近年來，勒索軟件持續(xù)占據(jù)新聞頭條。為了謀取利益，攻擊者開始以各種類型的組織為目標(biāo)——從醫(yī)療保健和教育機構(gòu)到服務(wù)提供商和工業(yè)組織——幾乎影響到我們生活的方方面面。2022年，卡巴斯基解決方案檢測到超過7420萬次勒索軟件攻擊嘗試，比2021年(6170萬)增加了20%。盡管2023年初勒索軟件攻擊數(shù)量略有下降，但它們卻表現(xiàn)得更加復(fù)雜，且更具針對性。

時值全球反勒索軟件日(5月12日)，卡巴斯基回顧了2022年影響勒索軟件格局的事件以及去年預(yù)測的趨勢，討論了新興趨勢，并對不久的將來進行了預(yù)測。

2022年勒索軟件報告回顧

去年，卡巴斯基詳細討論了三個趨勢：

• 威脅行為者試圖開發(fā)跨平臺勒索軟件，使其盡可能具有適應(yīng)性;
• 勒索軟件生態(tài)系統(tǒng)正在進化，變得更加“工業(yè)化”;
• 勒索軟件團伙在地緣政治沖突中戰(zhàn)隊;

這些趨勢一直持續(xù)至今。去年的報告發(fā)布后，研究人員還偶然發(fā)現(xiàn)了一個新的多平臺勒索軟件家族RedAlert/N13V，它主要針對非Windows平臺，支持在ESXi環(huán)境中阻止虛擬機，清楚地表明了攻擊者的目標(biāo)。

另一個勒索軟件家族LockBit顯然更為先進。安全研究人員發(fā)現(xiàn)了一個檔案，其中包含了針對一些不太常見的平臺(包括macOS和FreeBSD)以及各種非標(biāo)準(zhǔn)處理器架構(gòu)(如MIPS和SPARC)的惡意軟件測試版本。

至于第二種趨勢，研究人員看到 BlackCat在年中調(diào)整了TTP。他們用看起來像被入侵組織的名稱注冊了域名，建立了類似“Have I Been Pwned-like”這樣的網(wǎng)站。受害組織的員工可以使用這些網(wǎng)站來檢查他們的名字是否出現(xiàn)在被盜數(shù)據(jù)中，從而增加了受影響組織支付贖金的壓力。

盡管研究人員去年發(fā)現(xiàn)的第三個趨勢是勒索軟件組織在地緣政治沖突中有意偏袒一方，但這并不只適用于他們。有一個特殊的樣本：一個名為“Eternity”的惡意軟件。其開發(fā)者聲稱該惡意軟件被用于地緣政治沖突后，研究人員的研究表明，圍繞 Eternity存在一個完整的惡意軟件生態(tài)系統(tǒng)，包括一個勒索軟件變體。文章發(fā)表后，開發(fā)者確保該惡意軟件不會影響烏克蘭用戶，并在該惡意軟件中包含一條親烏克蘭的消息。

【惡意軟件開發(fā)者警告不要在烏克蘭使用他們的惡意軟件】

【惡意軟件代碼里存在親烏克蘭的信息】

影響2022年勒索軟件格局的因素

勒索軟件生生滅滅，其中一些在去年停止運行，而另一些又出現(xiàn)了，這不足為奇。例如，研究人員報道了RedAlert/N13V、Luna、Sugar、Monster等勒索軟件的出現(xiàn)。然而，在2022年看到的最活躍的家族是BlackBasta。當(dāng)研究人員在2022年4月發(fā)布關(guān)于BlackBasta的初步報告時，只提到了一名受害者，但此后，受害者數(shù)量開始急劇增加。同時，該惡意軟件本身也在迭代，增加了一種基于LDAP的自我傳播機制。后來，研究人員還發(fā)現(xiàn)了一個針對ESXi環(huán)境的BlackBasta版本，最近的版本甚至支持x64架構(gòu)。

如上所述，當(dāng)所有這些新團體出現(xiàn)時，其他一些團體(如REvil和Conti)就消失了。Conti是其中最臭名昭著的，自從他們的檔案被泄露到網(wǎng)上并被許多安全研究人員分析以來，他們一直備受關(guān)注。

最后，Clop等其他組織在去年加大了攻擊力度，并在2023年初達到了頂峰，他們聲稱使用一個零日漏洞攻擊了130個組織。

有趣的是，在過去一年中，最具影響力和最多產(chǎn)的五大勒索軟件組織(根據(jù)其數(shù)據(jù)泄露網(wǎng)站上列出的受害者數(shù)量)發(fā)生了巨大變化。現(xiàn)已解散的REvil和Conti在2022年上半年的攻擊次數(shù)分別排在第二和第三位，在2023年第一季度被Vice Society和BlackCat所取代。2023年第一季度排名前五的其他勒索軟件組織是Clop和Royal。

【按公布的受害者數(shù)量排名前五的勒索軟件組織】

從事件響應(yīng)的角度來看勒索軟件

去年，全球應(yīng)急響應(yīng)小組(GERT)處理了許多勒索軟件事件。事實上，這是他們面臨的頭號挑戰(zhàn)，盡管2022年勒索軟件的份額比2021年略有下降，從51.9%降至39.8%。

就初始訪問而言，GERT調(diào)查的案例中有近一半(42.9%)涉及利用面向公眾的設(shè)備和應(yīng)用程序中的漏洞，例如未打補丁的路由器、Log4j日志實用程序的易受攻擊版本等。第二大類示例包括被盜帳戶和惡意電子郵件。

勒索軟件組織使用的最流行的工具幾乎每年都保持不變。攻擊者習(xí)慣使用PowerShell來收集數(shù)據(jù)，使用Mimikatz來升級權(quán)限，使用PsExec來遠程執(zhí)行命令，或者使用Cobalt Strike等框架來進行所有攻擊階段。

