勒索病毒全球攻击趋势分析(一)手机勒索病毒与所有设备上的勒索病毒一样,手机勒索病毒持续下降。2019年,遇到勒索软件的卡巴斯基独立用户总数为72,258人。2020年为33502人,下降54%。然而,在遇到任何类型恶意软件的总人数中,遇到勒索软件的手机用户比例稳定在0.56%。与此同时,手机勒索软件检测总数也有所下降,从2019年的333,878次下降到2020年的290,372次。2019年至2020年手机勒索软件检测数量有趣的是,虽然手机勒索软件检测数量在2019年7月之后下降相对稳定,2019年7月和2020年2月只有几个小峰值,但在2020年下半年再次开始显着上升,去年9月达到35,000次测试。奇怪的是,这是由于勒索软件编码器造成的,它实际上是为Windows工作站设计的,对移动设备没有危险。然而,在2020年9月,Encoder通过同时具有移动和桌面应用程序的Telegram传播。攻击者很可能以Windows用户为目标,他们在同时下载移动版Telegram和桌面客户端时不小心在手机上安装了编码器。最活跃的移动勒索软件家族2019年最活跃的移动勒索软件家族2019年,近45%的遇到移动勒索软件的用户遇到了Svpeng,该家族最初是一个短信木马,后来转向窃取银行凭证和信用卡数据,最终变成了勒索软件。略低于19%的用户遇到过Rkor和Small。Rkor是一个典型的储物柜,通过色情传播,它使用无障碍服务来获得对设备的必要控制,然后锁定设备直到付款。Small与Rkor非常相似:它会锁定屏幕并需要付费才能继续观看色情内容。排在第四位的是Congur,它通过WhatsApp等改进后的应用程序传播。另一个著名的活跃家族是Fusob,他们自称来自权威机构,并表示预定的受害者有义务支付罚款。2020年最活跃的手机勒索软件家族分布2020年,Small是最常见的手机勒索软件家族,占比26%,其次是Rkor和Congur。Svpeng是第四常见的家族,有14%的用户遇到过它。受攻击用户地区分布2019年移动设备遭遇勒索软件用户比例最高的国家如下:在全球范围内,美国的比例最高。哈萨克斯坦紧随其后,占13.24%。排名前10位的其他国家/地区的手机勒索软件用户比例要小得多,加拿大仅占第三大份额,仅为2.71%。2020年遭遇手机勒索软件用户比例最高的国家如下:哈萨克斯坦2020年遭遇手机勒索软件用户比例最高,在所有遭遇恶意软件的用户中,受勒索软件攻击的用户占比23.80%,其次美国为10.32%。波兰、西班牙和加拿大被马来西亚、印度尼西亚和埃及取代。总体而言,受影响用户的百分比有所下降,这是意料之中的,因为受移动勒索软件影响的用户总数下降了50%以上。用于针对性攻击的勒索软件的兴起虽然检测到的勒索软件的原始总数一直在下降,但这些数字只说明了部分情况。当勒索软件首次登上头条时,是因为WannaCry、Petya和CryptoLocker等活动:这些大规模活动的目的是攻击尽可能多的用户并从每个用户那里勒索相对较小的金额。例如,在“WannaCry”事件中,攻击者只索要300美元,后来又将赎金提高到600美元。然而,由于几个潜在原因,此类攻击的盈利能力正在下降。鉴于勒索软件受到越来越多的关注,安全软件可能在阻止勒索软件威胁方面做得更好,而且人们一再被告知不要支付赎金。此外,在许多国家,人们根本负担不起如此高昂的赎金。结果,攻击者将注意力转向了那些可以付钱给他们的人,例如公司。2019年,近三分之一的勒索软件受害者是企业。当然,感染公司需要更复杂、更有针对性的方法,并且有专门设计用于此目的的勒索软件系列。有针对性的勒索软件(也称为“大型游戏狩猎”)包括用于向特定受害者勒索资金的勒索软件系列。这些受害者往往是知名人士,例如大公司、政府和市政机构以及医疗保健组织,所要求的赎金远高于个人用户。通常,他们的攻击包括以下一个或多个阶段:网络攻击侦察和持久性横向移动数据泄露数据加密勒索软件最初的感染通常是通过使用服务器端软件(VPN、Citrix、WebLogic、Tomcat、Exchange等).),RDP攻击/凭据填充,供应链攻击或僵尸网络。卡巴斯基根据选定的受害者以及攻击是否使用复杂的方法(例如破坏网络或横向移动)将特定的勒索软件组归类为“目标”。到目前为止,卡巴斯基已经确定了其中28个目标家族,包括臭名昭著的Hades勒索软件,其目标是价值至少10亿美元的公司。Hades勒索软件于2020年12月首次被发现,以其将受害者引导至的Tor站点命名。它是WastedLocker的64位编译变体。两者之间有很多代码重叠。除了额外的代码混淆和小的功能变化外,它与WastedLocker的大部分功能基本相同,包括受ISFB启发的静态配置、多阶段持久化/安装过程、文件/目录枚举和加密功能,不同之处在于Hades去除了INDRIKSPIDER在以前的勒索软件系列(WastedLocker和BitPaymer)中独有的一些功能,包括:Hades现在带有附加代码一个64位编译的可执行文件,具有混淆功能,旨在逃避签名检测和阻止逆向工程。大多数标准文件和注册表WindowsAPI调用已被其对应的系统调用(即从NTDLL导出的用户模式本机API)所取代。Hades使用与WastedLocker使用不同的用户帐户控制(UAC)绕过,但这两种实现都直接来自开源UACME项目https[:]//github[.]com/hfiref0x/UACME。