最新的网络安全新闻与俄罗斯入侵乌克兰有关
网络犯罪和暗网研究 / Ransomware Q4概述

Ransomware Q4概述

Ransomware Q4概述
伊凡Righi
伊万·瑞吉报道
2022年1月19日 | 12 分钟阅读

2021年终于结束了,现在是时候回顾一下2021年第四季度发生的一些关键的勒索软件相关故事和事件了. 而大多数安保人员则会利用假期休息,与家人共度时光, 勒索软件业务仍然高度活跃,并且是其最多产的季度之一. 在最近这个季度,美高梅集团app下载可能没有看到任何大型活动,如 Kaseya的VSA供应链攻击 2021年第三季度, 但勒索软件威胁领域也出现了一些有趣的发展, 越来越多的新面孔加入了不断增长的勒索软件行业.

在这篇博客, 美高梅集团app下载将回顾并分析2021年10月1日至12月31日期间影响勒索软件威胁格局的趋势, 并展望这可能会如何影响2022年第一季度. 

2021年第三季度勒索软件概述

美高梅集团app下载深入了解2021年第四季度的事件之前,让美高梅集团app下载快速回顾一下 2021年第三季度的主要活动. 上个季度出现了大量的网络攻击, 备受瞩目的事件, 以及勒索软件威胁格局的转变. 一个值得注意的事件是“LockBit”勒索软件组的回归,新的“LockBit 2”.0”变体. 在2021年第三季度,LockBit泄漏的受害者人数是其他任何勒索软件集团的三倍.

2021年第三季度影响最大的勒索软件事件是REvil公司对Kaseya VSA供应链的攻击, 据称感染了超过100万个系统. 尽管该组织要求为通用解密器提供7000万美元, 解密密钥被免费暴露,因为据称 一个程序员搞错了

最后,在2021年第三季度,美高梅集团app下载看到了一个名为“RAMP”的新型勒索软件论坛的发布。. 这是一个俄语论坛,旨在为勒索软件组织提供一个安全的避风港,以推广他们的“勒索软件即服务”(RaaS)产品,或讨论任何与勒索软件相关的话题. 

现在让美高梅集团app下载看看这些事件是如何影响2021年最后一个季度的.

2021年第四季度的主要勒索软件事件

坡道的成功 

RAMP于2021年第三季度首次推出,以应对气候变化 禁止与勒索软件相关的内容 在许多知名的网络犯罪论坛,如XSS, Exploit和RaidForums. 自创建以来,RAMP走过了一条艰难的成功之路. 论坛经常遭受DDoS (distributed denial of service)攻击, 管理员不得不多次移动他们的服务器, 论坛最终被迫更换了一个全新的网址. 

尽管挫折, RAMP已经成功地实现了它设定的目标——为勒索软件附属程序和对勒索软件感兴趣的网络罪犯建立一个安全的避风港. 许多大型勒索软件组织的代表和经营者利用论坛宣传和更新他们的联盟程序. 

RAMP引起了国际社会网络犯罪分子的注意, 现在有一组使用多种语言的用户,包括英语, 俄罗斯, 和普通话. 论坛的活动一直在稳步增加, 而且很可能在下个季度继续增长.

FIN12在快速勒索软件攻击中获得成功

在2021年10月,它是 报道 FIN12集团成功地发起了单一勒索攻击. 这是, FIN12一直在有效地发起勒索软件攻击,并跳过了流行的“勒索”组件, 在那里,数据被窃取,然后被扣留以换取赎金. 

通过跳过泄露数据的麻烦,并将其上传到数据泄露网站, FIN12能够显著减少他们在目标上的时间. 根据Mandiant, 该组织能够在不到三天的时间内发动袭击, 相比之下,涉及数据盗窃的平均时间超过12天. 这大大减少了事件响应人员检测和减轻基于勒索软件的入侵的时间.

2021年第四季度,网络犯罪集团使用单一勒索攻击的趋势仍然很流行, 一些组织也更喜欢外泄而不是加密. 专注于一个因素可以给群体带来很多好处, 比如更快的攻击和执法部门较少的关注.

勒索软件团体开始利用新的漏洞

最后, 2021年第四季度的一个大趋势是勒索软件集团继续利用新的漏洞. 勒索软件开发人员已经变得善于利用新漏洞带来的机会,并在调整攻击以增加成功感染的可能性方面表现出灵活性. 

在CVE-2021-44228(又名“Log4Shell”)公布后不久, 许多关于利用该漏洞的勒索软件团体的报告已经发布. 勒索软件变体" 孔蒂 "的操作人员, “Muhstik”, 而“Khonsari”据称在其披露后不久就瞄准了该漏洞, 伊朗的威胁角色“磷”(又名APT35)也被发现利用该漏洞部署勒索软件, 据微软

据报道,Atomsilo勒索软件集团还在2021年10月利用Atlassian的Confluence协作软件的一个关键漏洞(CVE-2021-26084), BlackByte于2021年11月被发现利用ProxyShell Microsoft Exchange漏洞进行首次访问.

