首頁|必讀|視頻|專訪|運(yùn)營(yíng)|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機(jī)|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計(jì)算|芯片報(bào)告|智慧城市|移動(dòng)互聯(lián)網(wǎng)|會(huì)展
首頁 >> 云計(jì)算 >> 正文

派拓網(wǎng)絡(luò)發(fā)布報(bào)告《2024年勒索軟件回顧:Unit 42泄密網(wǎng)站分析》

2024年4月8日 16:52  CCTIME飛象網(wǎng)  

勒索軟件在2023年經(jīng)歷了巨大的變化和挑戰(zhàn)。這一年,勒索軟件泄密網(wǎng)站報(bào)告的受害者增加了49%,各勒索軟件組織共發(fā)布了3,998個(gè)帖子。是什么推動(dòng)了這一活動(dòng)的激增?2023年出現(xiàn)了一些備受關(guān)注的漏洞,例如MOVEit和GoAnywhere MFT服務(wù)的SQL注入等。針對(duì)這些漏洞的零日漏洞攻擊使得CL0P、LockBit和ALPHV(BlackCat)等組織在防御者更新漏洞軟件之前感染的勒索軟件數(shù)量激增。

通過對(duì)勒索軟件泄密網(wǎng)站(有時(shí)也被稱為專門泄密網(wǎng)站,縮寫為DLS)的數(shù)據(jù)進(jìn)行分析,派拓網(wǎng)絡(luò)發(fā)布了報(bào)告《2024年勒索軟件回顧:Unit 42泄密網(wǎng)站分析》。

泄密網(wǎng)站和派拓網(wǎng)絡(luò)的數(shù)據(jù)集

勒索軟件泄密網(wǎng)站首次出現(xiàn)于2019年,當(dāng)時(shí)的Maze勒索軟件已開始采取雙重勒索手段。Maze勒索軟件會(huì)在加密受害者文件之前先竊取其文件,它是第一個(gè)通過建立泄密網(wǎng)站來脅迫受害者并發(fā)布被盜數(shù)據(jù)的已知勒索軟件組織。這些攻擊者脅迫受害者付款,不然就解密他們的文件并公開他們的敏感數(shù)據(jù)。自2019年以來,勒索軟件組織越來越多地在行動(dòng)中采用泄密網(wǎng)站。

派拓網(wǎng)絡(luò)對(duì)這些通?赏ㄟ^暗網(wǎng)訪問的網(wǎng)站數(shù)據(jù)進(jìn)行監(jiān)控,并通過研究這些數(shù)據(jù)確定趨勢(shì)。由于泄密網(wǎng)站在大多數(shù)勒索軟件組織中已司空見慣,因此研究人員經(jīng)常使用這些數(shù)據(jù)來確定勒索軟件活動(dòng)的總體水平和判斷某個(gè)勒索軟件組織首次活躍的日期。

派拓網(wǎng)絡(luò)編制的數(shù)據(jù)集顯示了2023年勒索軟件組織的演變以及受影響的行業(yè)和攻擊的地理分布。更重要的是,勒索軟件的活動(dòng)量反映了針對(duì)關(guān)鍵漏洞的零日漏洞攻擊所產(chǎn)生的大規(guī)模影響。

關(guān)鍵漏洞

派拓網(wǎng)絡(luò)在2023年觀察到勒索軟件泄密網(wǎng)站發(fā)布了3,998個(gè)帖子,較2022年的2,679個(gè)帖子增長(zhǎng)了約49%;顒(dòng)增加的原因可能是針對(duì)關(guān)鍵漏洞的零日漏洞攻擊,例如針對(duì)GoAnywhere MFT的CVE-2023-0669或針對(duì)MOVEit Transfer SQL Injection的CVE-2023-34362、CVE-2023-35036和CVE-2023-35708等。

CL0P聲稱對(duì)MOVEit傳輸漏洞攻擊負(fù)責(zé)。2023年6月,美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施局(CISA)估計(jì),因使用CL0P勒索軟件而出名的TA505組織在全球共入侵了約8,000名受害者。這些攻擊的規(guī)模迫使易受攻擊的企業(yè)必須縮短反應(yīng)時(shí)間,才能有效應(yīng)對(duì)這一威脅。但由于被入侵網(wǎng)站的數(shù)據(jù)數(shù)量龐大,這也迫使該勒索軟件組織作出調(diào)整。CL0P并不是唯一一個(gè)利用關(guān)鍵漏洞的組織。LockBit、Medusa、ALPHV(BlackCat)等勒索軟件組織通過對(duì)Citrix Bleed漏洞CVE-2023-4966發(fā)起零日漏洞攻擊,在2023年11月期間進(jìn)行了多次入侵。

