勒索軟件的攻擊始于2019年底，以Maze為代表的勒索軟件成為了第一批代表性軟件。后來(lái)勒索軟件開(kāi)發(fā)者又創(chuàng)造了一種新的、高效的攻擊大型盈利企業(yè)的方案——雙重勒索。在雙重勒索中，攻擊者不僅對(duì)數(shù)據(jù)進(jìn)行加密，還竊取高度敏感的信息——客戶(hù)和員工的個(gè)人數(shù)據(jù)、內(nèi)部文件、知識(shí)產(chǎn)權(quán)等，并威脅如果不支付贖金就公布這些信息。這讓公司不得不支付大量贖金。在2020年，我們稱(chēng)之為“勒索軟件2.0”，毫無(wú)疑問(wèn)，包括REvil(又名Sodinokibi)、DarkSide、Babuk、Avaddon、Conti等大型勒索軟件組織已經(jīng)開(kāi)始采用這種新的方法。Maze還開(kāi)始在他們的網(wǎng)站上發(fā)布有關(guān)被盜數(shù)據(jù)的信息，其他勒索軟件組織也紛紛效仿，建立了自己的泄露網(wǎng)站。

實(shí)際上，通過(guò)分析各勒索軟件組織的各種泄漏網(wǎng)站的受害者人數(shù)，可以很容易地看到2021年“勒索軟件2.0”增長(zhǎng)非常迅速。從2021年1月至11月，受害者人數(shù)比2020年全年增加30%，共影響1500家組織。補(bǔ)考過(guò)鑒于這些勒索軟件組織不會(huì)在他們的泄露網(wǎng)站上發(fā)布所有受害者的信息，因此，實(shí)際數(shù)字可能會(huì)高得多。

大約在同一時(shí)間，一個(gè)完整的犯罪生態(tài)系統(tǒng)開(kāi)始形成，以支持迅速發(fā)展的勒索軟件攻擊——勒索軟件即服務(wù)(ransomware -as- service, RaaS)。在這個(gè)生態(tài)系統(tǒng)中，每個(gè)參與者都扮演著特定的角色：有些人提供加密武器，以及公布受害者細(xì)節(jié)的平臺(tái)。其他人(合作伙伴或附屬機(jī)構(gòu))對(duì)組織進(jìn)行直接攻擊。此外，在這個(gè)生態(tài)系統(tǒng)中運(yùn)作的攻擊者會(huì)從第三方購(gòu)買(mǎi)工具來(lái)初步滲透受害者的基礎(chǔ)設(shè)施。這個(gè)生態(tài)系統(tǒng)為那些希望從勒索軟件中獲利的人增加了額外的運(yùn)營(yíng)效率和龐大的支持網(wǎng)絡(luò)。

雙重勒索與 RaaS 相結(jié)合，為網(wǎng)絡(luò)犯罪分子成功攻擊大公司創(chuàng)造了更多手段，勒索數(shù)十萬(wàn)甚至數(shù)百萬(wàn)美元屬于家常便飯。事實(shí)上，根據(jù)美國(guó)財(cái)政部金融犯罪執(zhí)法網(wǎng)絡(luò) (FinCEN) 的數(shù)據(jù)，僅在美國(guó)的組織在 2021 年上半年就可能向勒索軟件組織支付了近 6 億美元。而且，根據(jù)同一份報(bào)告，如果你看看過(guò)去一年最多產(chǎn)的攻擊者，他們?cè)谶^(guò)去三年中可能收到了 52 億美元的轉(zhuǎn)會(huì)費(fèi)。

引人注目的 B2B 目標(biāo)、巨大的贖金要求、復(fù)雜的攻擊、高度敏感的數(shù)據(jù)被盜以及成功攻擊的巨大利潤(rùn)，勒索軟件成為主流也就不足為奇了。