这并不是一种新趋势, 但它突出了与未能及时修补或减轻漏洞相关的危险. 考虑到勒索软件的高威胁, 对快速和有效的补丁管理程序的需求已经变得越来越重要.

第四季度勒索软件受害者分析

在最近这个季度, 勒索软件再次成为所有部门组织的主要威胁, 拥有数据泄露网站的勒索软件组织仍然非常活跃. 美高梅集团app下载每天监控56个勒索软件数据泄露网站, 虽然只有29人在写作时仍然活跃. 美高梅集团app下载还监视那些不与勒索软件关联的数据泄露网站, 比如Bonaci集团, CoomingProject, 和其, 但这些数据并未包括在本博客所报道的数据中. 美高梅集团app下载的监测帮助美高梅集团app下载的客户识别涉及他们的第三方或供应商的曝光.

美高梅集团app下载已经报道了近4个,自2019年底更广泛的勒索软件领域采用这种策略以来,已有000名受害者被指定为数据泄露网站(DLS)的受害者. 

在2021年第四季度,共有781名受害者被勒索软件数据泄露网站点名. 这是一个显著的增加(36.8%),而上一季度有571名受害者. 许多群体的受害者人数显著增加. 例如,孔蒂在其网站上公布了157名受害者,比上一季度增加了121%. 其他增长包括LV博客(360%)、PYSA (165.AvosLocker(60%)和LockBit 2.0 (8.4%).

按群组划分的勒索软件活动

 2021年第四季度分类的勒索软件活动
 2021年第四季度分类的勒索软件活动

LockBit 2.0仍然是2021年第四季度最活跃的勒索软件群体,占28个.占本季度所有攻击记录的2%. LockBit 2.0首次出现于2021年7月,几乎没有 在2021年第三季度,受害者人数是其他任何群体的三倍. 而LockBit在第四季度将其受害者数量从203人增加到220人, 其他团体为获得最高职位而作出了很大的努力. 孔蒂位居第二, 和上季度一样, 但与2021年第三季度相比,孔蒂的受害者人数增加了一倍多. PYSA和Grief仍在前5名, AvosLocker自发行以来首次进入前五名. 

2021年第四季度的一次引人注目的袭击是格里菲对全国步枪协会(NRA)的袭击。, 发生在2021年10月底. Grief将全美步枪协会发布在其数据泄露网站上,并泄露了包含美国政界人士对全美步枪协会支持的文件, 全国步枪协会颁发的国家补助金, 以及公司保险信息. 对全国步枪协会施加进一步的压力, 格里菲创建了一系列推特机器人账户,用来分享和放大这个故事.

全美步枪协会的名单
全美步枪协会的名单

新来的和退休的

在第四季度,美高梅集团app下载看到许多组织关闭了业务,新的勒索软件组织出现了. 在2021年第四季度关闭数据泄露网站的组织包括BlackMatter, 痛骂(短暂归来后), DarkRypt, BlackByte博客, 受到惊吓的博客, 和Atomsilo. 在另一边, 在2021年第四季度,有许多新组织创建了数据泄露网站,并加入了双重勒索威胁的行列, 其中包括ROOK, 熵, Alphv (BlackCat), 金刚鹦鹉, 54 bb47h(安息日), 受到惊吓, 和BlackByte. 

美高梅集团app下载可以看到, 受到惊吓和BlackByte都在同一季度内创建并关闭了数据泄露网站. 这凸显了勒索软件威胁的高波动性. 而数据泄露网站可能对这些群体是不活跃的, 他们可能仍然在幕后活动,这是现实的可能. 

快乐的博客, REvil数据泄漏网站, 在9月短暂回归后,于2021年第四季度再次不活跃. 然而, 就在它被取下前不久, 看来REvil的暗网域名被攻破了(见下图). 快乐的博客被改成了一个登录页面,上面写着: 

"他们都是大师,他们对自己评价很高"

[输入用户名及密码框"

"美高梅集团app下载有技能和经验"

“你想和最有资格的人在一起,还是和最失败的人在一起??”

快乐博客于2021年11月进行了修改
快乐博客于2021年11月进行了修改

目前尚不清楚是谁发动了这次袭击, 或者是REvil成员自己做出的改变. 然而,该网站在11月后不久就被关闭,此后一直处于关闭状态.

XSS犯罪论坛上的用户声称REvil的网站被“攻破”了
XSS犯罪论坛上的用户声称REvil的网站被“攻破”了

按行业分类的勒索软件活动

2021年第四季度最受关注的行业是工业产品 & 服务行业.

受害者部门的勒索软件2021年第四季度
受害者部门的勒索软件2021年第四季度

工业产品 & 2021年第四季度,服务业继续是最严重的目标行业,占18个.7%的攻击. 工业产品 & 在2021年所有季度中,服务业是第一大目标行业. 其次是建筑 & 材料部门(9.8%的事故),其次是技术(6.7%),法律服务.3%).5%)行业.

2021年第四季度,大多数行业的攻击次数都有所增加. 工业 & 服务业被列为目标.比上个季度增长了5%,建筑业 & 材料增加24.5%,零售目标增加了21.2%. 然而,最令人印象深刻的增长来自房地产(增长150%)和旅游 & 休闲(123.5%)行业. 其中一个例外是科技行业,该行业的招聘目标减少了19个.6%被勒索软件组. 