在逐月查看勒索軟件泄密網(wǎng)站在2023年報(bào)告的入侵次數(shù)時(shí),派拓網(wǎng)絡(luò)發(fā)現(xiàn)某些月份的入侵次數(shù)有所增加。這些增長(zhǎng)與勒索軟件組織開始利用特定漏洞的日期大致吻合。但并非所有勒索軟件攻擊者都具備利用零日漏洞的能力。有些勒索軟件組織由缺乏經(jīng)驗(yàn)的攻擊者組成,他們會(huì)利用一切可以利用的手段。然而無論經(jīng)驗(yàn)是否豐富,攻擊者名單在不斷變化的威脅環(huán)境中一直在更替,2023年就新出現(xiàn)了一些勒索軟件組織。

2023年新出現(xiàn)的勒索軟件組織

鑒于近年來受害者支付的高額贖金,勒索軟件已成為網(wǎng)絡(luò)犯罪分子垂涎欲滴的收入來源。這些犯罪分子會(huì)組建起新的勒索軟件組織,只不過并非每次行動(dòng)都能成功或持續(xù)。新的勒索軟件組織必須考慮其他惡意軟件所沒有的問題,比如與受害者溝通和提高行動(dòng)安全性等。勒索軟件行動(dòng)的公開性增加了其被執(zhí)法機(jī)構(gòu)、安全廠商和其他防御者發(fā)現(xiàn)的風(fēng)險(xiǎn)。勒索軟件組織還必須考慮其競(jìng)爭(zhēng)對(duì)手。在競(jìng)爭(zhēng)激烈的勒索軟件犯罪市場(chǎng)中,利潤(rùn)分配、軟件功能和成員支持會(huì)極大地影響一個(gè)新組織在該市場(chǎng)的地位。

盡管存在這些挑戰(zhàn),但數(shù)據(jù)顯示2023年仍出現(xiàn)了25個(gè)新的泄密網(wǎng)站。這些組織至少已推出一個(gè)勒索軟件即服務(wù)(RaaS)產(chǎn)品,并希望成為勒索軟件市場(chǎng)中的有力競(jìng)爭(zhēng)者。值得注意的是,這些網(wǎng)站中至少有三個(gè)是在2022年的某個(gè)時(shí)候開始活躍的。但派拓網(wǎng)絡(luò)在分析中將這些勒索軟件組織作為新組織的原因有二:第一,即使有分析表明這些勒索軟件組織在2022年某個(gè)時(shí)候已開始運(yùn)作,但它們都是在2023年才被首次公開報(bào)道。第二,要想在當(dāng)今的勒索軟件犯罪市場(chǎng)中嶄露頭角,泄密網(wǎng)站必不可少。據(jù)報(bào)道,有三個(gè)始于2022年的勒索軟件組織在2023年新建立了泄密網(wǎng)站,分別是:8Base、Cloak、Trigona。

泄密網(wǎng)站數(shù)據(jù)所反映的新組織數(shù)量揭示了勒索軟件犯罪市場(chǎng)的競(jìng)爭(zhēng)激烈程度。在2023年新建立泄密網(wǎng)站的25個(gè)組織中,至少有5個(gè)在2023年下半年沒有發(fā)布新的帖子,這表明這些組織可能已經(jīng)關(guān)閉。然而,不在泄密網(wǎng)站上發(fā)帖并不一定意味著這些組織已經(jīng)停止運(yùn)作。這些組織的犯罪分子可能已經(jīng)轉(zhuǎn)移到其他類型的行動(dòng)中、從公眾視野中消失或與其他勒索軟件組織合并。如果其中一些組織沒有持續(xù)到一年,新的威脅行為者就會(huì)填補(bǔ)空缺。2023年下半年就有12個(gè)新的泄密網(wǎng)站發(fā)布了帖子,表明這些組織可能在這一年的下半年開始活動(dòng)。

這25個(gè)新泄密網(wǎng)站占2023年勒索軟件發(fā)帖總數(shù)的約25%。在這些新組織中,Akira的發(fā)帖數(shù)居于首位。Akira于2023年3月首次被發(fā)現(xiàn)并被描述成一個(gè)快速發(fā)展的勒索軟件組織。研究人員通過與Conti領(lǐng)導(dǎo)團(tuán)隊(duì)相關(guān)的加密貨幣交易將該組織與Conti聯(lián)系起來。2023年泄密網(wǎng)站發(fā)帖數(shù)排名第二的是8Base勒索軟件。8Base是自2022年以來活躍的勒索軟件組織之一,但該組織在2023年5月才開始公布受害者。

