2022年,卡巴斯基解決方案檢測到超過7420萬次勒索軟件攻擊,比2021年(6170萬)增加了20%。盡管2023年初勒索軟件攻擊數量略有下降,但它們更復雜,目標更明確。
去年,卡巴斯基實驗室介紹了今年的三個趨勢:
1.攻擊者試圖開發跨平臺勒索軟件,使其盡可能具有適應性;
2.勒索軟件生態系統正在進化,變得更加工業化;
3.勒索組織開始參與地緣政治;
這些趨勢至今還存在,研究人員偶然發現了一個新的多平臺勒索軟件家族,它同時針對Linux和Windows。研究人員將其命名為RedAlert/N13V。該勒索軟件專注于非Windows平臺,支持在ESXi環境中阻止虛擬機,這樣可以掩蓋其意圖。
另一個勒索軟件家族LockBit顯然攻擊能力較強。安全研究人員發現了它的介紹,其中包含了針對一些不太常見的平臺(包括macOS和FreeBSD)以及各種非標準處理器架構(如MIPS和SPARC)的惡意軟件測試版本。
至于第二種趨勢,研究人員看到 BlackCat(又名 ALPHV)在年中調整了TTP。他們注冊的域名看起來像是被攻擊組織的域名,建立了像“我被勒索了嗎”這樣的網站。受攻擊組織的員工可以使用這些網站來檢查他們的名字是否出現在被盜數據中,從而增加了受影響組織支付贖金的壓力。
盡管研究人員去年發現的第三種趨勢是勒索軟件組織在地緣政治沖突中有意偏袒一方,但這并不完全適用于他們。有一個特殊的樣本:一個名為“Eternity”的惡意軟件。其開發者聲稱該惡意軟件被用于地緣政治沖突后,研究人員的研究表明,圍繞 Eternity存在一個完整的惡意軟件生態系統,包括一個勒索軟件變體。文章發表后,開發者確保該惡意軟件不會影響烏克蘭用戶,并在該惡意軟件中包含一條親烏克蘭的消息。
2022年勒索軟件的格局還受到了哪些因素的影響
研究人員報道了RedAlert/N13V、Luna、Sugar、Monster等的出現。然而,在2022年看到的最活躍的家族是BlackBasta。當研究人員在2022年4月發布關于BlackBasta的初步報告時,里面只提到一名受害者,但自那以后,數量急劇增加。與此同時,惡意軟件本身也在迭代,增加了一種基于LDAP的自我傳播機制。后來,研究人員發現了一個針對ESXi環境的BlackBasta版本,最近的版本支持x64架構。
如上所述,當有新的組織出現時,舊的組織也就被淘汰了,如REvil和Conti。Conti是其中最臭名昭著的一個,自從他們的源代碼被泄露到網上并被許多安全研究人員分析以來,他們受到了最多的關注。
最后,像Clop這樣的其他組織在去年加大了攻擊力度,在2023年初達到頂峰,因為他們聲稱使用一個零日漏洞攻擊了130個組織。
有趣的是,在過去一年中,最具影響力和最多產的五大勒索軟件組織(根據其數據泄露網站上列出的受害者數量)發生了巨大變化,F已解散的REvil和Conti在2022年上半年的攻擊次數分別排在第二和第三位,在2023年第一季度被Vice Society和BlackCat所取代。2023年第一季度排名前五的其他勒索軟件組織是Clop和Royal。
按公布的受害者數量排名前五的勒索軟件組織
從事件響應的角度來看勒索軟件
去年,全球應急響應小組(GERT)處理了許多勒索軟件事件。事實上,這是他們面臨的頭號挑戰,盡管2022年勒索軟件的份額比2021年略有下降,從51.9%降至39.8%。
就初始訪問而言,GERT調查的近一半(42.9%)示例涉及利用面向公眾的設備和應用程序中的漏洞,如未修補的路由器、Log4j日志實用程序的易受攻擊版本等。第二類示例包括被盜帳戶和惡意電子郵件。
