勒索軟件的全球攻擊趨勢分析（一）

手機(jī)勒索軟件

與所有設(shè)備上的勒索軟件一樣，手機(jī)勒索軟件繼續(xù)下降。 2019年，遇到勒索軟件的唯一卡巴斯基用戶總數(shù)為72258。到2020年，這一數(shù)字為33502，下降了54%。

但是，在遭遇任何類型的惡意軟件的總?cè)藬?shù)中，遇到勒索軟件的手機(jī)用戶的比例保持穩(wěn)定在0.56%。與此同時(shí)，檢測到的手機(jī)勒索軟件總數(shù)也有所下降，從2019年的333878起下降到2020年的290372起。

2019年至2020年檢測到的手機(jī)勒索軟件數(shù)量

有趣的是，雖然2019年7月之后檢測到的手機(jī)勒索軟件數(shù)量相對穩(wěn)定下降，僅在2019年7月和2020年2月出現(xiàn)了幾次小峰值，但它在2020年下半年再次開始顯著上升，在去年9月達(dá)到3.5萬次檢測。奇怪的是，這是由于勒索軟件編碼器(ransomware Encoder)，它實(shí)際上是為Windows工作站設(shè)計(jì)的，對手機(jī)設(shè)備并不危險(xiǎn)。然而，在2020年9月，Encoder通過Telegram傳播開來，Telegram同時(shí)擁有手機(jī)和桌面應(yīng)用。攻擊者最有可能針對的是Windows用戶，當(dāng)Telegram的手機(jī)版本與桌面客戶端同步下載時(shí)，手機(jī)用戶的手機(jī)上意外地安裝了Encoder。

最活躍的手機(jī)勒索軟件家族

 

2019年最活躍的手機(jī)勒索軟件家族分布

在2019年，近45%的遇到手機(jī)勒索軟件的用戶遇到了Svpeng，該家族最初是短信木馬，然后轉(zhuǎn)而竊取銀行憑據(jù)和信用卡數(shù)據(jù)，最終演變?yōu)槔账鬈浖?。略少?9%的用戶遇到過Rkor和Small。 Rkor是一個(gè)典型的locker，它通過色情內(nèi)容傳播，它使用無障礙服務(wù)獲得對設(shè)備的必要控制，然后鎖定設(shè)備，直到支付費(fèi)用。Small與Rkor非常相似：它會(huì)鎖住屏幕，并要求付費(fèi)才能繼續(xù)看色情片。

排在第四位的是Congur，它是通過WhatsApp等改進(jìn)后的應(yīng)用程序傳播的。另一個(gè)著名的活躍家族是富索布(Fusob)，他們聲稱自己來自某個(gè)權(quán)威機(jī)構(gòu)，并表示，目標(biāo)受害者有義務(wù)支付罰款。

2020年最活躍的手機(jī)勒索軟件家族的分布

2020年，Small是最常見的手機(jī)勒索軟件家族，占比26%，其次是Rkor和Congur。Svpeng是第四大最常見的家族，有14%的用戶遇到過它。

被攻擊用戶的區(qū)域分布

2019年，在移動(dòng)設(shè)備上遭遇勒索軟件的用戶比例最高的國家如下：

 

在所有遭遇惡意軟件的用戶中，被勒索軟件攻擊的用戶所占的比例

遭遇手機(jī)勒索軟件用戶最多的國家在全球范圍內(nèi)相對分散，其中美國所占比例最高。哈薩克斯坦緊隨其后，為13.24%。排名前十的其他國家遭遇手機(jī)勒索軟件的用戶比例要小得多，加拿大是第三大份額，僅占2.71%。

2020年，遭遇手機(jī)勒索軟件用戶比例最高的國家如下：

在所有遭遇惡意軟件的用戶中，被勒索軟件攻擊的用戶所占的比例

到2020年，哈薩克斯坦遇到手機(jī)勒索軟件的用戶比例最高，為23.80%，其次是美國，為10.32%。波蘭、西班牙和加拿大被馬來西亞、印度尼西亞和埃及所取代?？偟膩碚f，受影響用戶的百分比下降了，這是可以預(yù)料的，因?yàn)槭苁謾C(jī)勒索軟件影響的用戶總數(shù)下降了50%以上。

