2022年，卡巴斯基解決方案檢測到超過7420萬次勒索軟件攻擊，比2021年（6170萬）增加了20%。盡管2023年初勒索軟件攻擊數(shù)量略有下降，但它們更復(fù)雜，目標(biāo)更明確。

去年，卡巴斯基實(shí)驗(yàn)室介紹了今年的三個(gè)趨勢：

1.攻擊者試圖開發(fā)跨平臺勒索軟件，使其盡可能具有適應(yīng)性；

2.勒索軟件生態(tài)系統(tǒng)正在進(jìn)化，變得更加工業(yè)化；

3.勒索組織開始參與地緣政治；

這些趨勢至今還存在，研究人員偶然發(fā)現(xiàn)了一個(gè)新的多平臺勒索軟件家族，它同時(shí)針對Linux和Windows。研究人員將其命名為RedAlert/N13V。該勒索軟件專注于非Windows平臺，支持在ESXi環(huán)境中阻止虛擬機(jī)，這樣可以掩蓋其意圖。

另一個(gè)勒索軟件家族LockBit顯然攻擊能力較強(qiáng)。安全研究人員發(fā)現(xiàn)了它的介紹，其中包含了針對一些不太常見的平臺(包括macOS和FreeBSD)以及各種非標(biāo)準(zhǔn)處理器架構(gòu)(如MIPS和SPARC)的惡意軟件測試版本。

至于第二種趨勢，研究人員看到 BlackCat(又名 ALPHV)在年中調(diào)整了TTP。他們注冊的域名看起來像是被攻擊組織的域名，建立了像“我被勒索了嗎”這樣的網(wǎng)站。受攻擊組織的員工可以使用這些網(wǎng)站來檢查他們的名字是否出現(xiàn)在被盜數(shù)據(jù)中，從而增加了受影響組織支付贖金的壓力。

盡管研究人員去年發(fā)現(xiàn)的第三種趨勢是勒索軟件組織在地緣政治沖突中有意偏袒一方，但這并不完全適用于他們。有一個(gè)特殊的樣本：一個(gè)名為“Eternity”的惡意軟件。其開發(fā)者聲稱該惡意軟件被用于地緣政治沖突后，研究人員的研究表明，圍繞 Eternity存在一個(gè)完整的惡意軟件生態(tài)系統(tǒng)，包括一個(gè)勒索軟件變體。文章發(fā)表后，開發(fā)者確保該惡意軟件不會影響烏克蘭用戶，并在該惡意軟件中包含一條親烏克蘭的消息。

2022年勒索軟件的格局還受到了哪些因素的影響

研究人員報(bào)道了RedAlert/N13V、Luna、Sugar、Monster等的出現(xiàn)。然而，在2022年看到的最活躍的家族是BlackBasta。當(dāng)研究人員在2022年4月發(fā)布關(guān)于BlackBasta的初步報(bào)告時(shí)，里面只提到一名受害者，但自那以后，數(shù)量急劇增加。與此同時(shí)，惡意軟件本身也在迭代，增加了一種基于LDAP的自我傳播機(jī)制。后來，研究人員發(fā)現(xiàn)了一個(gè)針對ESXi環(huán)境的BlackBasta版本，最近的版本支持x64架構(gòu)。

如上所述，當(dāng)有新的組織出現(xiàn)時(shí)，舊的組織也就被淘汰了，如REvil和Conti。Conti是其中最臭名昭著的一個(gè)，自從他們的源代碼被泄露到網(wǎng)上并被許多安全研究人員分析以來，他們受到了最多的關(guān)注。

最后，像Clop這樣的其他組織在去年加大了攻擊力度，在2023年初達(dá)到頂峰，因?yàn)樗麄兟暦Q使用一個(gè)零日漏洞攻擊了130個(gè)組織。

有趣的是，在過去一年中，最具影響力和最多產(chǎn)的五大勒索軟件組織(根據(jù)其數(shù)據(jù)泄露網(wǎng)站上列出的受害者數(shù)量)發(fā)生了巨大變化�，F(xiàn)已解散的REvil和Conti在2022年上半年的攻擊次數(shù)分別排在第二和第三位，在2023年第一季度被Vice Society和BlackCat所取代。2023年第一季度排名前五的其他勒索軟件組織是Clop和Royal。

按公布的受害者數(shù)量排名前五的勒索軟件組織

從事件響應(yīng)的角度來看勒索軟件

去年，全球應(yīng)急響應(yīng)小組(GERT)處理了許多勒索軟件事件。事實(shí)上，這是他們面臨的頭號挑戰(zhàn)，盡管2022年勒索軟件的份額比2021年略有下降，從51.9%降至39.8%。

就初始訪問而言，GERT調(diào)查的近一半（42.9%）示例涉及利用面向公眾的設(shè)備和應(yīng)用程序中的漏洞，如未修補(bǔ)的路由器、Log4j日志實(shí)用程序的易受攻擊版本等。第二類示例包括被盜帳戶和惡意電子郵件。

