动中被盗的文件,向受害者施压。它的策略是公布少量被盗文件以证明其实施了攻击,如果受害者拒绝支付赎金,则公布所有被盗文件。DoppelPaymer作为较早的敲诈勒索组织,时至今日依然活跃。当出现新的勒索方式时,该组织也及时跟进,以提高攻击的成功率和受害者支付赎金的意愿。此外,该组织还创新性地利用社交软件曝光受害人的行为,使受害人承受了更大的压力。DoppelPaymer组织的攻击一方面会给公司造成经济损失和严重的数据泄露,另一方面也会影响社会活动的正常开展,严重时甚至会威胁到人身安全。(7)ContiConti勒索组织最早出现于2020年5月,在2021年的众多勒索组织中,最为活跃和狠毒。它在出现后的一年内多次袭击医院和紧急医疗服务,严重威胁公共安全。5月中旬对爱尔兰医疗保健系统的攻击关闭了受害者的IT网络,导致许多重要的医疗保健系统无法访问。Conti是利用RaaS模式进行攻击的网络勒索犯罪组织之一。他们会向其他攻击者购买网络访问权,也会向其他RaaS运营商购买一些基础设施和攻击工具。勒索组织采用双重勒索策略,不仅对用户文件进行加密,还威胁不支付赎金的受害者公开被盗敏感文件。(8)PysaPysa是Mespinoza的变种,于2019年10月首次被发现。最初Mespinoza使用.locked扩展名附加到加密文件,并在2019年12月改用.pysa扩展名,因此得名,Pysa代表“保护您的系统Amigo”。该勒索软件是为数不多的同时针对Windows和Linux的勒索软件之一。自发布以来,其开发人员已多次重写恶意软件,包括.NET、C++和Python版本,尽管这些版本的勒索软件一直存在缺陷,可能会在解密过程中损坏数据,因此使用使用解密器提供的解密器时数据损坏。Pysa背后的RaaS运营商主要针对拥有高价值数据资产的大型组织。初期的入侵手段主要有RDP暴力破解和钓鱼邮件。今年3月,Pysa开始大规模攻击教育、医疗等行业,造成了非常严重的负面影响。3、受害目标行业分布统计这些活跃的敲诈勒索组织的目标选择范围很广。但勒索组织的攻击也是受利益驱使,需要估算投资成本和预期收益。同时,由于犯罪活动存在一些风险因素,因此这些敲诈勒索组织在目标选择上也不乏针对性。2021年上半年已披露勒索组织定向攻击目标行业统计如下:调查结果:(1)专业及法律服务、制造业受勒索攻击增多:专业及法律服务及制造业是2021年上半年的整体攻击占比较高。原因是这两个行业的实体数量在所有行业中的占比都比较高,暴露在勒索组织面前的攻击面也比较广;此外,很多专业服务公司规模很小,缺乏专门的IT服务人员,网络结构趋于扁平化,数据备份等安全防护不到位,进一步增加了勒索攻击的成功率反对专业和法律服务行业。(2)医疗卫生和政府机构受到攻击。2021年,一些与勒索攻击有关的事件的社会影响将极其恶劣。例如,DarkSide勒索攻击导致美国油气管道公司重要业务暂停,严重影响社会正常运转;Conti勒索软件组织攻击了爱尔兰卫生服务计算机系统,对卫生和社会保健服务造成了严重影响。2020年甚至出现了间接导致患者死亡的勒索软件攻击事件,公众对勒索软件组织深恶痛绝。这些犯罪行为已引起众多敲诈勒索组织的高度关注,受到执法部门的警告和打击。为了避免由此带来的风险,DarkSide和Avaddon组织甚至停止了运营。受这些事件的影响,其他一些组织表示将不再攻击医院、公益组织和政府机构。一方面是为了降低执法部门的关注度,避免被高关注度打击。公众对医疗服务等重要民生行业高度反感。其中,Babuk勒索组织表示不会攻击医院、非营利组织、学校和小企业;由于DarkSide攻击美国油气管道公司造成严重后果,REvil还宣布将严格审查其关联公司的攻击目标。与行业相比,勒索软件攻击组织还注重目标的规模,这意味着一些拥有庞大网络的企业面临更高的被攻击风险。4、勒索软件技术趋势分析在针对目标的攻击方式上,RDP弱口令、钓鱼和漏洞利用仍然是今年上半年勒索软件的主要入侵方式。特别是去年以来,由于新冠疫情持续,远程办公需求大幅增加,勒索软件攻击者通过弱VPN凭证进入企业内部网络的风险也大大增加。