有針對性攻擊的勒索軟件的興起

雖然檢測到勒索軟件的原始總數(shù)一直在下降，但這些數(shù)字只能說明問題的一部分。當(dāng)勒索軟件首次成為頭條新聞時(shí)，是因?yàn)閃annaCry、Petya和CryptoLocker等活動(dòng)：這些大規(guī)模活動(dòng)感興趣的是攻擊盡可能多的用戶，并從每個(gè)用戶敲詐相對較少的金額。例如，在“WannaCry”事件中，攻擊者只索要了300美元后來又將贖金提高到了600美元。

然而，由于幾個(gè)潛在的原因，這類攻擊的盈利能力正在下降。鑒于人們對勒索軟件的關(guān)注越來越多，安全軟件可能已經(jīng)在阻止勒索軟件威脅方面變得更好了，人們被一再被教育不要支付贖金。此外，在很多國家，人們根本負(fù)擔(dān)不起這么高的贖金。因此，攻擊者把他們的注意力轉(zhuǎn)移到那些能付錢的人身上，比如公司。2019年，勒索軟件近三分之一的受害者是企業(yè)。

當(dāng)然，感染公司需要更復(fù)雜、更有針對性的方法，有專門設(shè)計(jì)的勒索軟件家族就是為了做到這一點(diǎn)。

有針對性的勒索軟件(也稱為“big game hunting”)由用于勒索特定受害者資金的勒索軟件家族組成。這些受害者往往是知名人士，如大公司、政府和市政機(jī)構(gòu)以及醫(yī)療保健組織，要求的贖金遠(yuǎn)高于對單獨(dú)用戶的要求。通常，他們的攻擊包括以下一個(gè)或多個(gè)階段：

•  網(wǎng)絡(luò)攻擊
• 偵察與堅(jiān)持
• 橫向運(yùn)動(dòng)
• 資料泄漏
• 數(shù)據(jù)加密
• 勒索

最初的感染通常是通過利用服務(wù)器端軟件(VPN，Citrix，WebLogic，Tomcat，Exchange等)、RDP暴力攻擊/憑據(jù)填充，供應(yīng)鏈攻擊或僵尸網(wǎng)絡(luò)來發(fā)生的。

卡巴斯基根據(jù)所選的受害者，以及是否使用復(fù)雜的方法進(jìn)行攻擊，比如破壞網(wǎng)絡(luò)或橫向移動(dòng)，將一個(gè)特定的勒索軟件集團(tuán)歸類為“目標(biāo)”。到目前為止，卡巴斯基已經(jīng)確定了其中的28個(gè)目標(biāo)家庭，其中包括臭名昭著的哈迪斯(Hades)勒索軟件，該軟件針對的是至少價(jià)值10億美元的公司。

Hades 勒索軟件于 2020 年 12 月首次被發(fā)現(xiàn)，以引導(dǎo)受害者訪問的 Tor 站點(diǎn)命名。它是 WastedLocker 的 64 位編譯的變種，兩者在代碼上有大量重疊，除了做額外的代碼混淆和小特性的更改外，與 WastedLocker 大部分功能基本相同，包括受 ISFB 啟發(fā)的靜態(tài)配置、多階段持久性 / 安裝過程、文件 / 目錄枚舉和加密功能，差異地方在于，Hades 刪除了 INDRIK SPIDER 在以前的勒索軟件家族(WastedLocker 和 BitPaymer)中一些獨(dú)有的功能，包括：

Hades 現(xiàn)在是具有附加代碼混淆功能的 64 位編譯可執(zhí)行文件，目的是為了逃避了簽名檢測和阻礙逆向分析。

大多數(shù)標(biāo)準(zhǔn)文件和注冊表 Windows API 調(diào)用已被其對應(yīng)的系統(tǒng)調(diào)用替代(即從 NTDLL 導(dǎo)出的用戶模式本機(jī) API)。

Hades 使用的用戶帳戶控制(UAC)繞過方式與 WastedLocker 使用的不同，但這兩種實(shí)現(xiàn)都直接來自開源 UACME 項(xiàng)目 https [ : ] //github [ . ] com/hfiref0x/UACME。