2021年的主要勒索軟件事件

今年最大的攻擊事件是美國(guó)主要燃油、燃?xì)夤艿肋\(yùn)營(yíng)商Colonial Pipeline受到黑客攻擊，被迫關(guān)閉全部管道運(yùn)營(yíng)系統(tǒng)。DarkSide如今已經(jīng)不存在了，當(dāng)時(shí)他們發(fā)表聲明稱(chēng)目的是要錢(qián)，而不是為社會(huì)制造麻煩。Colonial最終支付了440萬(wàn)贖金。同月晚些時(shí)候，另一名RaaS使用者REvil也追隨了 DarkSide 的腳步，關(guān)閉了世界上最大的牛肉供應(yīng)商JBS的幾個(gè)生產(chǎn)基地。該公司最終支付了1100萬(wàn)美元，恢復(fù)了他們的運(yùn)營(yíng)商，并恢復(fù)了被盜數(shù)據(jù)。

針對(duì)Colonial和JBS的攻擊促使拜登總統(tǒng)宣布進(jìn)入緊急狀態(tài)，并與普京總統(tǒng)會(huì)面，討論在應(yīng)對(duì)勒索軟件威脅方面的相互合作。這引發(fā)了與勒索軟件相關(guān)的一個(gè)新的、重要的趨勢(shì)——政府參與打擊勒索軟件和加強(qiáng)國(guó)際合作。2021年9月，美國(guó)財(cái)政部對(duì)虛擬加密貨幣交易所Suex實(shí)施制裁，原因是它們幫助勒索軟件攻擊者。

另一家從2019年開(kāi)始運(yùn)營(yíng)大量RaaS的運(yùn)營(yíng)商Avaddon也在2021年被關(guān)閉，這得益于執(zhí)法部門(mén)對(duì)勒索軟件組織和臭名昭著的僵尸網(wǎng)絡(luò)Emotet的打擊。Avaddon利用惡意軟件在用戶(hù)系統(tǒng)中獲得了初步的立足點(diǎn)。然而，Emotet最近似乎又復(fù)活了。

REvil 是另一個(gè)有趣的例子，它似乎是勒索軟件生命周期的新趨勢(shì)：一個(gè)組織通過(guò)大規(guī)模攻擊制造了社會(huì)問(wèn)題，然后由于法律壓力而被迫關(guān)閉或重新命名。 REvil 于 2019 年首次出現(xiàn)，據(jù)報(bào)道在 2020 年從其運(yùn)營(yíng)中賺取了超過(guò) 1 億美元，并在竊取有關(guān)該公司即將發(fā)布的版本的信息后向 Apple 索要 5000 萬(wàn)美元的贖金。當(dāng)然，所有這些都是有代價(jià)的。在利用領(lǐng)先的統(tǒng)一遠(yuǎn)程監(jiān)控和管理工具 Kaseya VSA 中的漏洞后，REvil 能夠入侵大約 50 個(gè) MSP 提供商。然而，在這次攻擊之后不久，REvil 的服務(wù)器就被下線了，有傳言說(shuō)執(zhí)法部門(mén)迫使它們關(guān)閉。他們確實(shí)在 10 月份再次出現(xiàn)，稱(chēng)之前的關(guān)閉是由于內(nèi)部原因，但多國(guó)推動(dòng)迫使REvil的泄漏網(wǎng)站和Tor支付網(wǎng)站離線，最終導(dǎo)致該集團(tuán)關(guān)閉了他們的業(yè)務(wù)。

Babuk 是一個(gè)高產(chǎn)的 RaaS 運(yùn)營(yíng)商，于 2021 年首次出現(xiàn)，臭名昭著的“Babuk locker”的發(fā)明者，從Babuk Locker跟目標(biāo)用戶(hù)談判的數(shù)據(jù)贖金金額來(lái)看，網(wǎng)絡(luò)犯罪分子所要求的數(shù)據(jù)贖金從六萬(wàn)美金到八萬(wàn)五千美金不等，更囂張的是，從華盛頓大都會(huì)警察局網(wǎng)絡(luò)竊取了 250 GB 的數(shù)據(jù)并勒索贖金。目前他們的運(yùn)營(yíng)也已停止。Babuk 于 4 月底宣布關(guān)閉，同時(shí)將其源代碼發(fā)布到野外，以便其他勒索軟件運(yùn)營(yíng)商可以使用。他們后來(lái)更名為 Payload Bin，并開(kāi)始向其他沒(méi)有自己泄漏網(wǎng)站的勒索軟件組織提供他們的平臺(tái)。

