卡巴斯基多年來(lái)一直在關(guān)注勒索軟件的發(fā)展趨勢(shì)，過(guò)去，研究人員已經(jīng)陸續(xù)發(fā)布了有關(guān)該主題的多份年度報(bào)告：2014-2016年的PC勒索軟件分析，2016-2017年的勒索軟件分析以及2016-2018年的勒索軟件分析和惡意加密礦工分析。隨著WannaCry和NotPetya的爆發(fā)，勒索軟件開(kāi)始成為主流攻擊趨勢(shì)。到2019年，勒索軟件攻擊就開(kāi)始引領(lǐng)攻擊趨勢(shì)了。但是，從2018年開(kāi)始，研究人員開(kāi)始注意到其他事情：勒索軟件檢測(cè)總數(shù)的統(tǒng)計(jì)數(shù)字急劇下降。發(fā)生了什么事?難道勒索軟件已經(jīng)脫離主流攻擊隊(duì)伍了?

對(duì)于在信息安全社區(qū)中關(guān)注該新聞的任何人來(lái)說(shuō)，這似乎都是不可能的。在2019年和2020年，勒索軟件攻擊的活動(dòng)經(jīng)常會(huì)成為頭條新聞，從Maze攻擊LG，到臭名昭著的APT組織Lazarus將勒索軟件添加到其武庫(kù)中。安全公司Emsisoft的數(shù)據(jù)顯示，2020年，僅在美國(guó)，就有2300多家政府機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)和學(xué)校遭到勒索。

事實(shí)上勒索軟件尚未有攻擊趨勢(shì)減弱的趨勢(shì)，只是攻擊方式發(fā)生了變化。以前那種泛泛的勒索軟件活動(dòng)已被針對(duì)性強(qiáng)的破壞性攻擊所取代，這些攻擊通常針對(duì)大型組織。此外，攻擊者似乎更專(zhuān)注于竊取數(shù)據(jù)并對(duì)其進(jìn)行加密，即竊取機(jī)密信息，并攻擊如果受害者拒絕付款，則將其隱私信息公開(kāi)。所有這些目的都是為了發(fā)動(dòng)更多回報(bào)價(jià)值更多地攻擊。

在這份報(bào)告中，研究人員將了解勒索軟件攻擊在2019年至2020年背后的數(shù)字，以及這些數(shù)字的含義以及對(duì)勒索軟件未來(lái)的預(yù)測(cè)。

重要發(fā)現(xiàn)

2020年，在其設(shè)備上遇到勒索軟件的唯一用戶數(shù)量為1,091,454，比2019年的1,537,465有所下降。

在2019年，以勒索軟件為目標(biāo)的用戶在遇到惡意軟件的用戶總數(shù)中的比例為3.31%;到2020年，這一數(shù)字略有下降，降至2.67%。

勒索軟件檢測(cè)在惡意軟件檢測(cè)總數(shù)中的份額在2019年為1.49%，在2020年為1.08%。

在2019年和2020年，WannaCry是Windows系統(tǒng)上最常遇到的加密勒索軟件家族。

2019年，在其手機(jī)設(shè)備上遇到勒索軟件的唯一用戶數(shù)量為72258。到2020年，這一數(shù)字下降到33502。

然而，在受到惡意軟件攻擊的用戶總數(shù)中，在其手機(jī)設(shè)備上遇到勒索軟件的唯一用戶比例在2019年至2020年期間保持穩(wěn)定，為0.56%。從2019年到2020年，受目標(biāo)勒索軟件家族影響的獨(dú)立用戶數(shù)量增加了767%。

到目前為止，有針對(duì)性的勒索軟件攻擊所占份額最大的行業(yè)是工程和制造業(yè)，占25.63%。該報(bào)告是依據(jù)卡巴斯基安全網(wǎng)絡(luò)(KSN)處理的非個(gè)性化數(shù)據(jù)編寫(xiě)的。

本報(bào)告參考了兩個(gè)主要指標(biāo)。唯一用戶是指在給定時(shí)間段內(nèi)至少遇到過(guò)一次勒索軟件的，啟用了KSN功能的卡巴斯基產(chǎn)品的不同用戶數(shù)量。第二個(gè)是檢測(cè)，這是在指定時(shí)期內(nèi)被卡巴斯基產(chǎn)品阻止的勒索軟件攻擊的數(shù)量。

該報(bào)告還包括卡巴斯基專(zhuān)家對(duì)攻擊趨勢(shì)的研究。

卡巴斯基產(chǎn)品可檢測(cè)各種類(lèi)型的勒索軟件。其中包括加密勒索軟件(對(duì)文件進(jìn)行加密的惡意軟件)，screen locker，browser locker和boot locker。除非另有說(shuō)明，否則統(tǒng)計(jì)信息是指任何類(lèi)型的勒索軟件。

具有跨平臺(tái)攻擊屬性的勒索軟件

正如卡巴斯基先前指出的那樣，自2017年以來(lái)，勒索軟件檢測(cè)的總數(shù)一直在穩(wěn)步下降。這一趨勢(shì)一直持續(xù)到2019年和2020年。

