【国际视野】卡巴斯基发布《2024年勒索软件现状》报告

“

天极按

近日，卡巴斯基发布《2024年勒索软件现状》报告，对全球范围内勒索软件的现状进行的总结与分析，报告分享了相关观察、研究和统计数据，以阐明不断变化的勒索软件威胁形势及其对网络安全的影响。勒索软件攻击仍然是当代最大的网络安全威胁之一，影响着全球范围内的组织和个人。从医疗保健和工业领域备受瞩目的违规行为（泄露大量敏感数据或完全停止生产）到针对相对容易成为目标的小型企业的攻击，勒索软件攻击者正在扩大其影响范围。在国际反勒索软件日临近之际，主要分析了主要的勒索软件事件和趋势。

勒索软件格局：目标群体和攻击的增加

卡巴斯基从多个相关公共来源收集了2022 年和 2023年有关目标勒索软件团体及其攻击的数据，并对这些数据进行了过滤和验证。研究显示，与2022 年相比，全球目标勒索软件团体的数量增加了30%，其攻击的已知受害者数量增加了71%，令人震惊。

与随机攻击不同，这些目标群体主要针对政府、知名组织或组织内的特定个人。此外，他们中的大多数人都在勒索软件即服务(RaaS)模式下分发恶意软件，其中涉及许多较小的团体（称为附属机构），只需支付订阅费或部分赎金即可访问勒索软件。在下图中，您可以看到2023 年最活跃的勒索软件系列。

2023 年最活跃的勒索软件家族（按受害者数量计算）

2023年组织系统中最常遇到的勒索软件是Lockbit 3.0。其如此活跃的原因可能是其构建器在2022年泄露。这导致各个独立团体使用该构建器创建自定义勒索软件变体，然后将其用于针对世界各地的组织。该集团本身也拥有庞大的联属网络。其次是BlackCat/ALPHV，首次出现于2021 年 12月。2023 年12 月，FBI与其他执法机构一起扰乱了BlackCat的运营，并查获了该组织的多个网站。然而，行动结束后，BlackCat立即表示，它已“取消”至少部分网站。美国国务院悬赏1000万美元悬赏该组织的同伙。2023 年第三大最活跃的勒索软件是Cl0p。该组织设法破坏了受管理的文件传输系统MoveIt 来获取其客户的数据。据新西兰安全公司Emsisoft 称，截至2023 年 12月，这一漏洞已影响了2500 多个组织。

