• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 其他
  • -
    • 2020上半年勒索軟件洞察報告
    • CNNVD編號:未知
    • 危害等級: 未知
    • CVE編號:未知
    • 漏洞類型: 未知
    • 威脅類型:未知
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2020-09-11
    • 更新時間:2021-07-27

    漏洞簡介

     在2020年過去的大半年里,全世界很多領(lǐng)域都面臨著嚴(yán)峻的挑戰(zhàn),而網(wǎng)絡(luò)安全領(lǐng)域也不容樂觀,其中勒索軟件的勢頭一度上升,并出現(xiàn)了新的敲詐勒索模式。盡管勒索病毒感染事件約占惡意軟件總事件的3%左右,但相比其他惡意軟件破壞力更大,一旦遭遇勒索,企業(yè)將面臨業(yè)務(wù)中斷、高額贖金的風(fēng)險。深信服千里目安全實驗室從勒索軟件整體趨勢、勒索模式、家族類型和行業(yè)分布情況等方面分析上半年勒索軟件整體態(tài)勢情況,發(fā)布《2020上半年勒索軟件洞察報告》(以下簡稱報告)。

    漏洞公示


    勒索軟件事件趨勢

           根據(jù)深信服安全云腦提供的數(shù)據(jù)顯示,2020年2月開始,勒索軟件從之前的低潮后開始恢復(fù)活力,攻擊勢頭上升,盡管處在COVID-19大流行期間,但針對政府、學(xué)校和醫(yī)療衛(wèi)生行業(yè)的攻擊并沒有減弱。


    2019和2020上半年勒索攻擊事件趨勢對比


           通過對大量的勒索事件進(jìn)行調(diào)查分析,以及與一些行業(yè)伙伴的交流,發(fā)現(xiàn)犯罪團(tuán)伙逐漸在形成規(guī)?;纳虡I(yè)運(yùn)作,形成新的勒索軟件合作生態(tài)?;钴S的攻擊團(tuán)伙(例如臭名昭著的Emotet和Trickbot惡意軟件家族等)在實施網(wǎng)絡(luò)犯罪的過程中經(jīng)常帶著廣泛的僵尸網(wǎng)絡(luò)感染,他們依靠僵尸網(wǎng)絡(luò)龐大的感染基數(shù)迅速擴(kuò)張,在充分了解受害目標(biāo)的業(yè)務(wù)系統(tǒng)之后,會將來自第三方的勒索軟件部署在受害者的資產(chǎn)上。勒索軟件合作生態(tài)結(jié)構(gòu)如下圖所示:


    勒索軟件合作生態(tài)結(jié)構(gòu)圖


           在合作生態(tài)系統(tǒng)中,各角色獨(dú)立地在高度專業(yè)化的集群中運(yùn)行,在大多數(shù)情況下,各角色會專注于自己所負(fù)責(zé)的模塊,他們之間除了業(yè)務(wù)聯(lián)系外幾乎沒有其他交集。比如,在過去,攻擊團(tuán)伙和勒索軟件制作團(tuán)隊往往是同一個,現(xiàn)在的攻擊團(tuán)伙很多時候是獨(dú)立于勒索軟件開發(fā)者和運(yùn)營商,作為相對獨(dú)立的角色存在。他們專注于借助僵尸網(wǎng)絡(luò)部署勒索軟件,給受害者造成的損失面更廣。這種新的勒索軟件合作生態(tài)使得勒索威脅的危害上升了一個新的高度。


    勒索軟件贖金要求

           近年來,勒索軟件犯罪組織意識到使用廣撒網(wǎng)式的戰(zhàn)術(shù)并不能為其帶來更多的投資回報,于是他們開始逐漸采用復(fù)雜性和針對性都比較強(qiáng)的交付技術(shù)和機(jī)制,并針對性發(fā)起大型“狩獵”活動。大型企業(yè)雖然被攻擊的次數(shù)較少,但一旦遭受攻擊往往要繳納高額贖金,從而拉高了平均勒索贖金水平。在2020年上半年,排名靠前的勒索軟件攻擊次數(shù)減少,但要求的贖金大大增加。根據(jù)Coveware的數(shù)據(jù)顯示,與2019年相比,2020年第二季度的贖金要求同比增加了4倍。 


