在2020年过去的半年里,世界各地的许多领域都面临着严峻的挑战,网络安全领域也不容乐观。勒索软件的势头一度上升,出现了新的勒索模式。虽然勒索病毒感染约占恶意软件总事件的3%,但它比其他恶意软件具有更大的破坏性。一旦发生勒索,企业将面临业务中断和高赎金的风险。我们千里目安全实验室分析了勒索软件的整体攻击趋势、勒索模式、家庭类型和行业分布,并发布了《2020年上半年勒索软件洞察报告》(以下简称《报告》)。
1、勒索软件事件的趋势
根据安全云脑提供的数据,2020年2月以来,勒索软件从之前的低潮开始恢复活力,攻击势头上升,尽管处于COVID-19但对政府、学校和医疗卫生行业的攻击并没有减弱。
2020上半年勒索软件洞察报告
2019比较2020年上半年勒索攻击的趋势
通过对大量勒索事件的调查和分析,以及与一些行业合作伙伴的沟通,发现犯罪团伙正在逐步形成大规模的商业运营,形成新的勒索软件合作生态。活跃的攻击团伙(如臭名昭著的)Emotet和Trickbot恶意软件家族等。)在实施网络犯罪的过程中,往往会有广泛的僵尸网络感染。他们依靠僵尸网络庞大的感染基础迅速扩大,充分了解受害者目标的财务和IT系统完成后,第三方勒索软件将部署在受害者的资产上。勒索软件合作的生态结构如下图所示:
2020上半年勒索软件洞察报告
勒索软件合作生态结构图
在合作生态系统中,每个角色都独立地在高度专业的集群中运行。在大多数情况下,每个角色都专注于他们负责的模块,除了业务联系之外几乎没有其他交集。例如,在过去,攻击团伙通常与勒索软件制作团队相同,而现在攻击团伙通常是独立于勒索软件开发人员和运营商,作为一个相对独立的角色存在。他们专注于利用僵尸网络部署勒索软件,给受害者造成更广泛的损失。这种新的勒索软件合作生态使勒索威胁的危害提高了一个新的高度。
2、勒索软件赎金要求
近年来,勒索软件犯罪组织意识到使用广泛的网络策略并不能给其带来更多的投资回报,因此他们开始逐步采用复杂和有针对性的交付技术和机制,并启动大规模的目标“狩猎”活动。大型企业虽然被攻击次数少,但一旦受到攻击,往往要支付高额赎金,从而提高了平均勒索赎金水平。2020年上半年,顶级勒索软件攻击次数减少,但要求赎金大幅增加。Coveware数据显示,与2019年相比,2020年第二季度赎金要求同比增长4倍。
2020上半年勒索软件洞察报告
2018Q3-2020Q2季度平均勒索赎金趋势
还有两个值得注意的趋势,这也是赎金增加的原因:
(1)部署勒索软件前窃取数据的模式促进了高赎金支付概率
一些勒索软件运营商受害者“不交赎金就会泄露数据”鼓励攻击者增加勒索赎金。这一趋势始于2019年11月Maze、Sodinokibi、DoppelPaymer以新的勒索软件为代表,受害者的私人数据将首先被盗。如果受害者不支付赎金,攻击者将公开或拍卖这些被盗数据。这无疑给受害者增加了数据泄露的压力,从而大大提高了受害者支付赎金的可能性。
(2)勒索软件是服务(RaaS)持续盛行,运营商正在寻求更高的赎金要求
犯罪组织使用新的低成本勒索软件,即服务(RaaS)发起攻击,不再需要深厚的技术专长来参与网络犯罪。在大型企业的勒索软件系列中,RaaS运营商正在寻求更高的赎金要求,10万赎金要求已成为常态。
3、勒索软件家族类型分布
从令人信服的勒索应急事件来看,近乎70%勒索软件攻击是四种最常见的勒索软件(Crysis、GlobeImposter、Sodinokibi、Phobos)他们的大部分攻击都是利用的RDP爆破作为攻击入口。此外,还有几种新的RaaS变体,例如VegaLocker、MedusaLocker等等,这些新进入者以较低的早期成本和技术知识吸引了网络犯罪初学者。
2020上半年勒索软件洞察报告
2020勒索家族分布于今年上半年上半年
整理发现勒索软件攻击媒介在过去半年的应急响应,远程桌面协议(RDP)入侵和电子邮件网络钓鱼攻击入口增加,软件漏洞和其他攻击媒体略有减少。攻击者使用的攻击媒体显示了他们最喜欢的目标规模。Phobos几乎不安全RDP专门针对小企业,漏洞利用程序便宜普遍,操作技术难度小。对于大型企业,攻击者通常使用在线钓鱼邮件作为初始攻击。
