最新的网络安全新闻与俄罗斯入侵乌克兰有关
网络犯罪和暗网研究 / Q2勒索软件升级

Q2勒索软件升级

Q2勒索软件升级
光子研究小组
更多信息请访问光子研究团队
2021年7月20日 | 9 分钟阅读

随着又一个季度的结束, 现在又到了回顾网络威胁状况的时候了,回顾过去三个月发生的关键事件. 事实证明,2021年第二季度是勒索软件最关键的时期之一, 有很多关键事件发生. 本季度,美高梅集团app下载看到美国最大的石油管道之一成为目标, 看到新的勒索软件群体出现, 和其他人消失. 美高梅集团app下载看到著名的网络犯罪论坛谴责勒索软件,一些执法活动撼动了一些勒索软件的运作.

在这篇博客, 美高梅集团app下载将汇总在2021年4月1日至6月30日期间发生在勒索软件领域的所有重大事件,并分析从美高梅集团app下载对勒索软件领域的报道中产生的主要趋势.

2021年第二季度勒索软件关键事件

2021年第一季度主要是供应链攻击,如 微软交换服务器 之后 SolarWinds, 相比之下,最近这个季度充满了定义当前和未来勒索软件威胁格局的关键时刻. 下面是一些细节.

Colonial Pipeline和黑暗面

2021年5月7日, 一场勒索软件攻击影响了美国能源运营商Colonial Pipeline的网络 扰乱运营和更广泛的石油供应链. 殖民地管道公司在美国东海岸分配了几乎一半的石油相关燃料. 这次行动是对美国关键国家基础设施(CNI)的一次严重网络攻击. 这次袭击被认为是 黑暗面这是一个于2020年9月出现的勒索软件组织. 由于其高度针对性的攻击和半专业的网络犯罪手段,黑暗面开始声名鹊起. 

美国执法部门的回应

正如预测的那样, 这次攻击引起了美国执法机构的迅速反应,导致暗网数据泄露网站(DLS)上的“其附属项目已关闭”。. 美高梅集团app下载仍然不知道这家公司的关闭是执法活动的结果,还是黑暗面自己决定转入地下一段时间. 然而,美高梅集团app下载确信执法部门成功地做到了 抓住2美元.300万美元的加密货币 从殖民付给黑暗面的赎金, 暗示对关键基础设施的攻击可能会引起不必要的注意,并不是最好的目标.

勒索软件禁止网络犯罪论坛

殖民管道袭击的另一个重要副产品是 网络犯罪论坛决定从他们的平台上禁止所有的勒索软件. 袭击的消息登上头条不到一周, 像XSS和Exploit这样的网络犯罪论坛宣布,他们将删除所有关于勒索软件的讨论,并阻碍未来的讨论. 这一决定可能是由于媒体和执法部门在Colonial Pipeline遭受网络攻击后对勒索软件行业越来越多的关注. 

这三个相互交织的事件在上个季度成为勒索软件威胁的显著标志. 执法部门已经证明,比特币支付并非不可能被追踪和没收, 导致像REvil这样的勒索软件组织转向Monero (XMR)以获取赎金. 另外, 网络犯罪论坛禁止所有与勒索软件相关的内容,这迫使勒索软件团伙将大部分通信转移到私人信息渠道.

H1勒索软件受害者的分析

双重勒索策略的出现为了解勒索软件活动提供了一个独特的视角. 自从Maze勒索软件小组引入了数据泄露网站的概念, 这一趋势已经被大量活跃的勒索软件组织所采用. 这些页面通常托管在暗网上,威胁行动者利用它们公开受害者的名字,并公布在勒索软件攻击中窃取的数据. 美高梅集团app下载每天都在识别和报告31个DLS中指定的新受害者,以密切关注勒索软件市场,并帮助美高梅集团app下载的客户识别涉及他们的第三方或供应商的暴露.

“美高梅集团app下载”已经报道了将近2个,自从更广泛的勒索软件领域采用这一策略以来,已有600名受害者被指定为数据泄露网站(DLS)的受害者.

仅在2021年第二季度, 这包括了740个不同的受害者,被命名为各种活跃的数据泄漏网站. 与2021年第一季度发现的相同活动相比,增长了47%. 以下部分是基于对2021年第二季度被指定为DLS的受害者的分析.

按群组划分的勒索软件活动

勒索软件活动1H 2021

康蒂勒索软件是最活跃的

在报告所述期间,孔蒂勒索软件集团是最活跃的, 与Avaddon, PYSA, REvil紧随其后. 这是孔蒂连续第二个季度在受害者名单中名列前茅. 孔蒂, 据信与Ryuk勒索软件有关, 是否始终如一地无情地针对关键部门的组织, 包括紧急服务. 值得注意的是,第二季度该组织发起的攻击包括针对爱尔兰医疗保健系统(卫生服务执行)的攻击,以及针对美国医疗保健和第一反应网络的攻击, 包括执法机构和911调度中心,据报道 2021年5月TLP:白人FBI闪电侠.