隨著社會(huì)的關(guān)注度提高，勒索軟件組織的攻擊周期越來(lái)越短，但這些組織有非常強(qiáng)的恢復(fù)能力。REvil 和 Babuk 最初都來(lái)自現(xiàn)已解散的勒索軟件組織 GrandCab 和 Vasa Locker，而 DarkSide 迅速更名為 BlackMatter。在針對(duì)美國(guó)公司甚至日本主要科技公司奧林巴斯取得短暫成功后，該組織顯然是迫于執(zhí)法部門(mén)的壓力而倒閉。

另一個(gè)仍然活躍的著名 RaaS 運(yùn)營(yíng)商是 Conti。這個(gè)勒索軟件組織于 2019 年首次出現(xiàn)，并在 2020 年大量出現(xiàn)。他們?cè)?2021 年發(fā)起的一些最引人注目的攻擊包括對(duì)佛羅里達(dá)州布勞沃德縣公立學(xué)校的攻擊以及愛(ài)爾蘭衛(wèi)生服務(wù)執(zhí)行局的服務(wù)器被關(guān)閉。然而，值得注意的是，即使是 Conti 也感受到了壓力：在他們內(nèi)部運(yùn)作的細(xì)節(jié)被公開(kāi)后，他們被迫重新考慮他們的基礎(chǔ)設(shè)施，關(guān)閉了他們的支付門(mén)戶(hù)。不幸的是，該組織能夠在 24 小時(shí)內(nèi)恢復(fù)其服務(wù)器并運(yùn)行。

也就是說(shuō)，最常出現(xiàn)在頭條新聞中的勒索軟件組織并不是用戶(hù)最常遇到的組織。這是因?yàn)樯鲜鼋M織對(duì)能夠支付數(shù)百萬(wàn)贖金的公司進(jìn)行了針對(duì)性很強(qiáng)的攻擊。常見(jiàn)的勒索軟件攻擊者更有興趣從更多人那里獲取小額款項(xiàng)。

以下是 2020 年勒索軟件的攻擊占比：

Crysis/Dharma 和 Stop/Djvu 都是長(zhǎng)期存在的勒索軟件，Crysis 能夠使用多種攻擊媒介，但最近主要是利用不安全的RDP訪問(wèn)。Stop是最流行的勒索軟件家族，他們采用的是老套傳播方案，即引誘受害者搜索盜版軟件并找到包含勒索軟件的可執(zhí)行文件，而不是現(xiàn)代組織最常使用的人為攻擊。前者既針對(duì)B2B也針對(duì)B2C，后者主要針對(duì)B2C領(lǐng)域。2020年，這兩個(gè)組織占所有勒索軟件攻擊的50%以上，其中REvil僅占1.7%。

2021年前三個(gè)季度的情況與2020年類(lèi)似。

最常遇到的勒索軟件家族是 Stop/Djvu，而 Crysis/Dharma 則跌至第三位。第二個(gè)最常見(jiàn)的家族是 Phobos，它也是一個(gè)針對(duì)中小型企業(yè)的較老的勒索軟件家族。 REvil 的攻擊份額確實(shí)增長(zhǎng)到了 2.2%，但它代表了最常見(jiàn)的 10 個(gè)家族中最不常遇到的家族。因?yàn)橄?Crysis 和 Stop 這樣的家族更廣泛而不是集中在他們的攻擊中(并要求較少的贖金)，所以這些通常不會(huì)成為頭條新聞，但是，它們確實(shí)是更常見(jiàn)的攻擊。