2019年，在所有平臺(tái)上遭遇勒索軟件的獨(dú)立用戶總數(shù)為1537465人。到2020年，這一數(shù)字下降到1091454，下降了29%。

2019 - 2020年，在他們的設(shè)備上遇到勒索軟件的唯一KSN用戶數(shù)量的比較

事實(shí)上，在2020年的每個(gè)月，在所有設(shè)備上遇到勒索軟件的獨(dú)立用戶數(shù)量都低于前一年同月觀察到的數(shù)量。在這兩年中，遭遇勒索軟件的用戶數(shù)量相對(duì)穩(wěn)定，2020年在10萬(wàn)至17萬(wàn)之間徘徊，2019年在15萬(wàn)至19萬(wàn)之間徘徊，除了2019年7月出現(xiàn)明顯的激增。這是由于兩個(gè)勒索軟件家族的增加。第一個(gè)是“Bluff”，它是一個(gè) browser locker，這意味著受害者將面臨一個(gè)他們無(wú)法退出的虛假標(biāo)簽，如果不支付一定數(shù)額的錢(qián)，就會(huì)有可怕的后果。另一個(gè)是加密勒索軟件Rakhni，首次出現(xiàn)于2013年，主要通過(guò)帶有惡意附件的垃圾郵件傳播。

在所有設(shè)備上遭遇任何類(lèi)型惡意軟件的用戶中，遭遇勒索軟件的用戶占比也有所下降，從2019年的3.31%下降到2020年的2.67%。然而，勒索軟件在惡意軟件檢測(cè)總數(shù)中所占的份額保持相對(duì)穩(wěn)定，從2019年到2020年僅略有下降，從1.49%下降到1.08%。

最活躍的加密勒索軟件家族

截至目前WannaCry仍然是最活躍的加密勒索軟件家族，迄今為止，WannaCry是有史以來(lái)最大的勒索軟件感染，在150個(gè)國(guó)家/地區(qū)造成的損失總計(jì)至少40億美元。在2019年，21.85%的遇到加密勒索軟件的用戶都遇到過(guò)WannaCry。

2019年排名前5位的加密勒索軟件家族

其他活躍的家族包括2019年活躍的勒索軟件家族GandCrab，該家族使用的是RaaS模式、STOP/DJVU和PolyRansom/VirLock。首次出現(xiàn)在2014年的“陰影”(Shade)是一種被廣泛使用的加密軟件，在2019年仍然是最活躍的勒索軟件家族之一，但多年來(lái)其活動(dòng)一直在下降。事實(shí)上，在2020年，卡巴斯基發(fā)布了所有“Shade”病毒的解密程序——它不再是卡巴斯基產(chǎn)品檢測(cè)到的五個(gè)最活躍的勒索軟件家族之一。

2020年排名前五的加密勒索軟件家族

2020年，WannaCry仍然是用戶最常遇到的勒索軟件家族，遇到加密勒索軟件的用戶中有16%(80207)遇到了這種惡意軟件。此外，新出現(xiàn)的勒索軟件也進(jìn)入了最活躍的五個(gè)家族——CrySiS/Dharma。CrySiS勒索病毒，又稱(chēng)Dharma，首次出現(xiàn)是在2016年，2017年5月此勒索病毒萬(wàn)能密鑰被公布之后，之前的樣本可以解密，導(dǎo)致此勒索病毒曾消失了一段時(shí)間，不過(guò)隨后又馬上出現(xiàn)了它的一款最新的變種樣本，加密后綴為java，通過(guò)RDP暴力破解的方式進(jìn)入受害者服務(wù)器進(jìn)行加密勒索，此勒索病毒加密算法采用AES+RSA方式進(jìn)行加密，導(dǎo)致加密后的文件無(wú)法解密，在最近一年的時(shí)間里，這款勒索病毒異?；钴S，變種已經(jīng)達(dá)到一百多個(gè)，Crysis能夠使用多種攻擊媒介，盡管最近它主要利用了不安全的RDP訪問(wèn)。該惡意軟件于2016年首次被發(fā)現(xiàn)，并且一直在繼續(xù)發(fā)展，并正在遵循勒索軟件即服務(wù)的模型。

總體而言，2019年和2020年延續(xù)了2018年初首次注意到的趨勢(shì)：勒索軟件集團(tuán)的合并。只有少數(shù)幾個(gè)顯著的家族在整個(gè)攻擊格局中繼續(xù)保持重要地位，其余的攻擊都是由不屬于任何特定家族的勒索軟件木馬實(shí)施的。當(dāng)然，新家族確實(shí)會(huì)繼續(xù)出現(xiàn)，STOP和GandCrab就是很好的例子。

勒索軟件攻擊的地域分布

在分析受攻擊用戶的地理位置時(shí)，研究人員考慮了卡巴斯基客戶的分布情況。這就是為什么，當(dāng)我們研究攻擊的地理位置時(shí)，我們使用被勒索軟件攻擊的用戶的百分比作為在這些地區(qū)被任何類(lèi)型的惡意軟件攻擊的用戶的比例，這些地區(qū)有超過(guò)10000個(gè)卡巴斯基產(chǎn)品的獨(dú)立用戶。

