管理书籍排行榜,斗破苍穹续集

我的位置：

2020上半年勒索軟件洞察報(bào)告

CNNVD編號(hào)：未知
危害等級(jí)：未知
CVE編號(hào)：未知
漏洞類(lèi)型：未知
威脅類(lèi)型：未知
廠(chǎng) 商：未知
漏洞來(lái)源：深信服
發(fā)布時(shí)間：2020-09-11
更新時(shí)間：2021-07-27

漏洞簡(jiǎn)介

在2020年過(guò)去的大半年里，全世界很多領(lǐng)域都面臨著嚴(yán)峻的挑戰(zhàn)，而網(wǎng)絡(luò)安全領(lǐng)域也不容樂(lè)觀，其中勒索軟件的勢(shì)頭一度上升，并出現(xiàn)了新的敲詐勒索模式。盡管勒索病毒感染事件約占惡意軟件總事件的3%左右，但相比其他惡意軟件破壞力更大，一旦遭遇勒索，企業(yè)將面臨業(yè)務(wù)中斷、高額贖金的風(fēng)險(xiǎn)。深信服千里目安全實(shí)驗(yàn)室從勒索軟件整體趨勢(shì)、勒索模式、家族類(lèi)型和行業(yè)分布情況等方面分析上半年勒索軟件整體態(tài)勢(shì)情況，發(fā)布《2020上半年勒索軟件洞察報(bào)告》（以下簡(jiǎn)稱(chēng)報(bào)告）。

漏洞公示

勒索軟件事件趨勢(shì)

根據(jù)深信服安全云腦提供的數(shù)據(jù)顯示，2020年2月開(kāi)始，勒索軟件從之前的低潮后開(kāi)始恢復(fù)活力，攻擊勢(shì)頭上升，盡管處在COVID-19大流行期間，但針對(duì)政府、學(xué)校和醫(yī)療衛(wèi)生行業(yè)的攻擊并沒(méi)有減弱。

2019和2020上半年勒索攻擊事件趨勢(shì)對(duì)比

通過(guò)對(duì)大量的勒索事件進(jìn)行調(diào)查分析，以及與一些行業(yè)伙伴的交流，發(fā)現(xiàn)犯罪團(tuán)伙逐漸在形成規(guī)模化的商業(yè)運(yùn)作，形成新的勒索軟件合作生態(tài)。活躍的攻擊團(tuán)伙（例如臭名昭著的Emotet和Trickbot惡意軟件家族等）在實(shí)施網(wǎng)絡(luò)犯罪的過(guò)程中經(jīng)常帶著廣泛的僵尸網(wǎng)絡(luò)感染，他們依靠僵尸網(wǎng)絡(luò)龐大的感染基數(shù)迅速擴(kuò)張，在充分了解受害目標(biāo)的業(yè)務(wù)系統(tǒng)之后，會(huì)將來(lái)自第三方的勒索軟件部署在受害者的資產(chǎn)上。勒索軟件合作生態(tài)結(jié)構(gòu)如下圖所示：

勒索軟件合作生態(tài)結(jié)構(gòu)圖

在合作生態(tài)系統(tǒng)中，各角色獨(dú)立地在高度專(zhuān)業(yè)化的集群中運(yùn)行，在大多數(shù)情況下，各角色會(huì)專(zhuān)注于自己所負(fù)責(zé)的模塊，他們之間除了業(yè)務(wù)聯(lián)系外幾乎沒(méi)有其他交集。比如，在過(guò)去，攻擊團(tuán)伙和勒索軟件制作團(tuán)隊(duì)往往是同一個(gè)，現(xiàn)在的攻擊團(tuán)伙很多時(shí)候是獨(dú)立于勒索軟件開(kāi)發(fā)者和運(yùn)營(yíng)商，作為相對(duì)獨(dú)立的角色存在。他們專(zhuān)注于借助僵尸網(wǎng)絡(luò)部署勒索軟件，給受害者造成的損失面更廣。這種新的勒索軟件合作生態(tài)使得勒索威脅的危害上升了一個(gè)新的高度。

勒索軟件贖金要求

近年來(lái)，勒索軟件犯罪組織意識(shí)到使用廣撒網(wǎng)式的戰(zhàn)術(shù)并不能為其帶來(lái)更多的投資回報(bào)，于是他們開(kāi)始逐漸采用復(fù)雜性和針對(duì)性都比較強(qiáng)的交付技術(shù)和機(jī)制，并針對(duì)性發(fā)起大型“狩獵”活動(dòng)。大型企業(yè)雖然被攻擊的次數(shù)較少，但一旦遭受攻擊往往要繳納高額贖金，從而拉高了平均勒索贖金水平。在2020年上半年，排名靠前的勒索軟件攻擊次數(shù)減少，但要求的贖金大大增加。根據(jù)Coveware的數(shù)據(jù)顯示，與2019年相比，2020年第二季度的贖金要求同比增加了4倍。

