勒索軟件生態(tài)系統(tǒng)在2022年發(fā)生了重大變化,網(wǎng)絡(luò)攻擊者從占主導(dǎo)地位的大型團(tuán)體轉(zhuǎn)向規(guī)模較小的勒索軟件即服務(wù)(RaaS)組織,以尋求更大的靈活性,減少執(zhí)法部門的關(guān)注。勒索軟件的民主化對企業(yè)來說是一個(gè)壞消息,因?yàn)樗矌砹硕鄻踊膽?zhàn)術(shù)、技術(shù)和程序,需要跟蹤更多的妥協(xié)指標(biāo)(IOC),以及受害者在試圖談判或支付贖金時(shí)可能會(huì)遇到更多的障礙。
思科公司網(wǎng)絡(luò)安全研究部門Talos團(tuán)隊(duì)的研究人員在他們發(fā)布的一份年度報(bào)告中表示:“我們很可能將安全形勢加速變化追溯到2021年年中,當(dāng)時(shí)針對Colonial Pipeline公司進(jìn)行的DarkSide勒索軟件攻擊以及隨后執(zhí)法部門對REvil團(tuán)伙的打擊,導(dǎo)致幾個(gè)勒索軟件團(tuán)伙衰落。而到現(xiàn)在,勒索軟件領(lǐng)域似乎一如既往地充滿活力,各種團(tuán)體和組織都在適應(yīng)政府執(zhí)法部門的打擊和越來越多的破壞性行為、內(nèi)訌和內(nèi)部威脅,以及激烈的行業(yè)競爭,勒索軟件開發(fā)者和運(yùn)營者不斷轉(zhuǎn)移他們的從屬關(guān)系,以運(yùn)營最有利可圖的勒索軟件業(yè)務(wù)。”
大型勒索軟件團(tuán)伙吸引了更多的注意力
自從2019年以來,勒索軟件領(lǐng)域一直由專業(yè)化的大型勒索軟件團(tuán)伙主導(dǎo),持續(xù)不斷的勒索軟件攻擊成為了新聞?lì)^條,得到媒體的更多關(guān)注。人們甚至看到勒索軟件團(tuán)伙的發(fā)言人接受采訪,或者在Twitter和他們的網(wǎng)站上發(fā)布新聞,以回應(yīng)發(fā)生的重大泄露事件。
2021年,勒索軟件團(tuán)伙DarkSide攻擊了Colonial Pipeline公司的燃油管道設(shè)施,導(dǎo)致美國東海岸的燃料供應(yīng)嚴(yán)重中斷,凸顯了勒索軟件攻擊可能對關(guān)鍵基礎(chǔ)設(shè)施造成的風(fēng)險(xiǎn),并導(dǎo)致政府部門加大了打擊這一威脅的力度。執(zhí)法部門的高度關(guān)注使得網(wǎng)絡(luò)犯罪論壇的所有者重新考慮他們與勒索軟件團(tuán)伙的關(guān)系,一些論壇禁止發(fā)布勒索軟件攻擊的廣告。隨后DarkSide很快停止攻擊,同年晚些時(shí)候REvil也更為名Sodinokibi,其創(chuàng)建者被起訴,其中一名創(chuàng)始人被捕。REvil是自從2019年以來最成功的勒索軟件團(tuán)伙之一。
俄烏在2022年2月爆發(fā)沖突,很快使許多勒索軟件團(tuán)伙之間的關(guān)系趨于緊張,這些團(tuán)伙在俄羅斯和烏克蘭以及前蘇聯(lián)國家都有成員和分支機(jī)構(gòu)。一些勒索軟件團(tuán)伙(例如Conti)急于站隊(duì),威脅攻擊支持俄羅斯的一些國家的基礎(chǔ)設(shè)施。這背離了勒索軟件團(tuán)伙通常采取的不涉及政治的做法,這種做法招致了其他勒索軟件團(tuán)伙的批評。
在此之后,勒索軟件團(tuán)伙Conti內(nèi)部信息泄露也暴露了許多運(yùn)營機(jī)密,并引起了團(tuán)伙成員的不安。在一次針對哥斯達(dá)黎加政府的重大襲擊之后,美國國務(wù)院懸賞1000萬美元,以獲取有關(guān)Conti團(tuán)伙領(lǐng)導(dǎo)者身份或位置的信息,這導(dǎo)致該團(tuán)伙在今年5月決定解散。
Conti團(tuán)伙的衰落導(dǎo)致勒索軟件攻擊數(shù)量下降了幾個(gè)月,但這并沒有持續(xù)太久,因?yàn)檫@一空白很快被其他勒索軟件團(tuán)伙填補(bǔ),其中一些是新成立的團(tuán)伙,而這些團(tuán)伙讓人懷疑是Conti、REvil和其他在過去兩年停止運(yùn)營勒索軟件團(tuán)伙的成員所創(chuàng)建的。
2023年最活躍的勒索軟件團(tuán)伙
(1)LockBit目前處于領(lǐng)先地位
LockBit是在Conti團(tuán)伙解散之后加強(qiáng)運(yùn)營的主要勒索軟件團(tuán)伙,該團(tuán)伙通過修改其勒索軟件應(yīng)用程序并推出新版本進(jìn)行攻擊。盡管該團(tuán)伙自從2019年以來一直在進(jìn)行攻擊,但直到推出LockBit 3.0,該團(tuán)伙才設(shè)法在勒索軟件威脅領(lǐng)域占據(jù)領(lǐng)先地位。
根據(jù)多家安全機(jī)構(gòu)發(fā)布的調(diào)查報(bào)告,LockBit 3.0在2022年第三季度勒索軟件攻擊事件中攻擊次數(shù)最多,并且是數(shù)據(jù)泄露網(wǎng)站上列出的2022年受害者人數(shù)最多的勒索軟件團(tuán)伙。人們可能會(huì)在2023年看到其衍生產(chǎn)品,因?yàn)長ockBit代碼被一位心懷不滿的開發(fā)者泄露,現(xiàn)在任何人都可以構(gòu)建定制版本的勒索軟件程序。思科Talos團(tuán)隊(duì)表示,一個(gè)名為Bl00dy Gang的勒索軟件團(tuán)伙已經(jīng)開始在勒索軟件攻擊中使用泄露的LockBit 3.0生成器。