各种未修补的漏洞和0day漏洞也是企业网络被破坏的罪魁祸首。Babuk勒索组织今年在论坛上公开购买VPN0day漏洞,意图入侵更多受害者。值得注意的是,几个新披露的漏洞已经加入了勒索软件攻击者的武器库,并且有相当数量的受害者受到了影响:AccellionFTA漏洞被Clop组织利用,入侵了数十名受害者的服务器并大量盗取,因此,Clop成为最活跃的勒索组织之一。QLocker勒索病毒只利用漏洞未修复的QNAPNAS(NetworkAttachedStorage,网络附加存储)设备,一个月勒索35万美元,受害者数百人。MicrosoftExchangeProxylogon漏洞(CVE-2021-26855等)自披露以来,已被多个恶意加密软件利用,发起勒索攻击。为了让更多用户感染勒索软件,攻击者在传播手段上也是煞费苦心。REvil首创了一种“智能”攻击方式,通过SEO(SearchEngineOptimization,搜索引擎优化)增加恶意链接的流量。SEO利用搜索引擎的运行规则对网站进行调整,以提高网站在搜索引擎结果中的排名。至少从2020年底开始,REvil勒索组织一直在滥用多个受感染的WordPress网站,向它们注入数百页虚假内容,提高恶意链接在谷歌搜索引擎上的排名,一旦受害者访问该网站,就会被诱导下载Gootloader加载器,该加载器用于加载其他恶意程序,包括REvil勒索软件、Gootkit银行木马和CobaltStrike入侵工具。当然,一些勒索组织也会根据被追踪勒索的入侵技术点,招募专业的“暗网”黑客或向其他攻击者购买基础设施、工具等来入侵目标网络,甚至直接购买网络访问权限。组织结合ATT&CK模型总结一下,勒索组织在入侵的各个阶段最常用的技术手段有:并有足够的筹码敲诈受害人。因此,提高网络攻击防护能力,提高人员安全意识,做好数据备份是防范此类攻击的有效途径。5.“商业模式”演变勒索软件攻击的重要目标之一是提高受害者支付赎金的意愿。由于Maze勒索软件组织已经开始窃取敏感的用户数据,然后对数据进行加密,它威胁要在不支付赎金的情况下泄露数据。“双重勒索模式”,大量勒索组织也加入进来,如Clop、REvil、Babuk等勒索组织就是其中的典型。在这种策略下,即使受害者有数据备份,由于机密数据泄露的风险,他们也将不得不支付赎金。目前,“双重勒索”模式已经成为众多勒索组织的标配,而且大多数勒索组织都建立了自己的数据泄露站点来给受害人施压。但随着攻击策略的不断演化,攻击策略再次升级,向三重甚至多重勒索演进。2020年,芬兰一家医疗机构遭到攻击,4万多名患者的隐私数据被泄露。攻击者不仅向被攻击方索要赎金,还向部分患者勒索少量赎金。进入2021年,这一升级策略又发生了新的变化。2月,REvil勒索软件的运营商宣布,他们将采用DDOS攻击,并联系新闻媒体和受害者的商业伙伴,向受害者施压,要求其支付赎金。DoppelPaymer甚至拥有自己的社交账号,肆意发布受害人的信息,损害受害人的商业声誉。勒索软件及其背后的运营商越来越猖獗。如果攻击者拥有更多的筹码,将更容易利用赎金规模达到更高的水平。巨大的利益必将推动勒索软件运营商改变其“商业模式”不断创新。六、其他值得关注的趋势进入2021年,一些被盯上的勒索团伙除了技术手段和“商业模式”发生变化外,还有一些其他变化:(1)更多的勒索团伙开始将攻击目标转移到云业务:主要加密平台勒索软件一直是Windows,但随着云业务的蓬勃发展,很多企业将业务迁移到云端,更多的勒索组织将目光转向云端,将攻击能力扩展到多个平台。以扩展为例,今年Babuk和REvil勒索组织开始开发Linux版勒索软件,针对EXSI等虚拟化管理平台进行加密。通过多平台勒索软件,攻击者还可以对部署了NAS等重要软件的Linux系统发起攻击。(2)定向勒索攻击勒索赎金规模逐渐加大:赎金规模方面,2021年上半年也屡创新高。今年3月底,美国最大的保险公司之一CNAFinancial遭受PhoenixLocker勒索软件攻击,并向黑客支付了4000万美元。同月,宏碁还遭到勒索组织REvil的袭击,索要高达5000万美元的赎金。