2023年泄密網(wǎng)站統(tǒng)計(jì)數(shù)據(jù)

通過分析泄密網(wǎng)站數(shù)據(jù),可以深入了解勒索軟件的威脅程度。派拓網(wǎng)絡(luò)查看了2023年3,998個(gè)泄密網(wǎng)站帖子,這些數(shù)據(jù)揭示了最活躍的組織、受影響最嚴(yán)重的行業(yè)以及全球受勒索軟件攻擊最嚴(yán)重的地區(qū)。

組織分布

在2023年的3,998個(gè)泄密網(wǎng)站帖子中,LockBit勒索軟件仍然最為活躍,有928個(gè)組織,占到總數(shù)的23%。LockBit自2019年開始活動(dòng)以來幾乎沒有中斷,已連續(xù)兩年成為最猖獗的勒索軟件組織。隨著Conti、Hive、Ragnar Locker等組織的倒臺(tái),LockBit已成為許多攻擊者首選的勒索軟件,這些攻擊者隨后成為該組織的成員。LockBit發(fā)布了多個(gè)可影響Linux和Windows操作系統(tǒng)的變體。通過改變免費(fèi)軟件工具的用途和利用LockBit的快速加密功能,成員可以根據(jù)自己的需要定制勒索軟件行動(dòng)。

泄密帖子數(shù)量排在第二位的是ALPHV(BlackCat)勒索軟件,約占2023年泄密網(wǎng)站帖子總數(shù)的9.7%。第三名是CL0P勒索軟件,約占2023年帖子總數(shù)的9.1%。CL0P因?qū)rogress Software的 MOVEit和Fortra的GoAnywhere MFT等關(guān)鍵漏洞發(fā)起零日漏洞攻擊而出名。但CL0P在該組織泄密網(wǎng)站上報(bào)告的企業(yè)數(shù)量可能無法準(zhǔn)確反映這些漏洞的全部影響。例如,CL0P的泄密網(wǎng)站數(shù)據(jù)顯示,它在這一年中入侵了364家企業(yè),但一份分析CL0P在2023年利用MOVEit漏洞的報(bào)告指出,有2,730家企業(yè)受到了影響。我們經(jīng)常發(fā)現(xiàn)泄密網(wǎng)站數(shù)據(jù)與實(shí)際影響之間存在差異,這個(gè)典型的例子正好反映了這一點(diǎn)。

月平均值和周平均值

派拓網(wǎng)絡(luò)共查看了3,998個(gè)勒索軟件帖子,這意味著勒索軟件組織在2023年平均每月產(chǎn)生333個(gè)帖子,相當(dāng)于平均每周發(fā)布近77個(gè)帖子。2023年的數(shù)據(jù)顯示勒索軟件活動(dòng)較2022年有所增長(zhǎng)。

2022年的泄密網(wǎng)站帖子數(shù)量為2,679,平均每月223個(gè),每周52個(gè)。2023年勒索軟件泄密網(wǎng)站的帖子數(shù)量較前一年增加了49%。

2023年泄密網(wǎng)站報(bào)告數(shù)量最多的月份是7月,共有495個(gè)帖子。CL0P可能由于大規(guī)模利用MOVEit漏洞,而成為當(dāng)月發(fā)布帖子最多的勒索軟件。泄密網(wǎng)站的帖子數(shù)量顯示,2023年1月和2月是勒索軟件最不活躍的月份。

受影響的行業(yè)

有些勒索軟件組織可能會(huì)以特定國(guó)家或行業(yè)為重點(diǎn)目標(biāo),但大多數(shù)勒索軟件組織都是以盈利為主要目的投機(jī)主義者。因此,許多勒索軟件組織會(huì)攻擊多個(gè)行業(yè)的企業(yè)。2023年泄密網(wǎng)站帖子分布情況顯示,制造業(yè)受勒索軟件的影響最大,占到帖子總數(shù)的14%。這是由于制造商對(duì)其運(yùn)營(yíng)技術(shù)(OT)系統(tǒng)的可見性通常有限,往往對(duì)網(wǎng)絡(luò)缺乏足夠的監(jiān)控并且有時(shí)未能落實(shí)最佳安全實(shí)踐。