Hades 會(huì)將名為 HOW-TO-DECRYPT- [ extension ] .txt 的贖金票據(jù)寫入遍歷的目錄，而 WastedLocker 和 BitPaymer 則是為每個(gè)加密文件創(chuàng)建票據(jù)。

Hades 將密鑰信息存儲在每個(gè)加密文件中， WastedLocker 和 BitPaymer 都將編碼和加密的密鑰信息存儲在特定于文件的贖金票據(jù)中。

Hades 仍將自身復(fù)制到 Application Data 中生成子目錄中，但不再使用 :bin 交換數(shù)據(jù)流(ADS)，對 :bin ADS 路徑的使用是 WastedLocker 和 BitPaymer 的特征。

Hades 還體現(xiàn)了一種戰(zhàn)術(shù)上的轉(zhuǎn)變，即不再使用電子郵件通信，也不再使用從受害者那里竊取機(jī)密數(shù)據(jù)獲取報(bào)酬的可能性。Hades 贖金票據(jù)將受害者定向到 Tor 站點(diǎn)，通過贖金票據(jù)無法識別受害公司，這點(diǎn)在 WastedLocker 和 BitPaymer 中也經(jīng)常看到。

從2019年到2020年，受目標(biāo)勒索軟件(旨在影響特定用戶的勒索軟件)影響的唯一用戶數(shù)量從985人增加到了8538人，增長了767%。 

2019 - 2020年間，受目標(biāo)勒索軟件影響的唯一卡巴斯基用戶數(shù)量

在REvil勒索軟件家族的推動(dòng)下，該勒索軟件在2020年7月出現(xiàn)了一個(gè)大高峰，該勒索軟件成功地利用了外匯公司Travelex，勒索了230萬美元。擁有眾多名人客戶的紐約律師事務(wù)所Grubman Shire Meiselas & Sacks也在5月份成為了REvil的受害者。其他具有高度針對性的勒索軟件家族也出現(xiàn)在2019年和2020年，其中最引人注目的是Maze。Maze首次出現(xiàn)于2019年，它使用了各種機(jī)制來進(jìn)行初步攻擊。在某些情況下，他們使用魚叉式網(wǎng)絡(luò)釣魚活動(dòng)來安裝Cobalt Strike RAT，而其他攻擊則涉及利用脆弱的面向Internet的服務(wù)(例如Citrix ADC / NetScaler或Pulse Secure VPN)或弱RDP憑據(jù)破壞網(wǎng)絡(luò)。Maze主要針對企業(yè)和大型組織。他們最著名的攻擊是針對LG和佛羅里達(dá)州的彭薩科拉市。

除了針對目標(biāo)的勒索軟件的興起以外，人們不僅將重點(diǎn)放在數(shù)據(jù)加密上，也更加關(guān)注數(shù)據(jù)的泄漏情況，因?yàn)楣粽邥?huì)搜索高度機(jī)密的信息，并威脅稱，如果贖金得不到滿足，就將其公之于眾，以此作為強(qiáng)迫組織支付贖金的一種手段。如果沒有支付贖金，Maze是第一個(gè)發(fā)布這些被盜數(shù)據(jù)的勒索軟件小組。此外，這些信息可以在之后的網(wǎng)上拍賣中出售，在2020年夏天，許多農(nóng)業(yè)公司的數(shù)據(jù)庫都成為了REvil的受害者。

最終，Maze與另一個(gè)知名的，高度針對性的勒索軟件家族RagnarLocker聯(lián)手，該家族于2020年首次出現(xiàn)。和Maze一樣，RagnarLocker主要以大型組織為目標(biāo)，并在“羞恥之墻”上公布那些拒絕支付贖金的人的機(jī)密信息。該家族的目標(biāo)非常明確，因此每個(gè)惡意軟件樣本都專門針對其所攻擊的組織。