其他值得注意的勒索软件变种

在威胁研究实践中，分析的威胁包括各种勒索软件样本。本节分享了几个值得注意的家庭的简要描述，这些家庭虽然不是2023 年最活跃的，但在某种程度上很有趣。

BlackHunt：BlackHunt于2022 年末检测并于2023 年更新，使用基于Conti 勒索软件源代码的C++ 可执行文件瞄准全球受害者。它利用可定制的攻击媒介，包括欺骗性策略，例如显示虚假的Windows更新屏幕来掩盖文件加密过程，并采用安全措施进行测试，例如在执行之前检查“Vaccine.txt”。如果恶意软件作者想要测试可执行文件而不加密自己的文件，他们会创建一个Vaccine.txt 文件。如果恶意软件在系统中找到此文件，则不会继续加密。
Rhysida：Rhysida于 2023 年5 月出现，是一项新的RaaS 操作，最初针对Windows，但后来扩展到Linux。两个版本都使用AES 和 RSA算法进行文件加密，并在密钥生成过程中使用ChaCha 流密码。该勒索软件还对其隐藏服务实施基于令牌的访问，以增强保密性。
Akira：Akira是一款紧凑的C++ 勒索软件，与Windows 和Linux 兼容，已经影响了各个领域的60多个组织。它采用单一密钥进行加密，并且在早期版本中存在加密缺陷，这使得勒索软件操作者在不知情的情况下可以解密文件。然而，这个缺陷在最近的变体中得到了修复，在撰写本报告时这些变体还无法解密。对于受害者通信，Akira使用基于 JQuery终端的简约隐藏服务。
Mallox：Mallox也称为 Fargo和 TargetCompany，自2021 年 5月出现以来一直在造成严重破坏。随着2023 年攻击的增加和近500 个已识别样本，它继续发展，截至2024 年频繁更新和活跃的联盟计划。Mallox 通过Clearnet 和 TOR服务器进行操作，以面向互联网的MS SQL 和PostgreSQL服务器为目标，并通过恶意附件进行传播。受影响最严重的国家包括巴西、越南、中国、沙特阿拉伯和印度。
3AM：3AM是一种新的 RaaS变体，具有复杂的命令行界面和用于防止自动沙箱执行的“访问密钥”功能：勒索软件需要访问密钥才能执行。与大多数人为操作的勒索软件一样，3AM附属机构使用 Cobalt Strike 在目标基础设施中获得了初步立足点。在Cobalt Strike 中，他们使用水印选项，该选项允许攻击者唯一识别与特定Cobalt Strike 团队服务器关联的信标流量。这可能表明3AM附属机构与其他勒索软件团体共享对目标的访问权限，并使用水印将其流量与其他流量分开。该勒索软件采用高效的文件处理技术，例如反向遍历（从末尾处理字符串以快速识别文件路径和扩展名）以及与Windows API 集成，并在加密之前终止各种进程，从而使恢复工作变得复杂。与受害者的通信是通过基于TOR 的隐藏服务进行的，尽管存在操作安全配置错误，例如真实IP 暴露。

事件响应实践中观察到的趋势

本部分包含基于事件响应服务在2023年处理的事件的趋势和统计数据。本部分中的数据可能与从公共来源获得的数据有所不同，因为它们并未涵盖去年发生的所有勒索软件相关事件。

根据事件响应团队的数据，到2023 年，三分之一的事件(33.3%) 与勒索软件有关，勒索软件仍然是所有组织的主要威胁，无论它们属于哪个经济部门或行业。

2023年观察到的另一个重要趋势是：通过承包商和服务提供商（包括IT服务）进行的攻击首次成为三大攻击媒介之一。这种方法可以轻松实现大规模攻击，并且通常在发现数据泄漏或加密数据之前不会被发现。如果谈到勒索软件，可信关系攻击是四个主要的初始感染媒介之一。另外三个是：面向互联网的应用程序的妥协，占所有勒索软件攻击的50%；凭证泄露（40%），其中15% 是通过暴力攻击获得的；和网络钓鱼。

2023年事件响应实践中最常遇到的勒索软件家族包括Lockbit (27.78%)、BlackCat (12.96%)、Phobos (9.26%) 和 Zeppelin (9.26%)。大多数数据加密攻击在一天（43.48%）或几天（32.61%）内结束。其余持续数周（13.04%），只有10.87%持续一个月以上。实际上，所有长期勒索软件攻击（持续数周和数月）除了数据加密之外，还具有数据泄露的特点。

勒索软件组织的策略和技术

勒索软件团体继续采用先前确定的入侵策略，利用类似的工具和技术。攻击者瞄准了容易受到远程命令执行(RCE) 影响的面向互联网的应用程序，例如受易受攻击的log4j 版本支持的应用程序。攻击者利用这些应用程序中的漏洞，获得了未经授权的访问并破坏了基础设施。

一旦确认利用，攻击者通常会通过操纵负责应用程序执行的本地特权帐户来进行操作。他们执行命令来修改用户密码并将一组工具（例如Meterpreter 和Mimikatz）上传到受感染的系统。通过执行Meterpreter 并创建或修改系统进程，攻击者可以获得额外的访问权限并在受感染的系统上建立持久性。

在某些情况下，攻击者会利用组织基础设施内面向公众的应用程序中的漏洞，并利用BloodHound 和Impacket等工具在网络内进行横向移动并获取目标基础设施的知识。然而，为了逃避端点控制，他们还采用了不同的技术，例如使用Windows Command Shell 收集事件日志并提取有效用户名。

