|
|
2022年勒索软件生态零碎产生了严重变动,从多数大型勒索组织主导转向碎片化的勒索软件即办事(RaaS)经营模式,以追求更大的灵敏性并增加执法部门的关注。勒索软件的这类“民主化”对企业来讲是个坏动静,由于这象征着勒索软件战略、技术和顺序(TTP)的多样化,企业需求跟踪更多的危害目标(IOC),在尝试会谈或领取赎金时也面临更多障碍。
思科Talos团队的钻研人员在其年度讲演中指出:“勒索软件生态的碎片化趋向最少能够追溯到2021年中期,执法部门突袭并瓦解了风头正劲的勒索软件组织REvil和攻打殖民地管道的DarkSide。”
2022,诸魔的傍晚
自2019年以来,勒索软件生态始终由大型专业化勒索软件组织主导,这些组织频频登上媒体的旧事头条,乃至被动追求媒体关注向受益者施压。有些勒索软件组织还有本人的市场营销部门和“旧事发言人”,承受记者采访或在Twitter上公布“旧事稿”,他们还有本人的“民间”数据泄漏网站用以披露严重数据泄漏事情并要挟受益者。
2021年DarkSide针对殖民地管道的攻打致使美国东海岸产生严重燃料供给间断,标明勒索软件攻打曾经成为症结根底设施的严重危险,并促使各国政府加大打击力度,公开网络犯法论坛纷纭与勒索软件组织撇清瓜葛,一些论坛乃至阻止鼓吹此类要挟。尔后不久,DarkSide迫于压力住手经营,并于当年晚些时分由REvil(也称为Sodinokibi)接替,后者是2019年以来最胜利的勒索软件组织之一。但REvil的开发者也被起诉,其中一人乃至被捕。
2022年2月发作的俄乌和平也对勒索软件生态零碎发生了严重影响。许多在俄罗斯、乌克兰或其余前苏联国度具有成员和隶属机构的勒索软件组织之间的瓜葛开始变得紧张。Conti等勒索软件组织急于在和平中站队,要挟要攻打东方根底设施以反对俄罗斯。这与勒索软件组织一向秉持的“闷声发财,不问政事”的行规南辕北辙,招来其余勒索软件组织的猛烈鞭挞。
随后不久,Conti外部通讯信息泄漏,袒露了Conti的少量经营秘密,并惹起了其泛滥加盟组织的不安。在哥斯达黎加政府受到严重袭击后,美国国务院赏格1000万美元,以获得Conti领导人的身份或地位信息,这致使该组织抉择在5月封闭业务。
Conti的“失联”致使寰球严重勒索软件攻打流动在随后的数月内降落,但这类状况并无继续多久,由于Conti的空白很快就被其余新成立的勒索软件组织填补了,业界疑心这些面目一新的新组织是Conti、REvil和其余过来两年休眠的勒索软件组织的前成员兴办的。
2023,“五大家族”值得关注
虽然勒索软件即办事(RaaS)的“民主化”和碎片化趋向曾经不成逆转,然而在勒索软件去核心化的面前,一些最风险的勒索软件组织仍然是症结指标和严重数据泄漏事情的幕后黑手,下列是2023年值得关注的勒索软件“五大家族”:
LockBit:奋勇当先
LockBit是在Conti封闭后经过改进Conti的同盟方案以及软件版原本增强其经营的次要勒索软件组织。只管LockBit自2019年以来始终在运转,但直到LockBit3.0,该组织才成为勒索软件生态的领头羊。
按照多家平安公司的讲演,LockBit3.0是2022年第三季度勒索软件事情中使用数量至多的勒索软件,其数据泄漏网站全年发布的受益者数量也至多。2023年LockBit极可能会衍生出新的版本,由于此前LockBit的开发工具被一名心胸不满的前开发人员泄漏了。当初,任何人均可用泄漏的LockBit开发工具开发本人的勒索软件版本。按照Talos的讲演,一个名为Bl00dy Gang的新勒索软件组织曾经在比来的攻打中开始使用泄漏的LockBit3.0开发工具。
Hive:勒索超过1亿美元
按照Talos的数据,在LockBit之后,2022年受益者数量排名第二的勒索软件组织是Hive。后者是2022年Talos事情响应团队监测到的次要勒索软件,在Palo Alto Networks的事情响应案例列表中排名第三,仅次于Conti和LockBit。按照美国联邦考察局、网络平安和根底设施平安局(CISA)和美国卫生与大众办事部(HHS)的联结考察,Hive在2021年6月至2022年十一月期间从寰球1300多家公司勒索了超过1亿美元。
按照考察,关于没有领取赎金的企业,Hive组织会尝试用Hive勒索软件或其余勒索软件变种从新感染其网络。
Black Basta:Conti的变种
2022年第三多产的勒索软件团伙是Black Basta,该组织被疑心是Conti的衍生组织,技术方面有一些类似的地方。Black Basta于2022年4月开始经营,就在Conti封闭前不久,并迅速开发了本人的工具集。该组织依靠Qbot木马进行散发,并会利用PrintNightmare破绽。
从六月开始,Black Basta还推出了用于Linux零碎的文件加密器,次要针对VMware ESXi虚构机。这类跨平台扩展趋向也泛起在其余勒索软件组织中,如LockBit和Hive,二者都开始提供Linux加密器,或者用Rust编写的ALPHV(BlackCat)等勒索软件,反对在多个操作零碎上运转。Golang是另外一种失掉勒索软件组织青眼的跨平台编程言语,被一些小型勒索软件团伙采取,例如HelloKitty(FiveHands)。
Royal:势头微弱
2022年降生的另外一个可能与Conti无关联的勒索组织是Royal。虽然它最后使用来自其余组织(包罗BlackCat和Zeon)的勒索软件顺序,但该组织开发了本人的文件加密器,该加密器似乎是受Conti启示或基于Conti,开展迅猛,在十一月的受益者人数上当先于LockBit。根据这个速度,Royal预计将成为2023年最大的勒索软件要挟之一。
Vice Society:次要针对教育行业
Royal并非独一一个经过重用第三方勒索软件取得胜利的勒索软件组织。按照Talos的数据泄漏网站受益者数量统计讲演,一个名为Vice Society的组织曾经生长为第四大勒索软件组织。该组织次要针对教育行业,攻打时使用的是第三方勒索软件顺序(如HelloKitty和Zeppelin)的衍生版本。
总结:2023年勒索软件给要挟情报带来新应战
“勒索软件垄断格式的终结给要挟情报剖析师带来了应战,”思科Talos钻研人员表现:“Talos被动监控的数据泄漏站点披露事情数量的75%来自最少八个勒索软件组织。新组织的涌现使溯源变得难题,由于对手可能会在多个RaaS平台间穿越。”
另外,LockBit等一些勒索软件组织曾经开始踊跃尝试其余“不加密”勒索办法,例如DDoS攻打,以迫使受益者领取赎金。这类趋向可能会在2023年持续上来。勒索软件组织还可能会采取其余新的勒索战略,例如在部署终究勒索软件无效载荷以前,就事后将攻打货泉化。
文章来源:GoUpSec 编纂:老李 |
|
注册会员