按地理位置划分的勒索软件活动

勒索软件,受害者地理位置,2021年第四季度
勒索软件,受害者地理位置,2021年第四季度

最受攻击的国家仍然是美国,共46个.2%的受害者. 该国的受害者人数增加了37人.与2021年第三季度相比增长了1%. 美国是勒索软件运营商的热门目标,这可能是因为网络犯罪分子已经成功地从美国获得了巨额赎金.S. 公司. 另外, 许多这样的勒索团伙在美国没有引渡条约的国家活动, 比如俄罗斯和中国. 因此, 对这些威胁行动者来说,因针对美国的网络犯罪而被起诉的威胁可能并不大. 

其次是英国(78人).比2021年第三季度增长3%),紧随其后的是德国(54人).增长2%)、法国、加拿大(19个).增长2%),意大利(76.增加5%). 在2021年第四季度,大多数国家的目标显著增加.

2022年第一季度勒索软件预测

在最后一节中,美高梅集团app下载将研究下一季度可能影响勒索软件威胁格局的威胁. 如美高梅集团app下载所见, 勒索软件业务在过去几个月里继续呈指数级增长, 而且受害者的人数每季度都在持续增加. 美高梅集团app下载预计这一趋势将在2022年继续下去.

勒索软件组之间的协作可能会成为明年安全团队关注的一个话题. RAMP勒索软件论坛为勒索软件小组提供了一个完美的分享想法的平台, 利用, 互相交流. 2021年12月10日,RAMP上的一名用户分享了一个针对CVE-2021-44228 (Log4Shell)的利用和概念验证(PoC),突显了这种协作, 漏洞被披露的第二天. 用户提供了如何利用该漏洞的详细说明, 以及显示JavaScript代码的嵌入图像. 许多用户回复了这篇文章,讨论了哪些类型的服务器和服务仍然容易受到这些攻击. 

RAMP上的用户发布Log4Shell漏洞
RAMP上的用户发布Log4Shell漏洞

RAMP还允许勒索软件小组公开讨论新项目并寻找合作伙伴. 例如,Alphv勒索软件集团在2021年12月9日利用RAMP宣布了他们的合作伙伴计划. 该组织将他们的程序描述为“下一代勒索软件”,并声称与LockBit等其他勒索软件变体相比,他们的程序修复了漏洞, REvil , 而孔蒂没有解释. 

Alphv是众多使用RAMP来宣传其程序的勒索软件组织之一, 其他组织还包括孔蒂和“Sugar”勒索软件组织. 

Alphv正在RAMP上发布广告
Alphv正在RAMP上发布广告

另一个未来可能面临的威胁是一个不常被谈论的威胁——内部威胁. 然而,这些攻击载体并不像其他类型的攻击载体那样常见, 有报道称,勒索软件组织利用内部人员进入公司. 2020年底,一个名叫 Egor Igorevich Kriuchkov被起诉 因为他试图贿赂一名特斯拉员工,让他在特斯拉系统中插入恶意软件(可能是拉格纳洛克). 

在另一个例子中,在2021年第三季度,LockBit 2.0声称它利用内部人员进入埃森哲的网络,窃取了6tb的数据. LockBit 2.0还在其网站上宣传了一项“内部计划”,向内部人士提供“数百万美元”,让他们得以接触RDP, VPN, 公司电子邮件地址, 或任何其他类型的访问.

LockBit 2.0给内部人士提供数百万美元
LockBit 2.0给内部人士提供数百万美元

最后, 到2022年,勒索软件可能会继续变得更有组织性和更商业化, 这可能是因为针对勒索软件的执法行动增加了. 这些行动在2021年取得了很大的成功 逮捕了涉嫌REvil子公司, 以及黑物质勒索软件团伙的倒闭, 运营商声称,这是由于“来自地方当局的压力导致的无法解决的情况”。. 2022年,美高梅集团app下载已经看到了 逮捕更多的REvil操作员 在1月初. 因此, 犯错的余地只会越来越小, 但这仅仅意味着威胁行动者变得更加专业化. 

你可以得到一个全面的数据,美高梅集团app下载用来建立这个博客和美高梅集团app下载的季度勒索软件报告与免费 探照灯的7天审判 在这里. 你还可以得到一个 定制的演示 来了解你的组织所面临的威胁和潜在的风险, 包括访问已完成的MITRE关联和Photon研究缓解威胁情报库.

雷维尔在探照灯中的威胁情报简介
雷维尔在探照灯中的威胁情报简介

欲了解更多信息,请参阅美高梅集团app下载之前的博客文章 探照灯内追踪勒索软件 向你展示了探照灯是如何追踪新兴变体的, 允许您导出和阻止各种格式的相关恶意指标, 即时分析热门目标, 并轻松映射到您的安全控制.

在试驾中访问美高梅集团app下载的威胁情报

试驾探照灯免费 7
现在试一试

与美高梅集团app下载联系

友情链接: 1 2 3 4 5 6 7 8 9 10