從大規(guī)模感染到精確攻擊的轉(zhuǎn)變：進(jìn)入高利潤(rùn)勒索時(shí)代

今年早些時(shí)候，研究人員發(fā)布了一份名為 Ransomware by the Numbers 的報(bào)告，里面提到遭到勒索軟件攻擊的用戶(hù)總數(shù)實(shí)際上在下降。事實(shí)上，自 2020 年初以來(lái)，卡巴斯基 B2B 產(chǎn)品的獨(dú)立用戶(hù)遇到勒索軟件木馬的用戶(hù)數(shù)與面臨任何類(lèi)型威脅的用戶(hù)總數(shù)的比例一直在穩(wěn)步下降。

這是因?yàn)檩^新的、引人注目的犯罪組織已經(jīng)從大規(guī)模感染轉(zhuǎn)變?yōu)榫_攻擊，專(zhuān)門(mén)對(duì)付那些能支付數(shù)百萬(wàn)美元的個(gè)人、企業(yè)和工業(yè)組織。事實(shí)上，從2019年到2020年，受目標(biāo)勒索軟件(如Babuk和REvil等組織)影響的獨(dú)立用戶(hù)數(shù)量增加了767%，這種趨勢(shì)一直持續(xù)到 2021 年。

在系統(tǒng)中啟動(dòng)勒索軟件是這些攻擊的最后階段。此時(shí)，組織的網(wǎng)絡(luò)通常完全被攻擊者控制。因此，在數(shù)據(jù)加密后，需要研究建立初始攻擊向量，防止攻擊者再次滲透并試圖恢復(fù)數(shù)據(jù)。此過(guò)程稱(chēng)為事件響應(yīng) (IR)，中型組織和大型公司通常在自己的員工或承包商的幫助下采用它。從 2019 年、2020 年和 2021 年前三個(gè)季度的數(shù)據(jù)來(lái)看，出現(xiàn)了一個(gè)有趣的模式。

2021 年 1 月至 11 月與勒索軟件相關(guān)的 IR 請(qǐng)求占比已經(jīng)比 2020 年勒索軟件 IR 請(qǐng)求占比高出近 10%，比 2019 年的請(qǐng)求占比高出 12.7%。

勒索軟件攻擊的原始總數(shù)可能較低，但針對(duì)大型組織的攻擊正在上升。

攻擊目標(biāo)

如果勒索軟件組織關(guān)注的是大公司和組織，那么哪些行業(yè)會(huì)成為攻擊目標(biāo)?

2020年，收到IR請(qǐng)求比例最大的行業(yè)是工業(yè)部門(mén)(26.85%)，其次是政府(21.3%)。這兩個(gè)部門(mén)加起來(lái)占了將近50%。

2021 年，IR 請(qǐng)求的分布如下:

政府和工業(yè)部門(mén)仍然是最常被攻擊的領(lǐng)域，前者略有增加，后者略有下降。影響 IT 部門(mén)的攻擊數(shù)量也大幅增加：從 2020 年的 2.78% 增加到 2021 年的 13.33%。

重要的是要記住，像上面這樣的統(tǒng)計(jì)數(shù)據(jù)至少部分地受到公司的客戶(hù)群的影響。對(duì)這些部門(mén)的一些最引人注目的攻擊包括對(duì)Colonial天然氣管道和衛(wèi)生服務(wù)行政機(jī)構(gòu)的攻擊。此外，卡巴斯基還發(fā)現(xiàn)了Cring勒索軟件對(duì)工業(yè)組織的一系列攻擊。

勒索軟件發(fā)展趨勢(shì)

有針對(duì)性的對(duì)高價(jià)值目標(biāo)攻擊的新時(shí)代即將拉開(kāi)，成為頭條新聞的高調(diào)組織以及新出現(xiàn)的組織正在調(diào)整他們的策略，從受害者身上榨取更大的利潤(rùn)。以下是兩個(gè)最重要的趨勢(shì)。

針對(duì)Linux的攻擊

2020年，DarkSide和RansomExx組織都使用linux特定的勒索軟件構(gòu)建對(duì)VmWare ESXi服務(wù)器發(fā)起了攻擊?，F(xiàn)在，在2021年，我們已經(jīng)看到這種做法在其他惡意組織中越來(lái)越受歡迎。REvil, HelloKitty, Babuk, Conti, Hive，甚至可能是PYSA和RagnarLocker都將Linux添加到他們的目標(biāo)中。為什么?這允許他們通過(guò)加密 ESXi 服務(wù)器上托管的虛擬機(jī)來(lái)最大化攻擊面。