2018Q3-2020Q2季度平均勒索贖金趨勢(shì)

另外有兩個(gè)值得注意的趨勢(shì)，也是推動(dòng)贖金增加的原因：

（1）部署勒索軟件前竊取數(shù)據(jù)的模式推動(dòng)了高贖金繳納概率

一些勒索軟件運(yùn)營(yíng)商以受害者“不繳納贖金就會(huì)泄露其數(shù)據(jù)”為由鼓勵(lì)分支機(jī)構(gòu)增加勒索贖金。這種趨勢(shì)始于2019年11月，以Maze、Sodinokibi、DoppelPaymer等新型勒索軟件為代表，在進(jìn)行攻擊時(shí)會(huì)先竊取受害者的私密數(shù)據(jù)，如果受害者不支付贖金，攻擊者會(huì)公開(kāi)或拍賣(mài)這些被盜數(shù)據(jù)。這無(wú)疑給受害者新增數(shù)據(jù)外泄的壓力，從而大幅提高受害者繳納贖金的概率。

（2）勒索軟件即服務(wù)（RaaS）持續(xù)盛行，運(yùn)營(yíng)商正在尋求更高的贖金要求

犯罪組織利用新的低成本勒索軟件即服務(wù)（RaaS）發(fā)起攻擊，不再需要深厚的技術(shù)專(zhuān)長(zhǎng)即可參與網(wǎng)絡(luò)犯罪。在針對(duì)大型企業(yè)的勒索軟件系列中，RaaS運(yùn)營(yíng)商正在尋求更高的贖金要求，十萬(wàn)百萬(wàn)的贖金要求已成為常態(tài)。

勒索軟件家族類(lèi)型分布

從深信服處理的勒索應(yīng)急事件來(lái)看，將近70％的勒索軟件攻擊是由四種最常見(jiàn)的勒索軟件變種（Crysis、GlobeImposter、Sodinokibi、Phobos）進(jìn)行的，他們的大部分攻擊是利用RDP爆破作為攻擊入口。除此之外，還有幾種新的RaaS變體，例如VegaLocker、MedusaLocker等，這些新進(jìn)入者以較低的前期成本和技術(shù)知識(shí)吸引了網(wǎng)絡(luò)犯罪初學(xué)者。

2020年上半年應(yīng)急事件勒索家族分布

對(duì)過(guò)去半年應(yīng)急響應(yīng)的勒索軟件攻擊媒介進(jìn)行整理發(fā)現(xiàn)，遠(yuǎn)程桌面協(xié)議（RDP）入侵和電子郵件網(wǎng)絡(luò)釣魚(yú)的攻擊入口增加，而軟件漏洞和其他攻擊媒介略有減少。攻擊者使用的攻擊媒介表明了他們所偏愛(ài)的目標(biāo)規(guī)模。Phobos幾乎是通過(guò)不安全的RDP配置來(lái)專(zhuān)門(mén)針對(duì)小型企業(yè)，該漏洞利用程序便宜且普遍，并且?guī)缀鯖](méi)有操作技術(shù)難度。而對(duì)于大型企業(yè)，攻擊者通常會(huì)采用網(wǎng)絡(luò)釣魚(yú)郵件作為初始攻擊。

排名前四的勒索軟件入侵方式占比

活躍的勒索病毒家族會(huì)發(fā)起針對(duì)性極強(qiáng)的大型“狩獵”活動(dòng)，定制化勒索大量贖金。如SamSam，這是一個(gè)可追溯到2016年的勒索軟件程序，它就是以“高效率的定制化攻擊”而聞名。近年來(lái)，Ryuk、Sodinokibi等新的勒索軟件組織也采用了類(lèi)似的策略。通過(guò)從國(guó)內(nèi)外安全廠(chǎng)商披露的Sodinokibi/REvil相關(guān)報(bào)告以及實(shí)際案例分析，可以看到該勒索的完整攻擊路徑：

勒索軟件行業(yè)分布

今年以來(lái)，企業(yè)單位和公共部門(mén)遭遇的攻擊均出現(xiàn)顯著增長(zhǎng)，值得注意的是，疫情下許多勒索軟件并未對(duì)醫(yī)療行業(yè)“手下留情”，2020上半年約有6.4%勒索軟件攻擊針對(duì)醫(yī)療行業(yè)。另外，許多威脅攻擊者會(huì)精心籌劃并注重勒索軟件攻擊時(shí)間，以使勒索收益最大化，例如SNAKE勒索團(tuán)伙針對(duì)本田集團(tuán)的事件中就發(fā)現(xiàn)攻擊團(tuán)伙在病毒代碼中硬編碼了本田集團(tuán)相關(guān)的系統(tǒng)名、公網(wǎng) IP、域名信息等，這意味著此次勒索攻擊行動(dòng)蓄謀已久。