地區(qū)影響

泄密網(wǎng)站數(shù)據(jù)顯示,2023年大多數(shù)受害者都位于美國(guó),占帖子總數(shù)的47.6%;其次是英國(guó),占6.5%;加拿大占4.6%;德國(guó)占4%。

自2019年泄密網(wǎng)站首次出現(xiàn)以來,美國(guó)的企業(yè)一直是勒索軟件的首要目標(biāo)。福布斯全球2000強(qiáng)企業(yè)榜單根據(jù)銷售額、利潤(rùn)、資產(chǎn)和市值對(duì)全球各大企業(yè)進(jìn)行排名。2023年,美國(guó)有610家上榜企業(yè),占福布斯全球2000強(qiáng)企業(yè)的近31%。這等于在告訴勒索軟件組織,該國(guó)是富裕目標(biāo)的集中地。

雖然勒索軟件組織傾向于以美國(guó)等富裕地區(qū)為目標(biāo),但這一威脅仍是一個(gè)普遍的全球性問題。2023年泄密網(wǎng)站數(shù)據(jù)顯示,受害者至少覆蓋全球120個(gè)國(guó)家。

總結(jié)

從勒索軟件泄密網(wǎng)站帖子數(shù)量可以看出,2023年勒索軟件呈現(xiàn)日益猖獗的發(fā)展態(tài)勢(shì),勒索軟件活動(dòng)明顯增加,并顯示了新出現(xiàn)的勒索軟件組織。

CL0P等勒索軟件組織紛紛針對(duì)新發(fā)現(xiàn)的關(guān)鍵漏洞發(fā)起零日漏洞攻擊,這讓潛在受害者不知所措。雖然勒索軟件泄密網(wǎng)站數(shù)據(jù)可以為了解威脅狀況提供寶貴的洞察,但這些數(shù)據(jù)可能無法準(zhǔn)確反映漏洞的全部影響。企業(yè)不僅要對(duì)已知漏洞保持警惕,還需要制定能夠快速應(yīng)對(duì)和緩解零日漏洞攻擊影響的策略。

保護(hù)和緩解措施

派拓網(wǎng)絡(luò)的客戶可通過我們內(nèi)置云端安全服務(wù)(包括Advanced WildFire、DNS Security、Advanced Threat Prevention和Advanced URL Filtering)的下一代防火墻更好地防范勒索軟件威脅。

Cortex Xpanse可檢測(cè)易受攻擊的服務(wù)。Cortex XDR和XSIAM客戶開箱即可獲得針對(duì)2023年所有已知主動(dòng)勒索軟件攻擊的保護(hù),無需在系統(tǒng)中添加其他保護(hù)措施。Anti-Ransomware Module幫助防范加密行為,本地分析幫助阻止勒索軟件二進(jìn)制文件的執(zhí)行,Behavioral Threat Protection幫助預(yù)防勒索軟件活動(dòng)。Prisma Cloud Defender Agents可監(jiān)視Windows虛擬機(jī)實(shí)例中是否存在已知的惡意軟件。

本文參考來源:https://unit42.paloaltonetworks.com/unit-42-ransomware-leak-site-data-analysis/

編 輯:魏德齡
聲明:刊載本文目的在于傳播更多行業(yè)信息,本站只提供參考并不構(gòu)成任何投資及應(yīng)用建議。如網(wǎng)站內(nèi)容涉及作品版權(quán)和其它問題,請(qǐng)?jiān)?0日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除內(nèi)容。本站聯(lián)系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯(lián)系方式,進(jìn)行的“內(nèi)容核實(shí)”、“商務(wù)聯(lián)系”等行為,均不能代表本站。本站擁有對(duì)此聲明的最終解釋權(quán)。
相關(guān)新聞              
 
人物
陳忠岳:中國(guó)聯(lián)通正在開展6G技術(shù)指標(biāo)制定等工作
精彩專題
CES 2024國(guó)際消費(fèi)電子展
2023年信息通信產(chǎn)業(yè)盤點(diǎn)暨頒獎(jiǎng)禮
飛象網(wǎng)2023年手機(jī)評(píng)選
第24屆中國(guó)國(guó)際光電博覽會(huì)
CCTIME推薦
關(guān)于我們 | 廣告報(bào)價(jià) | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號(hào)-1  電信與信息服務(wù)業(yè)務(wù)經(jīng)營(yíng)許可證080234號(hào) 京公網(wǎng)安備110105000771號(hào)
公司名稱: 北京飛象互動(dòng)文化傳媒有限公司
未經(jīng)書面許可,禁止轉(zhuǎn)載、摘編、復(fù)制、鏡像