    2018Q3-2020Q2季度平均勒索贖金趨勢


    另外有兩個值得注意的趨勢,也是推動贖金增加的原因:



    (1)部署勒索軟件前竊取數(shù)據(jù)的模式推動了高贖金繳納概率

           一些勒索軟件運(yùn)營商以受害者“不繳納贖金就會泄露其數(shù)據(jù)”為由鼓勵分支機(jī)構(gòu)增加勒索贖金。這種趨勢始于2019年11月,以Maze、Sodinokibi、DoppelPaymer等新型勒索軟件為代表,在進(jìn)行攻擊時會先竊取受害者的私密數(shù)據(jù),如果受害者不支付贖金,攻擊者會公開或拍賣這些被盜數(shù)據(jù)。這無疑給受害者新增數(shù)據(jù)外泄的壓力,從而大幅提高受害者繳納贖金的概率。



    (2)勒索軟件即服務(wù)(RaaS)持續(xù)盛行,運(yùn)營商正在尋求更高的贖金要求

           犯罪組織利用新的低成本勒索軟件即服務(wù)(RaaS)發(fā)起攻擊,不再需要深厚的技術(shù)專長即可參與網(wǎng)絡(luò)犯罪。在針對大型企業(yè)的勒索軟件系列中,RaaS運(yùn)營商正在尋求更高的贖金要求,十萬百萬的贖金要求已成為常態(tài)。


    勒索軟件家族類型分布

           從深信服處理的勒索應(yīng)急事件來看,將近70%的勒索軟件攻擊是由四種最常見的勒索軟件變種(Crysis、GlobeImposter、Sodinokibi、Phobos)進(jìn)行的,他們的大部分攻擊是利用RDP爆破作為攻擊入口。除此之外,還有幾種新的RaaS變體,例如VegaLocker、MedusaLocker等,這些新進(jìn)入者以較低的前期成本和技術(shù)知識吸引了網(wǎng)絡(luò)犯罪初學(xué)者。

                                                                                               

    2020年上半年應(yīng)急事件勒索家族分布


           對過去半年應(yīng)急響應(yīng)的勒索軟件攻擊媒介進(jìn)行整理發(fā)現(xiàn),遠(yuǎn)程桌面協(xié)議(RDP)入侵和電子郵件網(wǎng)絡(luò)釣魚的攻擊入口增加,而軟件漏洞和其他攻擊媒介略有減少。攻擊者使用的攻擊媒介表明了他們所偏愛的目標(biāo)規(guī)模。Phobos幾乎是通過不安全的RDP配置來專門針對小型企業(yè),該漏洞利用程序便宜且普遍,并且?guī)缀鯖]有操作技術(shù)難度。而對于大型企業(yè),攻擊者通常會采用網(wǎng)絡(luò)釣魚郵件作為初始攻擊。


    排名前四的勒索軟件入侵方式占比


           活躍的勒索病毒家族會發(fā)起針對性極強(qiáng)的大型“狩獵”活動,定制化勒索大量贖金。如SamSam,這是一個可追溯到2016年的勒索軟件程序,它就是以“高效率的定制化攻擊”而聞名。近年來,Ryuk、Sodinokibi等新的勒索軟件組織也采用了類似的策略。通過從國內(nèi)外安全廠商披露的Sodinokibi/REvil相關(guān)報告以及實際案例分析,可以看到該勒索的完整攻擊路徑: 



    勒索軟件行業(yè)分布

           今年以來,企業(yè)單位和公共部門遭遇的攻擊均出現(xiàn)顯著增長,值得注意的是,疫情下許多勒索軟件并未對醫(yī)療行業(yè)“手下留情”,2020上半年約有6.4%勒索軟件攻擊針對醫(yī)療行業(yè)。另外,許多威脅攻擊者會精心籌劃并注重勒索軟件攻擊時間,以使勒索收益最大化,例如SNAKE勒索團(tuán)伙針對本田集團(tuán)的事件中就發(fā)現(xiàn)攻擊團(tuán)伙在病毒代碼中硬編碼了本田集團(tuán)相關(guān)的系統(tǒng)名、公網(wǎng) IP、域名信息等,這意味著此次勒索攻擊行動蓄謀已久。