(2)Hive勒索了一億多美元
根據(jù)思科Talos發(fā)布的數(shù)據(jù),在2022年,除了LockBit團(tuán)伙之外,聲稱受害者人數(shù)最多的勒索軟件團(tuán)伙是Hive。這是在Talos在2022年的事件響應(yīng)活動(dòng)中觀察到的主要勒索軟件團(tuán)伙,在Palo Alto Networks公司發(fā)布的事件響應(yīng)案例列表中排名第三,僅次于Conti和LockBit。根據(jù)美國聯(lián)邦調(diào)查局、美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和美國衛(wèi)生與公眾服務(wù)部(HHS)的聯(lián)合咨詢,該團(tuán)伙在2021年6月至2022年11月期間,從全球1300多家公司勒索了一億多美元。
美國的這些安全機(jī)構(gòu)指出:“眾所周知,Hive團(tuán)伙會(huì)使用勒索軟件或另一種勒索軟件變體重新感染受害者的網(wǎng)絡(luò),而這些受害者在未支付贖金的情況下恢復(fù)了網(wǎng)絡(luò)。”
(3)BlackBasta是Conti的衍生產(chǎn)品
根據(jù)思科Talos的觀察,2022年第三大勒索軟件團(tuán)伙是Black Basta,該團(tuán)伙被懷疑是Conti的子公司,在技術(shù)上有一些相似之處。Black Basta于今年4月開始運(yùn)營,不久之后Conti團(tuán)伙就宣布解散,并迅速開發(fā)了自己的工具集。該團(tuán)伙依靠Qbot木馬進(jìn)行傳播,并利用Print Nightmare漏洞進(jìn)行攻擊。
從2022年6月開始,該團(tuán)伙還為Linux系統(tǒng)推出了一種文件加密器,主要針對VMware ESXi虛擬機(jī)進(jìn)行攻擊。這種跨平臺(tái)擴(kuò)展也出現(xiàn)在其他勒索軟件團(tuán)伙中,如LockBit和Hive,它們都有Linux加密器,或者是用Rust編寫的勒索軟件,如ALPHV(BlackCat),這允許它在多個(gè)操作系統(tǒng)上運(yùn)行。Golang是另一種跨平臺(tái)編程語言和運(yùn)行時(shí),也被一些規(guī)模較小的勒索軟件團(tuán)伙采用,例如HelloKitty(FiveHands)。
(4)Royal發(fā)展勢頭強(qiáng)勁
今年早些時(shí)候出現(xiàn)的另一個(gè)被懷疑與Conti有聯(lián)系的勒索軟件團(tuán)伙的名稱為Royal。雖然該團(tuán)伙最初使用了來自其他團(tuán)伙(包括BlackCat和Zeon)的勒索軟件程序,但該團(tuán)伙開發(fā)了自己的文件加密程序,似乎是受到Conti的啟發(fā)或是采用Conti的程序,并得以迅速發(fā)展,在2022年11月攻擊的受害者數(shù)量超過了LockBit。按照這個(gè)發(fā)展速度,Royal預(yù)計(jì)將成為2023年最大的勒索軟件威脅之一。
(5)Vice Society以教育部門為目標(biāo)
Royal并不是唯一一個(gè)通過重新利用他人開發(fā)的勒索軟件程序而獲得成功的勒索軟件團(tuán)伙。根據(jù)思科Talos在網(wǎng)站上列出的受害者數(shù)量,Vice Society勒索軟件攻擊名列第四。該團(tuán)伙主要針對教育部門進(jìn)行攻擊,并依賴于現(xiàn)有勒索軟件家族的分支,例如HelloKitty和Zeppelin。
更多的勒索軟件團(tuán)伙對網(wǎng)絡(luò)安全構(gòu)成挑戰(zhàn)
思科Talos的研究人員表示:“勒索軟件壟斷的終結(jié)給網(wǎng)絡(luò)安全分析人員帶來了挑戰(zhàn)。”在Talos監(jiān)控的數(shù)據(jù)泄露網(wǎng)站上,至少有8個(gè)勒索軟件團(tuán)伙發(fā)布了75%的帖子。由于對手在多個(gè)勒索軟件即服務(wù)(RaaS)團(tuán)體工作,了解新出現(xiàn)的勒索軟件團(tuán)伙的歸屬變得更加困難。”
LockBit等一些勒索軟件團(tuán)伙已經(jīng)開始引入其他勒索手段,例如DDoS攻擊,迫使受害者支付贖金。這種趨勢很可能會(huì)在2023年持續(xù)下去,勒索軟件團(tuán)伙預(yù)計(jì)會(huì)提出新的勒索策略,在部署最終勒索軟件之前,對受害者的勒索攻擊實(shí)現(xiàn)貨幣化。思科Talos與勒索軟件相關(guān)的事件響應(yīng)服務(wù)的調(diào)查有一半處于勒索軟件攻擊之前的階段,這表明企業(yè)在檢測與勒索軟件前活動(dòng)相關(guān)的戰(zhàn)術(shù)、技術(shù)和程序方面正在變得越來越好。
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營18個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。