研究人員對2023年趨勢的預(yù)測

當(dāng)回顧2022年和2023年初發(fā)生的事件，并分析各種勒索軟件家族時，研究人員試圖找出這個領(lǐng)域的下一個大事件可能是什么。這些觀察得出了三個潛在趨勢，研究人員認(rèn)為這些趨勢將影響2023年接下來的威脅格局。

趨勢1：更多嵌入式功能

研究人員發(fā)現(xiàn)了一些勒索軟件組織在2022年擴展了其惡意軟件的功能。其中，最值得注意的新增功能是自我傳播，無論是真的還是假的。如上所述，BlackBasta通過使用LDAP庫獲取網(wǎng)絡(luò)上可用計算機的列表來開始自我傳播。

LockBit在2022年增加了所謂的“自擴展”功能，為運營商節(jié)省了手動運行PsExec等工具的工作量。盡管研究人員證實，這只不過是一個憑證轉(zhuǎn)儲功能，并且在后來的版本中被刪除了。

不過，Play勒索軟件確實有一種自我傳播機制。它收集啟用了SMB的不同IP，建立與這些IP的連接，掛載SMB資源，然后自我復(fù)制并在目標(biāo)計算機上運行。

最近，許多臭名昭著的勒索軟件組織都采用了自我傳播機制，這表明這種趨勢將持續(xù)下去。

趨勢2：驅(qū)動器濫用

濫用易受攻擊的驅(qū)動程序達到惡意目的可能是老把戲了，但它仍然有效，特別是在殺毒(AV)驅(qū)動程序上。Avast Anti-Rootkit內(nèi)核驅(qū)動程序包含某些以前曾被AvosLocker利用過的漏洞。2022年5月，SentinelLabs詳細描述了驅(qū)動程序中的兩個新漏洞(CVE-2022-26522和CVE-2022-206523)。這些漏洞后來被AvosLocker和Cuba勒索軟件家族利用。

殺毒驅(qū)動程序并不是唯一被攻擊者濫用的驅(qū)動程序。研究人員最近還發(fā)現(xiàn)了一個被勒索軟件攻擊者濫用的Genshin Impact反作弊驅(qū)動程序，用于終止目標(biāo)設(shè)備上的端點保護。

驅(qū)動器濫用趨勢還在繼續(xù)演變。卡巴斯基報告的最新案例相當(dāng)奇怪，因為它不符合前兩個類別中的任何一類。合法的代碼簽名證書(如英偉達泄露的證書和科威特電信公司的證書)被用來簽署惡意驅(qū)動程序，該驅(qū)動程序隨后被用于針對阿爾巴尼亞組織的wiper攻擊。wiper使用rawdisk驅(qū)動程序直接訪問硬盤。

趨勢3：采用其他家族的代碼以吸引更多的附屬機構(gòu)

主流勒索軟件組織正在從泄露的代碼或從其他攻擊者處購買的代碼中借用功能，這可能會改善他們自己的惡意軟件功能。

研究人員最近發(fā)現(xiàn)LockBit組織采用了至少25%的泄露的Conti代碼，并在此基礎(chǔ)上發(fā)布了一個新版本。像這樣的舉措使附屬機構(gòu)能夠使用熟悉的代碼，而惡意軟件運營商則有機會提高他們的攻擊能力。

勒索軟件團伙之間的合作也導(dǎo)致了更高級的攻擊。各團伙正在合作開發(fā)尖端戰(zhàn)略，以規(guī)避安全措施并改進攻擊。

這一趨勢導(dǎo)致了勒索軟件業(yè)務(wù)的興起，從而催生出更多更高質(zhì)量的黑客工具，進一步降低了勒索軟件攻擊的準(zhǔn)入門檻，同時提高了勒索攻擊的復(fù)雜度和成功率。

結(jié)語

勒索軟件已經(jīng)存在了很多年，并逐漸演變成復(fù)雜多變的網(wǎng)絡(luò)犯罪行業(yè)。威脅行為者一直在嘗試新的攻擊策略和程序，并不斷改進任何可行的策略。勒索軟件現(xiàn)在可以被認(rèn)為是一個成熟的行業(yè)，我們預(yù)計短期內(nèi)不會有突破性的發(fā)現(xiàn)或游戲顛覆者。

勒索軟件組織將繼續(xù)通過支持更多平臺來最大化攻擊面。雖然對ESXi和Linux服務(wù)器的攻擊現(xiàn)在已經(jīng)司空見慣，但頂級勒索軟件組織正在努力瞄準(zhǔn)更多可能包含關(guān)鍵任務(wù)數(shù)據(jù)的平臺。這一趨勢的一個很好的例證是最近發(fā)現(xiàn)了一個示例，其中包含針對macOS、FreeBSD和非傳統(tǒng)CPU架構(gòu)(如MIPS、SPARC等)的LockBit勒索軟件的測試版本。

除此之外，攻擊者在其操作中使用的TTP將繼續(xù)發(fā)展，上述的驅(qū)動程序濫用技術(shù)就是一個很好的例子。為了有效地應(yīng)對勒索軟件參與者不斷變化的策略，安全專家建議組織：

及時更新他們的軟件，以防止通過漏洞利用感染，這是勒索軟件參與者最常使用的初始感染媒介之一。

使用量身定制的安全解決方案來保護其基礎(chǔ)設(shè)施免受各種威脅，包括反勒索軟件工具、目標(biāo)攻擊保護、EDR等。

通過使用威脅情報服務(wù)，保持他們的SOC或信息安全團隊對勒索軟件戰(zhàn)術(shù)和技術(shù)的了解是最新的。