1月31日，微軟透露，其安全團(tuán)隊(duì)Redmond正在跟蹤 100 多個(gè)在攻擊期間部署勒索軟件的攻擊者，總共監(jiān)控到 50 多個(gè)在去年被頻繁使用的勒索軟件系列。

微軟例舉了一些最突出的勒索軟件有效負(fù)載，包括Lockbit Black、BlackCat（又名 ALPHV）、Play、Vice Society、Black Basta 和 Royal。但微軟表示“防御策略應(yīng)該更少地關(guān)注有效負(fù)載，而更多地關(guān)注導(dǎo)致其部署的活動(dòng)鏈”，因?yàn)槔账鬈浖栽卺槍?duì)那些不常見(jiàn)漏洞或最近正需要修補(bǔ)漏洞的設(shè)備進(jìn)行攻擊。

攻擊策略

雖然一直有新的勒索軟件系列出現(xiàn)，但大多攻擊者在破壞網(wǎng)絡(luò)和通過(guò)網(wǎng)絡(luò)傳播時(shí)都使用相同的策略，對(duì)此類行為進(jìn)行檢測(cè)將有助于阻止他們的攻擊。

微軟也提到，攻擊者越來(lái)越依賴網(wǎng)絡(luò)釣魚以外的策略來(lái)進(jìn)行攻擊，比如利用 Exchange Server 的DEV-0671 和 DEV-0882漏洞部署 Cuba 和 Play 勒索軟件。就在不久前，Exchange 團(tuán)隊(duì)敦促客戶通過(guò)應(yīng)用最新支持的累積更新 (CU) 來(lái)為本地 Exchange 服務(wù)器打補(bǔ)丁，讓他們隨時(shí)準(zhǔn)備部署緊急安全更新。據(jù)報(bào)道，超過(guò) 60000 臺(tái)暴露在 Internet 上的 Exchange 服務(wù)器容易受到利用ProxyNotShell RCE 漏洞的攻擊。與此同時(shí)， 也有數(shù)千臺(tái)服務(wù)器正受到利用ProxyShell 和 ProxyLogon 漏洞攻擊的風(fēng)險(xiǎn)，這是2021年最常被利用的兩個(gè)安全漏洞。

其他攻擊者也正在轉(zhuǎn)向或使用惡意廣告來(lái)提供惡意軟件加載器和下載器，以傳播勒索軟件和各種其他惡意軟件變種，如信息竊取程序。例如，一個(gè)被追蹤為 DEV-0569 的攻擊者被認(rèn)為是勒索軟件團(tuán)伙的初始訪問(wèn)代理，在廣告活動(dòng)中濫用 Google Ads來(lái)分發(fā)惡意軟件，從受感染的設(shè)備中竊取密碼，并最終獲得對(duì)企業(yè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限，并將權(quán)限出售給其他攻擊者，如Royal 勒索軟件組織。

近期活動(dòng)趨勢(shì)

在具體的勒索軟件活動(dòng)趨勢(shì)中，2022年的一起標(biāo)志性事件是Conti勒索軟件組織在執(zhí)法行動(dòng)的壓力下迎來(lái)終結(jié)，但基于勒索軟件即服務(wù) (Raas) 的勒索行為正在興起，包括LockBit、Hive、Cuba、BlackCat 和 Ragnar在內(nèi)的勒索軟件組織在去年頻繁作案。

盡管如此，  根據(jù)區(qū)塊鏈分析公司 Chainalysis 的數(shù)據(jù)，勒索軟件組織去年的勒索收入大幅下降了 40% 左右，為4.568 億美元，而此前兩年的收入達(dá)到了創(chuàng)紀(jì)錄的 7.65 億美元。但這種下降趨勢(shì)并不是因?yàn)楣舸螖?shù)減少，而是因?yàn)樵絹?lái)越多的受害者開始拒絕支付勒索贖金。

最近，在美國(guó)司法部、聯(lián)邦調(diào)查局、特勤局和歐洲刑警組織的國(guó)際執(zhí)法行動(dòng)的打擊下，Hive 勒索軟件數(shù)據(jù)泄露和 Tor 支付暗網(wǎng)被查封，F(xiàn)BI向受害者分發(fā)了 1300 多個(gè)解密密鑰，并獲得了對(duì) Hive 通信記錄、惡意軟件文件哈希值和 250 個(gè) Hive 分支機(jī)構(gòu)詳細(xì)信息的訪問(wèn)權(quán)限，美國(guó)國(guó)務(wù)院也懸賞1000萬(wàn)美元，尋求 Hive 勒索軟件組織或其他攻擊者與外國(guó)政府存在聯(lián)系的線索。

某種程度上說(shuō)，在打擊勒索軟件領(lǐng)域，2023年似乎迎來(lái)了開門紅。