WastedLocker也出現(xiàn)在2020年，并迅速成為全球頭條新聞，因?yàn)樵摴娟P(guān)閉了知名健身和GPS技術(shù)公司Garmin最受歡迎的服務(wù)，因?yàn)樗钟性摴緝r(jià)值1000萬美元贖金的數(shù)據(jù)，攻擊中使用的惡意軟件是專為Garmin設(shè)計(jì)的。WastedLocker是一種新型勒索軟件，在2020年5月首次發(fā)現(xiàn)，此后一直持續(xù)發(fā)現(xiàn)該勒索軟件的各類變種，其版本變更往往與Evil Corp惡意組織的其他惡意軟件版本變更同步進(jìn)行。

有針對性的勒索軟件并不局限于一個(gè)特定的行業(yè)，它影響了從醫(yī)療保健機(jī)構(gòu)到體育和健身公司的方方面面。

2019-2020年按行業(yè)劃分的目標(biāo)勒索軟件攻擊分布情況

迄今為止，工程和制造業(yè)是最具代表性的行業(yè)，從2019年到2020年，有25.63%的目標(biāo)勒索軟件攻擊影響了該行業(yè)。鑒于其數(shù)據(jù)的高度敏感性質(zhì)以及此類公司通常具有很高的價(jià)值，這不足為奇。如果系統(tǒng)離線，這也將極大地破壞該行業(yè)的業(yè)務(wù)。有7.60%的目標(biāo)勒索軟件攻擊影響了專業(yè)和消費(fèi)者服務(wù)公司，有7.09%的目標(biāo)是金融公司。其他受歡迎的目標(biāo)是建筑與房地產(chǎn)，商業(yè)與零售以及IT與電信。

總結(jié)

世界正在進(jìn)入一個(gè)勒索軟件的新時(shí)代，任何一種針對普通普通用戶的大規(guī)模活動(dòng)都很可能會(huì)非常少。當(dāng)然，這并不是說勒索軟件只對大公司構(gòu)成威脅。就在去年12月，有一個(gè)團(tuán)體希望通過發(fā)行偽造的手機(jī)版本游戲來利用Cyberpunk 2077的發(fā)布，該版本會(huì)對用戶下載的文件進(jìn)行加密。這意味著勒索軟件攻擊者將繼續(xù)部署更先進(jìn)的技術(shù)來滲透網(wǎng)絡(luò)和加密數(shù)據(jù)。像Lazarus這樣的APT組織已經(jīng)開始在其工具集中添加勒索軟件。如果其他高級攻擊參與者也效仿，也就不足為奇了。

最大的收獲是，公司無論大小，不僅需要考慮備份他們的數(shù)據(jù)。他們也需要采取全面的方法來保護(hù)自己的安全，包括定期打補(bǔ)丁、軟件更新和網(wǎng)絡(luò)安全意識培訓(xùn)。一些針對公司的攻擊包括在系統(tǒng)中獲得最初的立足點(diǎn)，在整個(gè)網(wǎng)絡(luò)中橫向移動(dòng)，直到完全控制，然后進(jìn)行數(shù)月的偵察，然后在造成最佳損害的時(shí)刻進(jìn)行攻擊。在使用REvil勒索軟件攻擊Travelex的過程中，網(wǎng)絡(luò)罪犯在實(shí)際加密數(shù)據(jù)并要求勒索之前六個(gè)月就已滲透到公司的網(wǎng)絡(luò)。

緩解措施

1.經(jīng)常更新你使用的所有設(shè)備的軟件，以防止勒索軟件利用漏洞。

2.把你的防御策略集中在檢測橫向移動(dòng)和數(shù)據(jù)泄露到互聯(lián)網(wǎng)上。要特別注意流出的流量，以檢測網(wǎng)絡(luò)罪犯的連接。

3.定期備份數(shù)據(jù)，確保在需要的緊急情況下可以快速訪問它。

4.使用諸如卡巴斯基重點(diǎn)檢測和響應(yīng)以及卡巴斯基托管檢測和響應(yīng)之類的解決方案，這些解決方案有助于在攻擊者實(shí)現(xiàn)最終目標(biāo)之前盡早識別并阻止攻擊。

本文翻譯自：https://securelist.com/ransomware-by-the-numbers-reassessing-the-threats-global-impact/101965/如若轉(zhuǎn)載，請注明原文地址。