勒索軟件組織使用的最流行的工具每年都保持不變。攻擊者使用PowerShell收集數據,使用Mimikatz升級權限,使用PsExec遠程執行命令,或使用Cobalt Strike等框架進行所有攻擊。
研究人員對2023年趨勢的預測
當研究人員回顧2022年和2023年初發生的事件,并分析各種勒索軟件家族時,他們試圖弄清楚接下來可能會發生什么。通過這些觀察研究人員得出了三個潛在趨勢,我們認為這些趨勢將影響2023年接下來的威脅格局。
趨勢1:更多嵌入式功能
研究人員看到一些勒索軟件組織在2022年擴展了其惡意軟件的功能,最值得注意的新增功能是自我傳播,如上所述,BlackBasta通過使用LDAP庫獲取網絡上可用計算機的列表來開始自我傳播。
LockBit在2022年增加了所謂的“自擴展”功能,為運營商節省了手動運行PsExec等工具的工作量。至少,這是“自我傳播”通常所暗示的。實際上,這只不過是一個憑證轉儲功能,在后來的版本中被刪除了。
例如,Play勒索軟件確實有一種自我傳播機制。它收集啟用了SMB的不同IP,建立與這些IP的連接,掛載SMB資源,然后自我復制并在目標計算機上運行。
最近,許多臭名昭著的勒索軟件組織都采用了自我傳播,這表明這將會成為一種攻擊趨勢。
趨勢2:驅動器濫用
濫用易受攻擊的驅動程序達到惡意目的可能是老套路了,但它仍然很有效,尤其是在殺毒驅動程序上。Avast Anti-Rootkit內核驅動程序包含某些漏洞,這些漏洞以前就曾被AvosLocker利用過。2022年5月,SentinelLabs詳細描述了驅動程序中的兩個新漏洞(CVE-2022-26522和CVE-2022-206523)。這些漏洞后來被AvosLocker和Cuba勒索軟件家族利用。
殺毒驅動程序并不是唯一被攻擊者濫用的驅動程序。研究人員最近發現了一名勒索軟件攻擊者濫用Genshin Impact反作弊驅動程序,使用它來終止目標設備上的終端保護。
驅動器濫用趨勢還在繼續演變,卡巴斯基報告的最新病例相當奇怪,因為它不符合前兩類中的任何一類。合法的代碼簽名證書,如英偉達泄露的證書和科威特電信公司的證書,被用來簽署惡意驅動程序,該驅動程序隨后被用于針對阿爾巴尼亞組織的wiper攻擊。wiper 使用rawdisk驅動程序直接訪問硬盤。
趨勢3:采用其他家族的代碼以攻擊更多目標
主要的勒索軟件組織正在從泄露的代碼或從其他攻擊者那里購買的代碼中借用功能,這可能會改善他們自己的惡意軟件的功能。
研究人員最近看到LockBit組織采用了至少25%的泄露的Conti代碼,并在此基礎上發展成了一個新版本。
總結
勒索軟件已經存在多年,然后發展成為一個網絡犯罪行業。攻擊者一直在不斷嘗試新的攻擊戰術和程序。勒索軟件現在可以被認為是一個成熟的行業,我們預計短期內不會有突破性的技術。
勒索軟件組織將繼續通過支持更多平臺來擴大攻擊面。雖然對ESXi和Linux服務器的攻擊現在很常見,但頂級勒索軟件組織正在努力瞄準更多可能包含關鍵任務數據的平臺。研究人員最近發現了幾個示例,其中包含針對macOS、FreeBSD和非傳統CPU架構(如MIPS、SPARC等)的LockBit勒索軟件的測試版本。
除此之外,攻擊者在操作中使用的TTP將繼續發展,上述的驅動程序濫用技術就是一個很好的例子。
參考及來源:https://securelist.com/new-ransomware-trends-in-2023/109660/