COVID-19的爆發(fā)迫使一些學(xué)校、企業(yè)開(kāi)放遠(yuǎn)程訪(fǎng)問(wèn)，但配置不當(dāng)?shù)倪h(yuǎn)程服務(wù)也是導(dǎo)致教育行業(yè)和企業(yè)的攻擊增多的重要原因。如下圖所示，2020上半年勒索軟件攻擊行業(yè)分布中，企業(yè)、政府、教育行業(yè)排名前三。

2020年上半年勒索攻擊行業(yè)分布

勒索軟件與APT組織

通常營(yíng)利性的勒索軟件和APT組織有較為明顯的區(qū)分。勒索軟件通常只是為了賺錢(qián)而部署，而APT組織一般以竊取數(shù)據(jù)為目的。因?yàn)锳PT組織的作案手段是針對(duì)極其安全的網(wǎng)絡(luò)的攻擊，這些攻擊長(zhǎng)期持續(xù)存在并且不容易被檢測(cè)。

但是拉撒路（Lazarus）似乎模糊了這一界限。Lazarus組織是MATA（Dacls）惡意軟件框架的唯一所有者，而該惡意軟件最終會(huì)將VHD勒索軟件部署在受害者的主機(jī)上。Lazarus一直存在于APT和金融犯罪之間特殊的十字路口，并且在威脅情報(bào)界一直有謠言說(shuō)該組織是各種僵尸網(wǎng)絡(luò)服務(wù)的客戶(hù)。

下圖為一起感染勒索軟件的攻擊過(guò)程圖。攻擊者通過(guò)存在漏洞的VPN網(wǎng)關(guān)進(jìn)行入侵，并獲得了管理員權(quán)限，同時(shí)在受感染的系統(tǒng)上部署了MATA(Dacls)后門(mén)，從而能夠接管Active Directory服務(wù)器，然后他們將VHD勒索軟件部署到網(wǎng)絡(luò)中的所有計(jì)算機(jī)。本次事件表明APT組織也可能使用勒索軟件團(tuán)伙的手法進(jìn)行斂財(cái)。

Lazarus APT組織利用MATA框架下發(fā)VHD勒索軟件

（圖片來(lái)源：https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/）

2020年上半年勒索軟件攻擊事件

勒索病毒產(chǎn)業(yè)鏈在不斷革新技能和規(guī)?；虡I(yè)運(yùn)作，持續(xù)在世界范圍內(nèi)產(chǎn)生嚴(yán)重危害。通過(guò)梳理2020上半年全球勒索的一些大事件可以看到，上半年勒索軟件依舊十分活躍。

小結(jié)

上述統(tǒng)計(jì)數(shù)據(jù)揭示了2020年上半年勒索軟件的主要趨勢(shì)，勒索軟件攻擊的目標(biāo)逐步轉(zhuǎn)向?qū)φ髾C(jī)構(gòu)的精準(zhǔn)攻擊，并采用勒索加竊密數(shù)據(jù)并威脅公開(kāi)的雙重手段以要求更高的贖金；另外，勒索軟件的商業(yè)運(yùn)作模式逐漸規(guī)?；碌暮献魃鷳B(tài)使得威脅上升到一個(gè)新的高度。從勒索軟件的大量增加到攻擊模型的變化可以發(fā)現(xiàn)，勒索軟件依然是犯罪分子的首選工具，勒索軟件的傳播者一直在積極尋找新的方法來(lái)從犯罪活動(dòng)中獲利，包括和其他犯罪團(tuán)伙的合作、拍賣(mài)竊取的敏感數(shù)據(jù)等手段。

隨著安全供應(yīng)商不斷開(kāi)發(fā)防御系統(tǒng)來(lái)檢測(cè)和阻止攻擊，勒索軟件也在不斷發(fā)展，它們更加擅長(zhǎng)隱藏在文件中和正常網(wǎng)站中，避免被傳統(tǒng)的防病毒軟件檢測(cè)到。分散化也是當(dāng)前惡意軟件生態(tài)系統(tǒng)的重要特點(diǎn)，分散化的形式可以產(chǎn)生靈活的業(yè)務(wù)模型，在其中勒索軟件借助僵尸網(wǎng)絡(luò)得以加速識(shí)別受害資產(chǎn)并完成部署。

雖然許多組織已經(jīng)通過(guò)實(shí)施防病毒軟件和其他基于簽名的解決方案來(lái)保護(hù)他們的系統(tǒng)，但是這些方法對(duì)高級(jí)勒索軟件攻擊的抵抗效果還是較小的。企業(yè)單位需要實(shí)施多層次的安全措施，以應(yīng)對(duì)現(xiàn)代勒索軟件的挑戰(zhàn)，從而有效保護(hù)自身網(wǎng)絡(luò)。

參考網(wǎng)站

[1]https://www.coveware.com/blog/q2-2020-ransomware-marketplace-report

[2]https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/

[3]https://labs.sentinelone.com/the-deadly-planeswalker-how-the-trickbot-group-united-high-tech-crimeware-apt/

[4]https://www.sophos.com/en-us/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf

受影響實(shí)體

暫無(wú)

補(bǔ)丁