2022年,卡巴斯基解决方案检测到超过7420万次勒索软件攻击,比2021年(6170万)增加了20%。尽管2023年初勒索软件攻击数量略有下降,但它们更复杂,目标更明确。
去年,卡巴斯基实验室介绍了今年的三个趋势:
1.攻击者试图开发跨平台勒索软件,使其尽可能具有适应性;
2.勒索软件生态系统正在进化,变得更加工业化;
3.勒索组织开始参与地缘政治;
这些趋势至今还存在,研究人员偶然发现了一个新的多平台勒索软件家族,它同时针对Linux和Windows。研究人员将其命名为RedAlert/N13V。该勒索软件专注于非Windows平台,支持在ESXi环境中阻止虚拟机,这样可以掩盖其意图。
另一个勒索软件家族LockBit显然攻击能力较强。安全研究人员发现了它的介绍,其中包含了针对一些不太常见的平台(包括macOS和FreeBSD)以及各种非标准处理器架构(如MIPS和SPARC)的恶意软件测试版本。
至于第二种趋势,研究人员看到 BlackCat(又名 ALPHV)在年中调整了TTP。他们注册的域名看起来像是被攻击组织的域名,建立了像“我被勒索了吗”这样的网站。受攻击组织的员工可以使用这些网站来检查他们的名字是否出现在被盗数据中,从而增加了受影响组织支付赎金的压力。
尽管研究人员去年发现的第三种趋势是勒索软件组织在地缘政治冲突中有意偏袒一方,但这并不完全适用于他们。有一个特殊的样本:一个名为“Eternity”的恶意软件。其开发者声称该恶意软件被用于地缘政治冲突后,研究人员的研究表明,围绕 Eternity存在一个完整的恶意软件生态系统,包括一个勒索软件变体。文章发表后,开发者确保该恶意软件不会影响乌克兰用户,并在该恶意软件中包含一条亲乌克兰的消息。
2022年勒索软件的格局还受到了哪些因素的影响
研究人员报道了RedAlert/N13V、Luna、Sugar、Monster等的出现。然而,在2022年看到的最活跃的家族是BlackBasta。当研究人员在2022年4月发布关于BlackBasta的初步报告时,里面只提到一名受害者,但自那以后,数量急剧增加。与此同时,恶意软件本身也在迭代,增加了一种基于LDAP的自我传播机制。后来,研究人员发现了一个针对ESXi环境的BlackBasta版本,最近的版本支持x64架构。
如上所述,当有新的组织出现时,旧的组织也就被淘汰了,如REvil和Conti。Conti是其中最臭名昭著的一个,自从他们的源代码被泄露到网上并被许多安全研究人员分析以来,他们受到了最多的关注。
最后,像Clop这样的其他组织在去年加大了攻击力度,在2023年初达到顶峰,因为他们声称使用一个零日漏洞攻击了130个组织。
有趣的是,在过去一年中,最具影响力和最多产的五大勒索软件组织(根据其数据泄露网站上列出的受害者数量)发生了巨大变化。现已解散的REvil和Conti在2022年上半年的攻击次数分别排在第二和第三位,在2023年第一季度被Vice Society和BlackCat所取代。2023年第一季度排名前五的其他勒索软件组织是Clop和Royal。
按公布的受害者数量排名前五的勒索软件组织
从事件响应的角度来看勒索软件
去年,全球应急响应小组(GERT)处理了许多勒索软件事件。事实上,这是他们面临的头号挑战,尽管2022年勒索软件的份额比2021年略有下降,从51.9%降至39.8%。
就初始访问而言,GERT调查的近一半(42.9%)示例涉及利用面向公众的设备和应用程序中的漏洞,如未修补的路由器、Log4j日志实用程序的易受攻击版本等。第二类示例包括被盗帐户和恶意电子邮件。
勒索软件组织使用的最流行的工具每年都保持不变。攻击者使用PowerShell收集数据,使用Mimikatz升级权限,使用PsExec远程执行命令,或使用Cobalt Strike等框架进行所有攻击。
研究人员对2023年趋势的预测
当研究人员回顾2022年和2023年初发生的事件,并分析各种勒索软件家族时,他们试图弄清楚接下来可能会发生什么。通过这些观察研究人员得出了三个潜在趋势,我们认为这些趋势将影响2023年接下来的威胁格局。
趋势1:更多嵌入式功能
研究人员看到一些勒索软件组织在2022年扩展了其恶意软件的功能,最值得注意的新增功能是自我传播,如上所述,BlackBasta通过使用LDAP库获取网络上可用计算机的列表来开始自我传播。
LockBit在2022年增加了所谓的“自扩展”功能,为运营商节省了手动运行PsExec等工具的工作量。至少,这是“自我传播”通常所暗示的。实际上,这只不过是一个凭证转储功能,在后来的版本中被删除了。
例如,Play勒索软件确实有一种自我传播机制。它收集启用了SMB的不同IP,建立与这些IP的连接,挂载SMB资源,然后自我复制并在目标计算机上运行。
最近,许多臭名昭著的勒索软件组织都采用了自我传播,这表明这将会成为一种攻击趋势。
趋势2:驱动器滥用
滥用易受攻击的驱动程序达到恶意目的可能是老套路了,但它仍然很有效,尤其是在杀毒驱动程序上。Avast Anti-Rootkit内核驱动程序包含某些漏洞,这些漏洞以前就曾被AvosLocker利用过。2022年5月,SentinelLabs详细描述了驱动程序中的两个新漏洞(CVE-2022-26522和CVE-2022-206523)。这些漏洞后来被AvosLocker和Cuba勒索软件家族利用。
杀毒驱动程序并不是唯一被攻击者滥用的驱动程序。研究人员最近发现了一名勒索软件攻击者滥用Genshin Impact反作弊驱动程序,使用它来终止目标设备上的终端保护。
驱动器滥用趋势还在继续演变,卡巴斯基报告的最新病例相当奇怪,因为它不符合前两类中的任何一类。合法的代码签名证书,如英伟达泄露的证书和科威特电信公司的证书,被用来签署恶意驱动程序,该驱动程序随后被用于针对阿尔巴尼亚组织的wiper攻击。wiper 使用rawdisk驱动程序直接访问硬盘。
趋势3:采用其他家族的代码以攻击更多目标
主要的勒索软件组织正在从泄露的代码或从其他攻击者那里购买的代码中借用功能,这可能会改善他们自己的恶意软件的功能。
研究人员最近看到LockBit组织采用了至少25%的泄露的Conti代码,并在此基础上发展成了一个新版本。
总结
勒索软件已经存在多年,然后发展成为一个网络犯罪行业。攻击者一直在不断尝试新的攻击战术和程序。勒索软件现在可以被认为是一个成熟的行业,我们预计短期内不会有突破性的技术。
勒索软件组织将继续通过支持更多平台来扩大攻击面。虽然对ESXi和Linux服务器的攻击现在很常见,但顶级勒索软件组织正在努力瞄准更多可能包含关键任务数据的平台。研究人员最近发现了几个示例,其中包含针对macOS、FreeBSD和非传统CPU架构(如MIPS、SPARC等)的LockBit勒索软件的测试版本。
除此之外,攻击者在操作中使用的TTP将继续发展,上述的驱动程序滥用技术就是一个很好的例子。
参考及来源:https://securelist.com/new-ransomware-trends-in-2023/109660/