勒索軟件組織使用的最流行的工具每年都保持不變。攻擊者使用PowerShell收集數(shù)據(jù)，使用Mimikatz升級權(quán)限，使用PsExec遠(yuǎn)程執(zhí)行命令，或使用Cobalt Strike等框架進(jìn)行所有攻擊。

研究人員對2023年趨勢的預(yù)測

當(dāng)研究人員回顧2022年和2023年初發(fā)生的事件，并分析各種勒索軟件家族時(shí)，他們試圖弄清楚接下來可能會發(fā)生什么。通過這些觀察研究人員得出了三個(gè)潛在趨勢，我們認(rèn)為這些趨勢將影響2023年接下來的威脅格局。

趨勢1：更多嵌入式功能

研究人員看到一些勒索軟件組織在2022年擴(kuò)展了其惡意軟件的功能，最值得注意的新增功能是自我傳播，如上所述，BlackBasta通過使用LDAP庫獲取網(wǎng)絡(luò)上可用計(jì)算機(jī)的列表來開始自我傳播。

LockBit在2022年增加了所謂的“自擴(kuò)展”功能，為運(yùn)營商節(jié)省了手動運(yùn)行PsExec等工具的工作量。至少，這是“自我傳播”通常所暗示的。實(shí)際上，這只不過是一個(gè)憑證轉(zhuǎn)儲功能，在后來的版本中被刪除了。

例如，Play勒索軟件確實(shí)有一種自我傳播機(jī)制。它收集啟用了SMB的不同IP，建立與這些IP的連接，掛載SMB資源，然后自我復(fù)制并在目標(biāo)計(jì)算機(jī)上運(yùn)行。

最近，許多臭名昭著的勒索軟件組織都采用了自我傳播，這表明這將會成為一種攻擊趨勢。

趨勢2：驅(qū)動器濫用

濫用易受攻擊的驅(qū)動程序達(dá)到惡意目的可能是老套路了，但它仍然很有效，尤其是在殺毒驅(qū)動程序上。Avast Anti-Rootkit內(nèi)核驅(qū)動程序包含某些漏洞，這些漏洞以前就曾被AvosLocker利用過。2022年5月，SentinelLabs詳細(xì)描述了驅(qū)動程序中的兩個(gè)新漏洞（CVE-2022-26522和CVE-2022-206523）。這些漏洞后來被AvosLocker和Cuba勒索軟件家族利用。

殺毒驅(qū)動程序并不是唯一被攻擊者濫用的驅(qū)動程序。研究人員最近發(fā)現(xiàn)了一名勒索軟件攻擊者濫用Genshin Impact反作弊驅(qū)動程序，使用它來終止目標(biāo)設(shè)備上的終端保護(hù)。

驅(qū)動器濫用趨勢還在繼續(xù)演變，卡巴斯基報(bào)告的最新病例相當(dāng)奇怪，因?yàn)樗�不符合前兩類中的任何一類。合法的代碼簽名證書，如英偉達(dá)泄露的證書和科威特電信公司的證書，被用來簽署惡意驅(qū)動程序，該驅(qū)動程序隨后被用于針對阿爾巴尼亞組織的wiper攻擊。wiper 使用rawdisk驅(qū)動程序直接訪問硬盤。

趨勢3：采用其他家族的代碼以攻擊更多目標(biāo)

主要的勒索軟件組織正在從泄露的代碼或從其他攻擊者那里購買的代碼中借用功能，這可能會改善他們自己的惡意軟件的功能。

研究人員最近看到LockBit組織采用了至少25%的泄露的Conti代碼，并在此基礎(chǔ)上發(fā)展成了一個(gè)新版本。

總結(jié)

勒索軟件已經(jīng)存在多年，然后發(fā)展成為一個(gè)網(wǎng)絡(luò)犯罪行業(yè)。攻擊者一直在不斷嘗試新的攻擊戰(zhàn)術(shù)和程序。勒索軟件現(xiàn)在可以被認(rèn)為是一個(gè)成熟的行業(yè)，我們預(yù)計(jì)短期內(nèi)不會有突破性的技術(shù)。

勒索軟件組織將繼續(xù)通過支持更多平臺來擴(kuò)大攻擊面。雖然對ESXi和Linux服務(wù)器的攻擊現(xiàn)在很常見，但頂級勒索軟件組織正在努力瞄準(zhǔn)更多可能包含關(guān)鍵任務(wù)數(shù)據(jù)的平臺。研究人員最近發(fā)現(xiàn)了幾個(gè)示例，其中包含針對macOS、FreeBSD和非傳統(tǒng)CPU架構(gòu)（如MIPS、SPARC等）的LockBit勒索軟件的測試版本。

除此之外，攻擊者在操作中使用的TTP將繼續(xù)發(fā)展，上述的驅(qū)動程序?yàn)E用技術(shù)就是一個(gè)很好的例子。

參考及來源：https://securelist.com/new-ransomware-trends-in-2023/109660/