勒索軟件在2023年經(jīng)歷了巨大的變化和挑戰(zhàn)。這一年,勒索軟件泄密網(wǎng)站報(bào)告的受害者增加了49%,各勒索軟件組織共發(fā)布了3,998個(gè)帖子。是什么推動(dòng)了這一活動(dòng)的激增?2023年出現(xiàn)了一些備受關(guān)注的漏洞,例如MOVEit和GoAnywhere MFT服務(wù)的SQL注入等。針對(duì)這些漏洞的零日漏洞攻擊使得CL0P、LockBit和ALPHV(BlackCat)等組織在防御者更新漏洞軟件之前感染的勒索軟件數(shù)量激增。
通過對(duì)勒索軟件泄密網(wǎng)站(有時(shí)也被稱為專門泄密網(wǎng)站,縮寫為DLS)的數(shù)據(jù)進(jìn)行分析,派拓網(wǎng)絡(luò)發(fā)布了報(bào)告《2024年勒索軟件回顧:Unit 42泄密網(wǎng)站分析》。
泄密網(wǎng)站和派拓網(wǎng)絡(luò)的數(shù)據(jù)集
勒索軟件泄密網(wǎng)站首次出現(xiàn)于2019年,當(dāng)時(shí)的Maze勒索軟件已開始采取雙重勒索手段。Maze勒索軟件會(huì)在加密受害者文件之前先竊取其文件,它是第一個(gè)通過建立泄密網(wǎng)站來脅迫受害者并發(fā)布被盜數(shù)據(jù)的已知勒索軟件組織。這些攻擊者脅迫受害者付款,不然就解密他們的文件并公開他們的敏感數(shù)據(jù)。自2019年以來,勒索軟件組織越來越多地在行動(dòng)中采用泄密網(wǎng)站。
派拓網(wǎng)絡(luò)對(duì)這些通?赏ㄟ^暗網(wǎng)訪問的網(wǎng)站數(shù)據(jù)進(jìn)行監(jiān)控,并通過研究這些數(shù)據(jù)確定趨勢(shì)。由于泄密網(wǎng)站在大多數(shù)勒索軟件組織中已司空見慣,因此研究人員經(jīng)常使用這些數(shù)據(jù)來確定勒索軟件活動(dòng)的總體水平和判斷某個(gè)勒索軟件組織首次活躍的日期。
派拓網(wǎng)絡(luò)編制的數(shù)據(jù)集顯示了2023年勒索軟件組織的演變以及受影響的行業(yè)和攻擊的地理分布。更重要的是,勒索軟件的活動(dòng)量反映了針對(duì)關(guān)鍵漏洞的零日漏洞攻擊所產(chǎn)生的大規(guī)模影響。
關(guān)鍵漏洞
派拓網(wǎng)絡(luò)在2023年觀察到勒索軟件泄密網(wǎng)站發(fā)布了3,998個(gè)帖子,較2022年的2,679個(gè)帖子增長(zhǎng)了約49%;顒(dòng)增加的原因可能是針對(duì)關(guān)鍵漏洞的零日漏洞攻擊,例如針對(duì)GoAnywhere MFT的CVE-2023-0669或針對(duì)MOVEit Transfer SQL Injection的CVE-2023-34362、CVE-2023-35036和CVE-2023-35708等。
CL0P聲稱對(duì)MOVEit傳輸漏洞攻擊負(fù)責(zé)。2023年6月,美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施局(CISA)估計(jì),因使用CL0P勒索軟件而出名的TA505組織在全球共入侵了約8,000名受害者。這些攻擊的規(guī)模迫使易受攻擊的企業(yè)必須縮短反應(yīng)時(shí)間,才能有效應(yīng)對(duì)這一威脅。但由于被入侵網(wǎng)站的數(shù)據(jù)數(shù)量龐大,這也迫使該勒索軟件組織作出調(diào)整。CL0P并不是唯一一個(gè)利用關(guān)鍵漏洞的組織。LockBit、Medusa、ALPHV(BlackCat)等勒索軟件組織通過對(duì)Citrix Bleed漏洞CVE-2023-4966發(fā)起零日漏洞攻擊,在2023年11月期間進(jìn)行了多次入侵。
在逐月查看勒索軟件泄密網(wǎng)站在2023年報(bào)告的入侵次數(shù)時(shí),派拓網(wǎng)絡(luò)發(fā)現(xiàn)某些月份的入侵次數(shù)有所增加。這些增長(zhǎng)與勒索軟件組織開始利用特定漏洞的日期大致吻合。但并非所有勒索軟件攻擊者都具備利用零日漏洞的能力。有些勒索軟件組織由缺乏經(jīng)驗(yàn)的攻擊者組成,他們會(huì)利用一切可以利用的手段。然而無論經(jīng)驗(yàn)是否豐富,攻擊者名單在不斷變化的威脅環(huán)境中一直在更替,2023年就新出現(xiàn)了一些勒索軟件組織。