Hades将名为HOW-TO-DECRYPT-[扩展名].txt的赎金票据写入遍历目录,而WastedLocker和BitPaymer为每个加密文件创建一张票据。Hades将密钥信息存储在每个加密文件中,而WastedLocker和BitPaymer都将编码和加密的密钥信息存储在文件特定的赎金票据中。Hades仍然将自己复制到ApplicationData构建子目录中,但不再使用:bin备用数据流(ADS),这是WastedLocker和BitPaymer的一个功能。Hades还体现了从使用电子邮件通信和窃取受害者机密数据以进行付款的可能性的战术转变。Hades赎金票据将受害者引导至Tor站点,并且不会通过赎金票据识别受害公司,这也经常出现在WastedLocker和BitPaymer中。从2019年到2020年,受针对性勒索软件(旨在影响特定用户的勒索软件)影响的独立用户数量从985人增加到8,538人,增长了767%。在REvil勒索软件家族的推动下,2019-20年受针对性勒索软件影响的唯一卡巴斯基用户数量在2020年7月大幅飙升,该勒索软件家族成功利用了外汇公司Travelex,勒索了230万美元。拥有众多名人客户的纽约律师事务所GrubmanShireMeiselas&Sacks在5月也成为REvil的受害者。2019年和2020年还出现了其他针对性很强的勒索软件系列,最著名的是Maze。Maze于2019年首次出现,它使用多种机制进行初始攻击。在某些情况下,他们使用鱼叉式网络钓鱼活动来安装CobaltStrikeRAT,而其他攻击涉及利用易受攻击的面向互联网的服务(例如CitrixADC/NetScaler或PulseSecureVPN)或弱RDP凭据来破坏网络。Maze主要针对企业和大型组织。他们最著名的袭击是针对LG和佛罗里达州彭萨科拉市的。除了有针对性的勒索软件兴起之外,重点不仅在于数据加密,还在于数据泄露,因为攻击者会搜索高度机密的信息,并威胁说如果不支付赎金就会杀死他们。将其公开作为迫使组织支付赎金的一种手段。如果不支付赎金,Maze是第一个释放被盗数据的勒索软件组织。此外,这些信息还可以在随后的在线拍卖中出售。2020年夏天,许多农业公司的数据库成为REvil的牺牲品。最终,Maze与RagnarLocker联手,RagnarLocker是另一个知名的、针对性很强的勒索软件家族,于2020年首次出现。与Maze一样,RagnarLocker主要针对大型组织,并在拒绝支付赎金的人的“耻辱墙”上发布机密信息.该家族的目标非常具体,以至于每个恶意软件样本都特定于它所针对的组织。WastedLocker也在2020年突然出现,并迅速成为世界各地的头条新闻,因为它关闭了Garmin最受欢迎的服务,该服务持有该公司在攻击中使用的1000万美元赎金数据。该恶意软件专为Garmin而设计。WastedLocker是一种新型勒索病毒,于2020年5月首次被发现。此后,该勒索病毒的各种变种不断被发现,其版本变化往往与EvilCorp恶意组织的其他恶意软件版本变化同步。有针对性的勒索软件并不局限于某一特定行业,它会影响从医疗保健组织到体育和健身公司的方方面面。2019-2020年按行业划分的定向勒索软件攻击分布工程和制造业是迄今为止最具代表性的行业,从2019年到2020年,有25.63%的定向勒索软件攻击影响了该行业。鉴于其数据的高度敏感性和高风险,这并不奇怪这些公司通常具有的价值。如果系统下线,也会极大地扰乱行业的经营。7.60%的有针对性的勒索软件攻击影响专业和消费者服务公司,7.09%的目标是金融公司。其他受欢迎的目标是建筑和房地产、商业和零售,以及IT和电信。总结世界正在进入勒索软件的新时代,任何针对普通用户的大规模活动都可能非常罕见。当然,这并不是说勒索软件只对大公司构成威胁。就在去年12月,一个组织希望通过发布一款假冒的游戏移动版本来加密用户下载的文件,从而利用《赛博朋克2077》的发布。这意味着勒索软件攻击者将继续部署更先进的技术来渗透网络和加密数据。像Lazarus这样的APT组织已经开始将勒索软件添加到他们的工具集中。如果其他高级攻击者效仿,也就不足为奇了。重要的一点是,无论大小,公司都不仅仅需要考虑备份数据。他们也需要采取全面的方法来保护自己的安全,包括定期打补丁、软件更新和网络安全意识培训。一些针对公司的攻击涉及在系统中获得初始立足点,横向移动网络直到完全控制,然后在攻击将造成最大破坏的时刻进行数月的侦察。在使用REvil勒索软件对Travelex进行攻击期间,网络犯罪分子在实际加密数据并索要赎金前六个月渗透了该公司的网络。缓解措施1.经常更新您使用的所有设备的软件,以防止勒索软件利用漏洞。2.将您的防御策略集中在检测横向移动和数据泄露到Internet上。特别注意传出流量以检测来自网络犯罪分子的连接。3.定期备份数据,以确保在需要的紧急情况下可以快速访问。4.使用KasperskyFocusedDetectionandResponse和KasperskyManagedDetectionandResponse等解决方案,帮助在攻击者实现最终目标之前及早识别和阻止攻击。本文翻译自:https://securelist.com/ransomware-by-the-numbers-reassessing-the-threats-global-impact/101965/如有转载请注明出处。