此外，攻击者还利用本机Windows SSH 命令进行命令和控制(C2) 通信以及数据泄露。在确定通过互联网访问到达远程系统的路径后，他们配置SSH 后门并建立反向隧道以进行数据交换。

总体而言，勒索软件组织表现出对网络漏洞的深入了解，并利用各种工具和技术来实现其目标。众所周知的安全工具的使用、面向公众的应用程序中的漏洞利用以及本机Windows 命令的使用突出表明需要采取强大的网络安全措施来防御勒索软件攻击和域接管。

勒索软件：成为国家和国际安全问题

过去几年，勒索软件攻击对公共和私人组织的影响已升级到威胁国家安全的程度。这种日益严重的威胁导致勒索软件在国家网络安全战略、网络安全监管机构的年度报告以及联合国网络安全不限成员名额工作组(OEWG)等论坛上的政府间讨论中得到强调。勒索软件攻击的频繁性和破坏性对于政府来说已经变得不可持续，促使他们集中资源并制定国家和多国举措来打击勒索软件团体。

一项值得注意的举措是于2021 年成立国际反勒索软件倡议(CRI)，该倡议汇集了49 个国家和国际刑警组织。通过CRI，各方共同努力共享网络安全信息、破坏攻击者的操作并解决助长勒索软件攻击的金融机制。CRI成员还签署了一份声明，主张反对国家政府管辖下的机构支付赎金，这表明需要针对勒索软件支付制定新的全球规范和标准。新加坡和英国等国家在CRI 中发挥了关键作用，专注于了解勒索软件支付生态系统并倡导打击勒索软件融资的政策。

立法措施和政策行动是打击勒索软件的核心。在美国，《2022年关键基础设施网络事件报告法案》等立法旨在增强事件报告和抵御攻击的能力。2023年初，法国实施了一项法律，将及时报告网络安全事件作为保险承保的条件。

国家机构对勒索软件的报告表明，打击这种威胁是当局的首要任务。在其最新的2023年IT安全报告中，BSI（德国）将勒索软件确定为德国最大的网络安全威胁，并指出勒索软件已从“大型游戏狩猎”转向针对小型公司和市政当局。

最后但并非最不重要的一点是，全球执法机构正在联手开展旨在摧毁勒索软件网络的行动。2023 年，国际行动夺取了Hive、BlackCat和Ragnar等勒索软件组织的基础设施。2024 年初，克罗诺斯行动扰乱了Lockbit并获取了其解密密钥，2024年 5月，该组织的领导人被揭露并受到制裁。尽管网络犯罪分子通常会在事后重建他们的基础设施，但这些努力至少会让勒索软件的维护成本变得更加昂贵，并通过免费解密受害者来减少他们的收入。这些和其他努力强调了打击勒索软件的综合方法。通过结合国际合作、立法行动和金融监督，各国旨在有效减轻勒索软件攻击的全球威胁和影响。

勒索软件：2024年会发生什么？

展望2024年，勒索软件生态系统发生了重大转变。虽然许多著名的勒索软件家族已经消失，但更小、更难以捉摸的团体正在出现。这种增长可归因于解散或死亡的较大团体的源代码和工具的泄露。

随着官员们讨论反勒索软件措施以及全球各地的法律当局联手打击网络犯罪，勒索软件行动正变得越来越分散。更大、更协调的团体正在分解成更小的部分，这使得执法部门更难瞄准他们。此外，这些较小的组织中的每一个都具有较小的影响力，并且对执法部门的兴趣较小，因此被追踪和起诉的可能性降低，从而使独立勒索软件行为者逃脱逮捕的机会更高。

总之，勒索软件攻击仍然是网络安全领域的一个重大且不断演变的威胁。从影响关键部门的引人注目的违规行为到对小型企业的攻击，勒索软件的影响持续扩大。当我们反思勒索软件的现状时，出现了一些关键的观察结果和趋势。

为了降低勒索软件攻击的风险，个人和组织应优先考虑网络安全措施。