金融勒索

今年4月，DarkSide在其泄密網(wǎng)站上發(fā)布了一篇帖子，表示希望影響公司的股價(jià)，即進(jìn)行財(cái)務(wù)勒索。然而，DarkSide并不是第一個(gè)表達(dá)對(duì)公司股票貶值的興趣的。早在2020年，REvil就有過(guò)這樣的想法。從那時(shí)起，金融勒索成為一種日益流行的趨勢(shì)。今年11月，美國(guó)聯(lián)邦調(diào)查局(FBI)發(fā)出警告稱(chēng)，勒索軟件正在利用并購(gòu)等重大金融事件，以勒索軟件感染的受害者公司為目標(biāo)。在2020年3月至7月，有三家公司成為勒索軟件的受害者。更重要的是，勒索軟件運(yùn)營(yíng)商正在更新他們的惡意軟件，以掃描網(wǎng)絡(luò)中與金融相關(guān)的關(guān)鍵字，如“納斯達(dá)克”和“10-Q”(季度財(cái)務(wù)報(bào)告)。例如：Defray777/RansomEXX 使用的木馬 Pyxie。

當(dāng)公司正在進(jìn)行合并或收購(gòu)、計(jì)劃上市或重新評(píng)估其財(cái)務(wù)狀況時(shí)，任何類(lèi)型的信息泄露都可能對(duì)公司的估值造成破壞性后果。事實(shí)上，Comparitech 的一項(xiàng)研究發(fā)現(xiàn)，勒索軟件攻擊在短期內(nèi)平均會(huì)導(dǎo)致公司股票價(jià)值下降 22%。

這樣的后果使受害者更傾向于支付贖金。隨著執(zhí)法機(jī)構(gòu)和政界人士縮短勒索軟件組織的生命周期，效率變得至關(guān)重要。而金融敲詐則是一種強(qiáng)大的工具。到 2022 年，我們預(yù)計(jì)此類(lèi)勒索將變得更加流行并蔓延至普通勒索軟件運(yùn)營(yíng)商。

總結(jié)

大規(guī)模的襲擊會(huì)引起公眾的廣泛關(guān)注，這并不總是一件好事。像REvil和DarkSide這樣的組織由于動(dòng)靜過(guò)大已經(jīng)被取締。再加上政府的出手，勒索軟件的生命周期變得越來(lái)越短。為了提高攻擊效率，勒索軟件趨勢(shì)變得越來(lái)越有針對(duì)性。

安全建議

1.除非絕對(duì)必要，否則不要將遠(yuǎn)程桌面服務(wù)(如RDP)暴露在公共網(wǎng)絡(luò)中，并始終使用強(qiáng)密碼。

2.立即為商用VPN解決方案安裝可用補(bǔ)丁，為遠(yuǎn)程員工提供訪問(wèn)，并充當(dāng)網(wǎng)絡(luò)中的網(wǎng)關(guān)。

3.在所有設(shè)備上使用更新軟件，以防止勒索軟件利用漏洞。

4.把你的防御策略集中在檢測(cè)橫向移動(dòng)和數(shù)據(jù)外泄上。要特別注意流出的流量，以檢測(cè)網(wǎng)絡(luò)罪犯的連接。定期備份數(shù)據(jù)，確保你能在緊急情況下快速訪問(wèn)它。使用最新的威脅情報(bào)信息來(lái)掌握威脅參與者使用的實(shí)際 TTP。

5.使用解決方案識(shí)別早期攻擊階段。

6.專(zhuān)門(mén)接受安全教育。

7.使用可靠的終端安全解決方案。

本文翻譯自:https://securelist.com/the-story-of-the-year-ransomware-in-the-headlines/105138/如若轉(zhuǎn)載，請(qǐng)注明原文地址。