此外,REvil攻击了管理服务商Kaseya,并于今年7月2日发起了供应链攻击。索要赎金高达7000万美元,折合人民币4.5亿余元。然而,在2020年,要求的最高赎金金额为3400万美元,而追溯到2019年,最高赎金金额仅为1500万美元。根据Coveware的一份报告,2021年第一季度的平均赎金将比2020年第四季度增长43%,赎金中值将增长59%。这些数据充分说明了数据在大型企业/组织中的重要性和保密性。(3)一些组织已经从数据加密转向纯粹的数据泄露勒索策略:勒索软件加密出现了不同于传统RaaS模式的新趋势。今年年初,Clop勒索组织通过FTA文件传输系统漏洞窃取用户敏感数据。然而,攻击者并没有对用户数据进行加密,仅凭泄露的数据就对大量受害者进行了勒索。虽然这可能是使用勒索软件加密文件的攻击中的偶然现象,但一些勒索软件组织已经宣布将彻底放弃加密业务,转向纯粹的数据窃取进行勒索。就像之前介绍Babuk一样,是在高调宣传他改变策略,甚至将自己开发的恶意加密软件开源。这种变化的部分原因与双重勒索策略的出现重叠:各企业组织安全意识的提高,在数据备份技术等安全技术的支持下,加密勒索策略的有效性有所下降。此外,恶意加密软件编码可能存在的缺陷,将导致无法正确加解密受害人的文件,严重影响勒索组织所谓的“商业信誉”,降低受害人支付赎金的比例。另一个原因可能是勒索组织担心破坏加密对数据可用性的影响会导致严重的社会影响,进而受到执法部门的更多关注,遭受毁灭性的??打击。DarkSide对石油和天然气管道供应商发起加密勒索攻击已有很长时间了。导致分手的事件离我们不远了。但是,与加密的情况相比,如果只是窃取数据进行勒索,攻击者可能需要窃取更多或更重要的数据才能获得足够的筹码。未来是否会有更多机构放弃加密业务,不得而知。(4)勒索组织针对供应商发起供应链攻击,影响巨大:供应链是商业和经济的命脉。正因如此,近年来网络犯罪团伙和国家级黑客多次针对“这块肥肉”发起了数次重大供应链攻击,如SolarWinds供应链攻击,导致企业竞争优势丧失和严重的金融风险。勒索组织也一直密切关注供应链攻击,早在2017年,NotPetya就对马士基航运发起了供应链攻击,导致全球59个国家76个港口的运营中断。活动期间REvil勒索组织多次对MSP供应商发起攻击,今年利用0day攻击入侵KaseyaVSA服务器,发起供应链攻击,向MSP供应商推送恶意软件更新,甚至引发下游瑞典连锁超市由于Coop的结账系统出现重大故障,500多家商店被迫关闭,超过1,500家企业也受到影响e事件。目前,勒索组织发起的供应链攻击事件时有发生,利用供应链发起的攻击破坏力惊人。防范此类攻击也是企业和组织关注的重点。(五)工业互联网安全值得进一步关注:工业互联网安全是网络与信息安全的重要组成部分。工业生产等领域是关系国计民生的重要产业。随着以互联网+、物联网、云计算、大数据、人工智能等为代表的新一代信息技术与传统工业生产系统加速融合,工业互联网打破了相对封闭、可信的制造环境。传统产业。长期的独立封闭导致工控系统存在很多漏洞没有得到修复和重视,包括一些严重的漏洞。由于工业控制系统的重要性,开放带来的信息安全问题日益严重,甚至成为敲诈勒索组织的目标。美国最大的石油和天然气管道运营商Colonial因勒索软件攻击而被迫关闭燃料供应链系统。这一事件再次为工控数据安全敲响了警钟。严肃的。工业控制系统面临的勒索攻击形式严峻,工业互联网的信息安全问题引起了国家和社会各界的高度重视。7.总结作为企业和大型组织安全的重要威胁之一,定向勒索攻击已经发展出高度的组织化和产业化,不仅造成经济损失和数据破坏,还损害了企业的声誉,影响产业发展,甚至对社会运行和公众生命财产安全构成严重威胁。恶意攻击者受利益驱使,思想正在发生变化。持续研究不同勒索组织的产生和发展过程,掌握勒索犯罪组织的总体动向和动向,可以帮助我们更好地认识这个网络犯罪“产业”,从而更好地防范勒索攻击,打击勒索犯罪。他们背后的犯罪组织者。方法。H3C安全攻防实验室将持续跟进,及时转化输出研究成果。
