2020上半年勒索软件洞察报告

前言

       在2020年过去的大半年里,全世界很多领域都面临着严峻的挑战,而网络安全领域也不容乐观,其中勒索软件的势头一度上升,并出现了新的敲诈勒索模式。尽管勒索病毒感染事件约占恶意软件总事件的3%左右,但相比其他恶意软件破坏力更大,一旦遭遇勒索,企业将面临业务中断、高额赎金的风险。深信服千里目安全实验室从勒索软件的整体攻击趋势、勒索模式、家族类型和行业分布情况等方面分析,发布《2020上半年勒索软件洞察报告》(以下简称报告)。

 

1、勒索软件事件趋势

       根据深信服安全云脑提供的数据显示,2020年2月开始,勒索软件从之前的低潮后开始恢复活力,攻击势头上升,尽管处在COVID-19大流行期间,但针对政府、学校和医疗卫生行业的攻击并没有减弱。

image.png 

2019和2020上半年勒索攻击事件趋势对比

 

       通过对大量的勒索事件进行调查分析,以及与一些行业伙伴的交流,发现犯罪团伙逐渐在形成规模化的商业运作,形成新的勒索软件合作生态。活跃的攻击团伙(例如臭名昭著的Emotet和Trickbot恶意软件家族等)在实施网络犯罪的过程中经常带着广泛的僵尸网络感染,他们依靠僵尸网络庞大的感染基数迅速扩张,在充分了解受害目标的财务和IT等系统之后,会将来自第三方的勒索软件部署在受害者的资产上。勒索软件合作生态结构如下图所示:

 2 - 副本.png

勒索软件合作生态结构图

 

       在合作生态系统中,各角色独立地在高度专业化的集群中运行,在大多数情况下,各角色会专注于自己所负责的模块,他们之间除了业务联系外几乎没有其他交集。比如,在过去,攻击团伙和勒索软件制作团队往往是同一个,现在的攻击团伙很多时候是独立于勒索软件开发者和运营商,作为相对独立的角色存在。他们专注于借助僵尸网络部署勒索软件,给受害者造成的损失面更广。这种新的勒索软件合作生态使得勒索威胁的危害上升了一个新的高度。

 

2、勒索软件赎金要求

       近年来,勒索软件犯罪组织意识到使用广撒网式的战术并不能为其带来更多的投资回报,于是他们开始逐渐采用复杂性和针对性都比较强的交付技术和机制,并针对性发起大型“狩猎”活动。大型企业虽然被攻击的次数较少,但一旦遭受攻击往往要缴纳高额赎金,从而拉高了平均勒索赎金水平。在2020年上半年,排名靠前的勒索软件攻击次数减少,但要求的赎金大大增加。根据Coveware的数据显示,与2019年相比,2020年第二季度的赎金要求同比增加了4倍。

3 - 副本.png 

2018Q3-2020Q2季度平均勒索赎金趋势

 

       另外有两个值得注意的趋势,也是推动赎金增加的原因:

(1)部署勒索软件前窃取数据的模式推动了高赎金缴纳概率

       一些勒索软件运营商以受害者“不缴纳赎金就会泄露其数据”为由鼓励攻击者增加勒索赎金。这种趋势始于2019年11月,以Maze、Sodinokibi、DoppelPaymer等新型勒索软件为代表,在进行攻击时会先窃取受害者的私密数据,如果受害者不支付赎金,攻击者会公开或拍卖这些被盗数据。这无疑给受害者新增数据外泄的压力,从而大幅提高受害者缴纳赎金的概率。

(2)勒索软件即服务(RaaS)持续盛行,运营商正在寻求更高的赎金要求

       犯罪组织利用新的低成本勒索软件即服务(RaaS)发起攻击,不再需要深厚的技术专长即可参与网络犯罪。在针对大型企业的勒索软件系列中,RaaS运营商正在寻求更高的赎金要求,十万百万的赎金要求已成为常态。

 

3、勒索软件家族类型分布

       从深信服处理的勒索应急事件来看,将近70%的勒索软件攻击是由四种最常见的勒索软件变种(Crysis、GlobeImposter、Sodinokibi、Phobos)进行的,他们的大部分攻击是利用RDP爆破作为攻击入口。除此之外,还有几种新的RaaS变体,例如VegaLocker、MedusaLocker等,这些新进入者以较低的前期成本和技术知识吸引了网络犯罪初学者。

4 - 副本.png 

2020年上半年应急事件勒索家族分布

 

       对过去半年应急响应的勒索软件攻击媒介进行整理发现,远程桌面协议(RDP)入侵和电子邮件网络钓鱼的攻击入口增加,而软件漏洞和其它攻击媒介略有减少。攻击者使用的攻击媒介表明了他们所偏爱的目标规模。Phobos几乎是通过不安全的RDP配置来专门针对小型企业,该漏洞利用程序便宜且普遍,并且几乎没有操作技术难度。而对于大型企业,攻击者通常会采用网络钓鱼邮件作为初始攻击。