某些群体消失了,新的群体出现了

在2021年第二季度,美高梅集团app下载看到了一些不同的勒索软件行动的消失. 很难确定这些组织是否只是躲起来了, 被逮捕, 为, 或者现在正与另一个勒索软件组织合作. 在之前的三个月里,有几个组织宣布退出,包括阿瓦登,巴布洛克, 黑暗面以及Astro Locker勒索软件组. 

相反, 例如Hive, 副社会, 普罗米修斯, LV Ransomware, 兴, 和“悲伤”勒索软件操作也出现了他们自己的DLS.

按行业分类的勒索软件活动

工业产品 & 第二季度,服务行业在数据泄露站点名单中名列前茅 

勒索软件受害者部门2021年1H

这是一个一致的趋势,目标和匹配的DS发现在第一季度. 后工业产品 & 服务, 建筑和材料, 零售, 技术, 医疗保健行业紧随其后.

当比较Q1和Q2, 美高梅集团app下载发现每个部门都在增长, 其中,零售业增长最为显著,达到183%. 另外, 尽管许多勒索软件组织公开谴责针对健康相关垂直领域的组织,但医疗保健领域的组织仍然是一个受欢迎的目标.

按地理位置划分的勒索软件活动

美国的组织成为勒索软件行动的最主要目标,这应该不足为奇. 令人惊讶的是,与世界其他地区相比,这一目标市场的比例显著失调.

  在2021年第二季度被数据泄露网站点名的所有勒索软件受害者中, 其中60%是美国的组织.

与第一季度的结果相比, 加拿大是勒索软件活动下降幅度最大的国家(下降28%). 每个国家都显示出增长或与第一季度报告保持一致. 

勒索软件受害者地理2021年1H

仅次于美国, 法国(46), 英国(39), 意大利(35个)是勒索软件组织最主要的目标受害者.

第三季度勒索软件预测

任何情报分析师工作的一部分就是对某些事件未来可能如何展开做出有根据的猜测. 这就是为什么美高梅集团app下载总是喜欢包括一个小的部分,美高梅集团app下载看看事情可能会出现在下一个季度.

在这种情况下,新季度开始后发生的一件事促进了美高梅集团app下载的工作. 美高梅集团app下载说的是 REvil勒索软件对Kaseya VSA的供应链攻击. 在这种攻击中, REvil勒索软件集团利用Kaseya软件中的一个零日漏洞,攻击了40多家管理服务提供商(MSPs)及其数百名客户. 这次攻击导致大多数垂直行业的组织广泛加密,远远超出了Kaseya的客户.

Kaseya的攻击是否象征着向尽可能多的组织传播勒索软件的趋势倒退? 现在说这个还为时过早, 但看看美高梅集团app下载在未来几个月将如何发展这一趋势,肯定很有趣. 尽管如此,美高梅集团app下载还是可以从这个故事中推断出一些观点. 第一个, 在这种情况下, REvil决定放弃传统的双重勒索技术,对尽可能多的公司进行加密. 在过去两年中,从勒索软件中提取和出售数据已成为这些活动的一个关键方面, 它象征着所谓的大型狩猎趋势的高度针对性. 

这次攻击的第二个关键点是 这次手术公开后,雷维尔就消失了. 虽然还没有得到证实, 安全研究人员和记者猜测,执法部门可能已经将其撤下, 雷维尔已经决定低调一阵子了, 或者他们只是去度假了, 正如美高梅集团app下载的同事肖恩喜欢想象的那样. 几个月后, 美高梅集团app下载可能会更清楚地知道《美高梅体育官方app》或《美高梅集团app下载》到底发生了什么, 不管怎样. 到目前为止, 明显的联系是在像殖民管道或Kaseya这样的大规模袭击之后, 这些团体消失. 拜托,让美高梅集团app下载暂时把这当成是一次胜利吧. 

最后, 美高梅集团app下载怀疑勒索软件的行动将继续在他们的目标选择草率. 鉴于黑暗面攻击Colonial Pipeline的余波以及由此导致的巨大反弹, 有人会认为,勒索软件组织在行动中会更有选择性. 这种假设在殖民管道事件后不久就被推翻了. 全球最大的肉类加工公司JBS受到勒索软件攻击的影响. 几周后, 美高梅集团app下载发现,由于Kaseya VSA妥协,REvil瞄准了多个组织. 勒索软件的活动很可能会持续到2021年第三季度, 有限地考虑他们的目标是谁,更多地考虑他们可能会赚多少钱..

你可以得到一个全面的数据,美高梅集团app下载用来建立这个博客和美高梅集团app下载的季度勒索软件报告与免费 探照灯的7天审判 在这里. 你还可以得到一个 定制的演示 来了解你的组织所面临的威胁和潜在的风险, 包括访问已完成的MITRE关联和Photon研究缓解威胁情报库.

雷维尔在探照灯中的威胁情报简介

欲了解更多信息,请参阅美高梅集团app下载之前的博客文章 探照灯内追踪勒索软件 向你展示了探照灯是如何追踪新兴变体的, 允许您导出和阻止各种格式的相关恶意指标, 即时分析热门目标, 并轻松映射到您的安全控制.

在试驾中访问美高梅集团app下载的威胁情报

试驾探照灯免费 7
现在试一试

与美高梅集团app下载联系

友情链接: 1 2 3 4 5 6 7 8 9 10