2020上半年勒索软件洞察报告
勒索软件入侵前四名的比例
活跃的勒索病毒家族将推出针对性强的大型勒索病毒家族“狩猎”活动,定制勒索大量赎金。SamSam,这是一个可追溯到2016年的勒索软件程序“高效定制攻击”而且出名。近几年,Ryuk、Sodinokibi新的勒索软件组织也采取了类似的策略。通过国内外安全制造商披露的信息Sodinokibi/REvil通过相关报告和实际案例分析,可以看到勒索的完整攻击路径:
2020上半年勒索软件洞察报告
4、勒索软件行业分布
今年以来,企业单位和公共部门遭遇的攻击均出现显着增长,值得注意的是,疫情下许多勒索软件并未对医疗行业“手下留情”,2020上半年约有6.4%勒索软件攻击是针对医疗行业的。此外,许多威胁攻击者会仔细计划和关注勒索软件的攻击时间,以最大限度地提高勒索收入,如SNAKE在本田集团的事件中,勒索团伙发现攻击团伙在病毒代码中硬编码了与本田集团相关的系统名称和公共网络 IP、域名信息等,这意味着勒索攻击已经计划了很长时间。
COVID-19爆发迫使一些学校和企业开放远程访问,但远程服务配置不当也是教育行业和企业攻击增加的重要原因。如下图所示,2020年上半年勒索软件攻击行业分布排名前三。
2020上半年勒索软件洞察报告
2020今年上半年,勒索攻击行业分布
5、勒索软件与APT组织
通常盈利的勒索软件和APT组织之间有明显的区别。勒索软件通常只部署赚钱,而APT组织通常是为了窃取数据。APT该组织的犯罪手段是针对极其安全的网络攻击,长期存在,不易检测。
但是拉撒路(Lazarus)似乎模糊了这一界限。Lazarus组织是MATA(Dacls)恶意软件框架的唯一所有者最终会VHD部署在受害者主机上的勒索软件。
下图显示了卡巴斯基感染勒索软件事件中发现的攻击过程图,攻击者通过漏洞处理虚拟私人网络入侵并获得管理员的权限,并在感染系统上部署MATA(Dacls)后门可以接管Active Directory然后将服务器VHD所有的计算机都部署在网络上。这一事件表明,APT组织也可以使用勒索软件团伙来赚钱。
2020上半年勒索软件洞察报告
Lazarus APT组织利用MATA框架下发VHD勒索软件
6、2020今年上半年勒索软件攻击事件
勒索病毒产业链不断创新技能和大规模商业运营,不断对世界造成严重危害。从梳理2020年上半年全球勒索的一些重大事件可以看出,勒索软件上半年仍然非常活跃。
2020上半年勒索软件洞察报告
2020上半年勒索软件洞察报告
2020上半年勒索软件洞察报告
7、小结
上述统计数据揭示了2020年上半年勒索软件的主要趋势。勒索软件攻击的目标逐渐转向对政府和企业机构的精确攻击,利用勒索盗窃数据和威胁公开的双重手段要求更高的赎金;此外,勒索软件的商业运营模式逐渐扩大,新的合作生态使威胁上升到一个新的高度。从勒索软件的增加到攻击模型的变化,勒索软件仍然是犯罪分子的首选工具,勒索软件的传播者一直在积极寻找从犯罪活动中获利的新方法,包括与其他犯罪团伙的合作、拍卖盗窃的敏感数据。
随着安全供应商不断开发防御系统来检测和防止攻击,勒索软件也在不断发展,更擅长隐藏在文件和正常网站中,以避免被传统的防病毒软件检测到。分散也是当前恶意软件生态系统的一个重要特征。分散的形式可以产生灵活的业务模型,其中勒索软件可以加速识别受害者资产,并在僵尸网络的帮助下完成部署。
虽然许多组织已经通过实施基于签名的防病毒软件和其他解决方案来保护他们的系统,但这些方法对高级勒索软件攻击的抵抗力仍然很小。企业需要实施多层次的安全措施来应对现代勒索软件的挑战,以有效地保护自己的网络。
https://www.coveware.com/blog/q2-2020-ransomware-marketplace-report如果转载,请注明原始地址