【资料】卡巴斯基犯罪软件报告：现代勒索软件团伙的常见TTP

在2022年，勒索软件是世界上最可怕的信息安全威胁之一。在过去的六个月里，卡巴斯基的产品已经检测到数百万个勒索软件。为规避安全措施而设计的新变种经常出现。勒索软件对个人电脑用户、大型企业和组织都构成威胁。

勒索软件加密用户数据，并要求赎金来解密它。根据被加密的数据的不同，赎金的数额相差很大:如果受害者是一个简单用户，金额大致在500- 1000美元之间;如果受害者是一家公司，它可能达到九位数。

大多数赎金要求用比特币，但对其他加密货币的要求，如以太坊或门罗，也会发生。一旦支付了赎金，对手就会发送一个密钥，然后受害者就可以解密他们的数据(如果对手没有撒谎，你的数据也不会永远丢失)。

如果你的数据被加密了，你自己或在专门解密公司的帮助下解密你的数据的机会几乎为零。事实上，许多这样的公司从攻击者那里购买一个解密器，并在向你收取“服务”费用时，是在赎金金额上加一点。

另一个付费的动机是对手可能开始威胁要公布你的机密数据，除非你遵守他们的要求。这可能会导致巨大的声誉损失、商业秘密的泄露和其他与数据泄漏相关的问题。

卡巴斯基通过对样品活性的全面监测和分析，确保了较高的检出率;群体行为、技术和战术;分析大量的统计数据，包括人工审查和自动化系统的处理，帮助识别异常和检测威胁。根据统计数据，研究团队建立了一个新的勒索病毒家族时间表。

本报告采用了威胁研究团队和全球应急小组（GERT）同事最近调查的数据，以及卡巴斯基全球研究和分析团队（GReAT）的部分研究工作。

研究人员还采用了埃斯卡尔高级技术研究所（SANS）、国家网络安全中心和国家标准与技术研究所（NIST）的最佳实践。研究人员利用统计数据来选择最受感兴趣的团伙，详细分析他们实施的攻击，并采用MITRE ATT&CK中描述的技术和战术来识别大量的共享TTP。通过跟踪所有的团伙和检测攻击，研究人员看到在整个网络攻击链中，核心技术是相同的。由此揭示的攻击模式并不是偶然的，因为这类攻击需要黑客经历一定的阶段，如渗透到企业网络或受害者的计算机，发送恶意软件，进一步发现，凭证访问，删除影子副本，删除备份，最后实现其目标。

该报告是为参与事件响应过程或希望保护其环境免受有针对性的勒索软件攻击的SOC分析师、威胁猎杀团队、网络威胁情报分析师、数字取证专家或网络安全专家而编写的。

本报告有助于了解勒索软件团伙一般是如何运作的，以及如何抵御此类攻击。您可以将该报告作为一个知识库，了解勒索软件团伙使用的主要技术，用于编写猎杀规则，以及审计您的安全解决方案。

本报告由卡巴斯基威胁情报团队制作，该团队汇总并分析了有关高级持久性威胁（APT）和犯罪软件的数据，包括勒索软件行为者。这些数据来自不同的来源，包括团队自己的研究以及许多卡巴斯基研究团队。卡巴斯基全球研究和分析团队（GReAT）、卡巴斯基全球应急响应团队（GERT）、卡巴斯基SOC、威胁研究团队和其他。研究小组的威胁情报团队利用最佳实践和工具，如MITRE ATT&CK框架，研究对手的TTP、工具、行为和环境，并丰富大家的TI和安全解决方案。