 5 - 副本.png

排名前四的勒索软件入侵方式占比

 

       活跃的勒索病毒家族会发起针对性极强的大型“狩猎”活动,定制化勒索大量赎金。如SamSam,这是一个可追溯到2016年的勒索软件程序,以“高效率的定制化攻击”而闻名。近年来,Ryuk、Sodinokibi等新的勒索软件组织也采用了类似的策略。通过从国内外安全厂商披露的Sodinokibi/REvil相关报告以及实际案例分析,可以看到该勒索的完整攻击路径:

6 - 副本.png 

 

4、勒索软件行业分布

       今年以来,企业单位和公共部门遭遇的攻击均出现显著增长,值得注意的是,疫情下许多勒索软件并未对医疗行业“手下留情”,2020上半年约有6.4%勒索软件攻击针对医疗行业。另外,许多威胁攻击者会精心筹划并注重勒索软件攻击时间,以使勒索收益最大化,例如SNAKE勒索团伙针对本田集团的事件中就发现攻击团伙在病毒代码中硬编码了本田集团相关的系统名、公网 IP、域名信息等,这意味着此次勒索攻击行动蓄谋已久。

       COVID-19的爆发迫使一些学校、企业开放远程访问,但配置不当的远程服务也是导致教育行业和企业的攻击增多的重要原因。如下图所示,2020上半年勒索软件攻击行业分布中,企业、政府、教育行业排名前三。

7 - 副本.png 

2020年上半年勒索攻击行业分布

 

5、勒索软件与APT组织

       通常营利性的勒索软件和APT组织有较为明显的区分。勒索软件通常只是为了赚钱而部署,而APT组织一般以窃取数据为目的。因为APT组织的作案手段是针对极其安全的网络的攻击,这些攻击长期持续存在并且不容易被检测。

       但是拉撒路(Lazarus)似乎模糊了这一界限。Lazarus组织是MATA(Dacls)恶意软件框架的唯一所有者,而该恶意软件最终会将VHD勒索软件部署在受害者的主机上。

       下图为卡巴斯基处理一起感染勒索软件的事件中发现的攻击过程图,攻击者通过存在漏洞的VPN网关进行入侵,并获得了管理员权限,同时在受感染的系统上部署了MATA(Dacls)后门,从而能够接管Active Directory服务器然后将VHD勒索软件部署到网络中的所有计算机。本次事件表明APT组织也可能使用勒索软件团伙的手法进行敛财。

 8 - 副本.png

Lazarus APT组织利用MATA框架下发VHD勒索软件

 

6、2020年上半年勒索软件攻击事件

       勒索病毒产业链在不断革新技能和规模化商业运作,持续在世界范围内产生严重危害。通过梳理2020上半年全球勒索的一些大事件可以看到,上半年勒索软件依旧十分活跃。

9 - 副本.png

10 - 副本.png 

11 - 副本.png 

 

7、小结

       上述统计数据揭示了2020年上半年勒索软件的主要趋势,勒索软件攻击的目标逐步转向对政企机构的精准攻击,并采用勒索加窃密数据并威胁公开的双重手段以要求更高的赎金;另外,勒索软件的商业运作模式逐渐规模化,新的合作生态使得威胁上升到一个新的高度。从勒索软件的大量增加到攻击模型的变化可以发现,勒索软件依然是犯罪分子的首选工具,勒索软件的传播者一直在积极寻找新的方法来从犯罪活动中获利,包括和其他犯罪团伙的合作、拍卖窃取的敏感数据等手段。

       随着安全供应商不断开发防御系统来检测和阻止攻击,勒索软件也在不断发展,变得更加擅长隐藏在文件中和正常网站中,避免被传统的防病毒软件检测到。分散化也是当前恶意软件生态系统的重要特点,分散化的形式可以产生灵活的业务模型,在其中勒索软件借助僵尸网络得以加速识别受害资产并完成部署。

       虽然许多组织已经通过实施防病毒软件和其他基于签名的解决方案来保护他们的系统,但是这些方法对高级勒索软件攻击的抵抗效果还是较小的。企业单位需要实施多层次的安全措施,以应对现代勒索软件的挑战,从而有效保护自身网络。

 

参考链接

[1]https://www.coveware.com/blog/q2-2020-ransomware-marketplace-report

[2]https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/

[3]https://labs.sentinelone.com/the-deadly-planeswalker-how-the-trickbot-group-united-high-tech-crimeware-apt/

[4]https://www.sophos.com/en-us/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf


本文作者:深信服千里目安全实验室

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/141248.html

Tags:
评论  (0)
快来写下你的想法吧!

深信服千里目安全实验室

文章数:184 积分: 1395

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号