所有百分比反映的是在上述時(shí)間段內(nèi)，在任何設(shè)備上至少遇到過(guò)一次勒索軟件的獨(dú)立用戶占遇到任何類(lèi)型惡意軟件的獨(dú)立用戶總數(shù)的百分比。

中東

2019年，中東地區(qū)在所有設(shè)備上遭遇勒索軟件的用戶比例最高的國(guó)家如下：

在該國(guó)所有遭遇惡意軟件的用戶中，被勒索軟件攻擊的用戶所占的比例

到目前為止，巴基斯坦遭遇勒索軟件的用戶所占比例最大：19.03%，排名前五的其他國(guó)家遭遇勒索軟件的用戶比例都在6%左右。

2020年，遭遇勒索軟件用戶最多的五個(gè)國(guó)家保持不變，但進(jìn)行了一些小的調(diào)整。

在該國(guó)所有遭遇惡意軟件的用戶中，被勒索軟件攻擊的用戶所占的比例

巴基斯坦仍然是最大的用戶份額，但總體百分比下降到14.88%。實(shí)際上，在也門(mén)遇到勒索軟件的用戶比例實(shí)際上上升到了7.49%，而在巴勒斯坦和伊拉克的用戶比例下降了，受影響的埃及用戶比例基本保持不變。

北美和南美

在2019年，北美和南美遇到勒索軟件的用戶百分比最高的國(guó)家如下：

在該國(guó)遇到惡意軟件的所有用戶中，遭受勒索軟件攻擊的用戶所占的比例

美國(guó)的比例最高，為5.49%，其次是巴拉圭，為4.87%。遭遇勒索軟件用戶比例最高的國(guó)家還有委內(nèi)瑞拉、加拿大和危地馬拉。

到2020年，北美和南美的用戶數(shù)量最多的國(guó)家基本相同，盡管遭遇勒索軟件的用戶比例更小。

在該國(guó)所有遭遇惡意軟件的用戶中，被勒索軟件攻擊的用戶所占的比例

去年，委內(nèi)瑞拉遇到勒索軟件的用戶比例第二高，巴拉圭跌至第四位。此外，危地馬拉被烏拉圭取代。

非洲

2019年，非洲遭遇勒索軟件用戶比例最高的國(guó)家如下：

在該國(guó)所有遭遇惡意軟件的用戶中，被勒索軟件攻擊的用戶所占的比例

到目前為止，莫桑比克的用戶比例最大，為12.02%，其次是埃塞俄比亞，為8.57%。其他遭遇勒索軟件用戶比例最高的國(guó)家是加納、安哥拉和利比亞。

到2020年，情況發(fā)生了一點(diǎn)變化：

在該國(guó)所有遭遇惡意軟件的用戶中，被勒索軟件攻擊的用戶所占的比例

遭遇勒索軟件用戶最多的國(guó)家是喀麥隆，其次是馬里。莫桑比克、埃塞俄比亞和加納仍然位列前五，但這三個(gè)國(guó)家遭遇勒索軟件的用戶比例都有所下降。

亞洲

2019年亞洲遭遇勒索軟件用戶比例最高的五個(gè)國(guó)家如下：

在該國(guó)所有遭遇惡意軟件的用戶中，被勒索軟件攻擊的用戶所占的比例

阿富汗的用戶比例最高，為26.44%，其次是孟加拉國(guó)，為23.14%。用戶比例最高的第三個(gè)國(guó)家集中在中亞：土庫(kù)曼斯坦、烏茲別克斯坦和塔吉克斯坦。

到2020年，情況略有改變：

在該國(guó)所有遭遇惡意軟件的用戶中，被勒索軟件攻擊的用戶所占的比例

烏茲別克斯坦在遭遇勒索軟件用戶比例最高的國(guó)家中排名墊后，排在吉爾吉斯斯坦(4.05%)之后，其他所有國(guó)家遭遇勒索軟件的比例都顯著低于2019年。阿富汗用戶的占比降至17.67%，孟加拉國(guó)用戶的占比降至11.31%。

歐洲

在歐洲，遇到勒索軟件的用戶比例最高的國(guó)家是以下國(guó)家：

在該國(guó)所有遭遇惡意軟件的用戶中，被勒索軟件攻擊的用戶所占的比例

阿塞拜疆的比例最高，為5.03%，其次是土耳其和塞浦路斯。遭遇勒索軟件用戶比例最高的六個(gè)國(guó)家是法國(guó)、亞美尼亞和保加利亞，后兩個(gè)國(guó)家受影響用戶的比例相同。

到2020年，情況看起來(lái)有些不同：

在該國(guó)所有遭遇惡意軟件的用戶中，被勒索軟件攻擊的用戶所占的比例

法國(guó)遭遇勒索軟件的用戶比例最高，其次是黑山和摩納哥，取代了土耳其和塞浦路斯。阿塞拜疆的份額為4.21%，排在第四位，馬其頓的份額排在第五位。

本文翻譯自：https://securelist.com/ransomware-by-the-numbers-reassessing-the-threats-global-impact/101965/如若轉(zhuǎn)載，請(qǐng)注明原文地址。