           COVID-19的爆發(fā)迫使一些學(xué)校、企業(yè)開放遠(yuǎn)程訪問,但配置不當(dāng)?shù)倪h(yuǎn)程服務(wù)也是導(dǎo)致教育行業(yè)和企業(yè)的攻擊增多的重要原因。如下圖所示,2020上半年勒索軟件攻擊行業(yè)分布中,企業(yè)、政府、教育行業(yè)排名前三。


    2020年上半年勒索攻擊行業(yè)分布


    勒索軟件與APT組織

           通常營利性的勒索軟件和APT組織有較為明顯的區(qū)分。勒索軟件通常只是為了賺錢而部署,而APT組織一般以竊取數(shù)據(jù)為目的。因為APT組織的作案手段是針對極其安全的網(wǎng)絡(luò)的攻擊,這些攻擊長期持續(xù)存在并且不容易被檢測。


           但是拉撒路(Lazarus)似乎模糊了這一界限。Lazarus組織是MATA(Dacls)惡意軟件框架的唯一所有者,而該惡意軟件最終會將VHD勒索軟件部署在受害者的主機(jī)上。Lazarus一直存在于APT和金融犯罪之間特殊的十字路口,并且在威脅情報界一直有謠言說該組織是各種僵尸網(wǎng)絡(luò)服務(wù)的客戶。


           下圖為一起感染勒索軟件的攻擊過程圖。攻擊者通過存在漏洞的VPN網(wǎng)關(guān)進(jìn)行入侵,并獲得了管理員權(quán)限,同時在受感染的系統(tǒng)上部署了MATA(Dacls)后門,從而能夠接管Active Directory服務(wù)器,然后他們將VHD勒索軟件部署到網(wǎng)絡(luò)中的所有計算機(jī)。本次事件表明APT組織也可能使用勒索軟件團(tuán)伙的手法進(jìn)行斂財。


    Lazarus APT組織利用MATA框架下發(fā)VHD勒索軟件

    (圖片來源:https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/)


    2020年上半年勒索軟件攻擊事件

           勒索病毒產(chǎn)業(yè)鏈在不斷革新技能和規(guī)?;虡I(yè)運(yùn)作,持續(xù)在世界范圍內(nèi)產(chǎn)生嚴(yán)重危害。通過梳理2020上半年全球勒索的一些大事件可以看到,上半年勒索軟件依舊十分活躍。





    小結(jié)

           上述統(tǒng)計數(shù)據(jù)揭示了2020年上半年勒索軟件的主要趨勢,勒索軟件攻擊的目標(biāo)逐步轉(zhuǎn)向?qū)φ髾C(jī)構(gòu)的精準(zhǔn)攻擊,并采用勒索加竊密數(shù)據(jù)并威脅公開的雙重手段以要求更高的贖金;另外,勒索軟件的商業(yè)運(yùn)作模式逐漸規(guī)?;?,新的合作生態(tài)使得威脅上升到一個新的高度。從勒索軟件的大量增加到攻擊模型的變化可以發(fā)現(xiàn),勒索軟件依然是犯罪分子的首選工具,勒索軟件的傳播者一直在積極尋找新的方法來從犯罪活動中獲利,包括和其他犯罪團(tuán)伙的合作、拍賣竊取的敏感數(shù)據(jù)等手段。


           隨著安全供應(yīng)商不斷開發(fā)防御系統(tǒng)來檢測和阻止攻擊,勒索軟件也在不斷發(fā)展,它們更加擅長隱藏在文件中和正常網(wǎng)站中,避免被傳統(tǒng)的防病毒軟件檢測到。分散化也是當(dāng)前惡意軟件生態(tài)系統(tǒng)的重要特點(diǎn),分散化的形式可以產(chǎn)生靈活的業(yè)務(wù)模型,在其中勒索軟件借助僵尸網(wǎng)絡(luò)得以加速識別受害資產(chǎn)并完成部署。


           雖然許多組織已經(jīng)通過實施防病毒軟件和其他基于簽名的解決方案來保護(hù)他們的系統(tǒng),但是這些方法對高級勒索軟件攻擊的抵抗效果還是較小的。企業(yè)單位需要實施多層次的安全措施,以應(yīng)對現(xiàn)代勒索軟件的挑戰(zhàn),從而有效保護(hù)自身網(wǎng)絡(luò)。


    受影響實體

    暫無

    補(bǔ)丁

    暫無