年度英特尔趋势回顾：2023 年 Redsense 报告

这些观察结果是通过分析2023年的大量威胁发现和研究成果得出的，并且参考了RedSense全年报道的案例研究。

趋势分析 幽灵组织行动：

Zeon/Ryuk/Conti1等隐蔽的“幽灵组织”显著增加，为BlackCat、Akira和LockBit 3.0等组织提供后端支持。这些组织在保持匿名性的同时，提供谈判支持、网络钓鱼活动和初始访问经纪等功能。

后漏洞利用中的双重危险：

网络犯罪分子正在利用“双重危险”策略，对单一攻击进行多次武器化。这是通过重复使用公开数据和在各种威胁组织之间共享被盗数据来实现的，这使得溯源和应对工作变得更加复杂。

未来受害者技术：

利用以前泄露的数据简化未来目标识别，如BlackBasta和BlackSuit组织所采用的方法。这种方法不仅提高了效率，还加剧了数据泄露的长期影响。

勒索软件行为体的多样化：

以Scattered Spider等组织为代表的非东欧勒索软件方法的出现。新型恶意软件类型如DarkGate和BlackNET表明勒索软件行为体的概况正在不断扩大。

网络攻击中的AI利用：

试图将AI技术用于恶意目的的企图增加。开发了WormGPT和FraudGPT等AI驱动的工具，以及AI驱动的钓鱼攻击表明攻击方法发生了重大转变。

黑帽SEO恶意软件分发技术：

包括恶意广告和SEO中毒在内的黑帽SEO策略增加。这些方法被用来传播AuroraStealer、IcedID和RedLine Stealer等恶意软件，突显出在线平台在恶意软件分发中的利用。

勒索软件中公开展示羞辱的加剧：

勒索软件团伙升级了公开展示羞辱的策略，以迫使受害者支付赎金。这些策略包括明确的数据发布和积极的在线羞辱活动，给勒索过程增加了心理层面的影响。

执法行动和打击行动增加：

这一年见证了针对勒索软件团伙的执法活动的增加，这反映了数字取证技术的改进和国际社会在应对网络犯罪方面的合作。

Conti的持续影响：

尽管Conti已被解散，但其运作方法仍然影响着当前的勒索软件活动。BlackSuit和BlackBasta等组织对Conti源代码的改编和使用表明了该组织的持久影响力。

恶意软件锁仓/加载器技术的实验：

勒索软件团伙正在尝试各种恶意软件锁仓和加载器技术，以提高行动效率并避免被检测到。Royal组织转变为BlackSuit和BlackBasta使用Pikabot和DarkGate就体现了这一趋势。

针对Citrix Bleed漏洞（CVE 2023-4966）的利用：

BlackSuit、BlackBasta、ALPHV和LockBit 3.0等组织广泛利用了Citrix Bleed漏洞，特别是针对政府和国防部门，突显了利用关键软件漏洞的趋势。

结论

RedSense所指出的2023年趋势表明，勒索软件在复杂、混乱和高度纠缠的状态中度过了一年。我们发现的情况表明，威胁生态系统正在经历大规模的内部变化，这可能表明到年底它将是不可识别的。

作者简介：Marley Smith目前在网络安全和威胁预防公司RedSense的情报团队工作。作为首席威胁研究员，Smith对勒索软件集团、新型恶意软件、国家附属威胁组织以及当今网络犯罪生态系统的演变动态进行了深入调查。研究评论：Yelisey Bohuslavskiy，RedSense的合伙人兼首席研究官；Advanced Intelligence, LLC的联合创始人。