2023年新出現(xiàn)的勒索軟件組織
鑒于近年來受害者支付的高額贖金,勒索軟件已成為網(wǎng)絡(luò)犯罪分子垂涎欲滴的收入來源。這些犯罪分子會(huì)組建起新的勒索軟件組織,只不過并非每次行動(dòng)都能成功或持續(xù)。新的勒索軟件組織必須考慮其他惡意軟件所沒有的問題,比如與受害者溝通和提高行動(dòng)安全性等。勒索軟件行動(dòng)的公開性增加了其被執(zhí)法機(jī)構(gòu)、安全廠商和其他防御者發(fā)現(xiàn)的風(fēng)險(xiǎn)。勒索軟件組織還必須考慮其競(jìng)爭(zhēng)對(duì)手。在競(jìng)爭(zhēng)激烈的勒索軟件犯罪市場(chǎng)中,利潤(rùn)分配、軟件功能和成員支持會(huì)極大地影響一個(gè)新組織在該市場(chǎng)的地位。
盡管存在這些挑戰(zhàn),但數(shù)據(jù)顯示2023年仍出現(xiàn)了25個(gè)新的泄密網(wǎng)站。這些組織至少已推出一個(gè)勒索軟件即服務(wù)(RaaS)產(chǎn)品,并希望成為勒索軟件市場(chǎng)中的有力競(jìng)爭(zhēng)者。值得注意的是,這些網(wǎng)站中至少有三個(gè)是在2022年的某個(gè)時(shí)候開始活躍的。但派拓網(wǎng)絡(luò)在分析中將這些勒索軟件組織作為新組織的原因有二:第一,即使有分析表明這些勒索軟件組織在2022年某個(gè)時(shí)候已開始運(yùn)作,但它們都是在2023年才被首次公開報(bào)道。第二,要想在當(dāng)今的勒索軟件犯罪市場(chǎng)中嶄露頭角,泄密網(wǎng)站必不可少。據(jù)報(bào)道,有三個(gè)始于2022年的勒索軟件組織在2023年新建立了泄密網(wǎng)站,分別是:8Base、Cloak、Trigona。
泄密網(wǎng)站數(shù)據(jù)所反映的新組織數(shù)量揭示了勒索軟件犯罪市場(chǎng)的競(jìng)爭(zhēng)激烈程度。在2023年新建立泄密網(wǎng)站的25個(gè)組織中,至少有5個(gè)在2023年下半年沒有發(fā)布新的帖子,這表明這些組織可能已經(jīng)關(guān)閉。然而,不在泄密網(wǎng)站上發(fā)帖并不一定意味著這些組織已經(jīng)停止運(yùn)作。這些組織的犯罪分子可能已經(jīng)轉(zhuǎn)移到其他類型的行動(dòng)中、從公眾視野中消失或與其他勒索軟件組織合并。如果其中一些組織沒有持續(xù)到一年,新的威脅行為者就會(huì)填補(bǔ)空缺。2023年下半年就有12個(gè)新的泄密網(wǎng)站發(fā)布了帖子,表明這些組織可能在這一年的下半年開始活動(dòng)。
這25個(gè)新泄密網(wǎng)站占2023年勒索軟件發(fā)帖總數(shù)的約25%。在這些新組織中,Akira的發(fā)帖數(shù)居于首位。Akira于2023年3月首次被發(fā)現(xiàn)并被描述成一個(gè)快速發(fā)展的勒索軟件組織。研究人員通過與Conti領(lǐng)導(dǎo)團(tuán)隊(duì)相關(guān)的加密貨幣交易將該組織與Conti聯(lián)系起來。2023年泄密網(wǎng)站發(fā)帖數(shù)排名第二的是8Base勒索軟件。8Base是自2022年以來活躍的勒索軟件組織之一,但該組織在2023年5月才開始公布受害者。
2023年泄密網(wǎng)站統(tǒng)計(jì)數(shù)據(jù)
通過分析泄密網(wǎng)站數(shù)據(jù),可以深入了解勒索軟件的威脅程度。派拓網(wǎng)絡(luò)查看了2023年3,998個(gè)泄密網(wǎng)站帖子,這些數(shù)據(jù)揭示了最活躍的組織、受影響最嚴(yán)重的行業(yè)以及全球受勒索軟件攻擊最嚴(yán)重的地區(qū)。
組織分布
在2023年的3,998個(gè)泄密網(wǎng)站帖子中,LockBit勒索軟件仍然最為活躍,有928個(gè)組織,占到總數(shù)的23%。LockBit自2019年開始活動(dòng)以來幾乎沒有中斷,已連續(xù)兩年成為最猖獗的勒索軟件組織。隨著Conti、Hive、Ragnar Locker等組織的倒臺(tái),LockBit已成為許多攻擊者首選的勒索軟件,這些攻擊者隨后成為該組織的成員。LockBit發(fā)布了多個(gè)可影響Linux和Windows操作系統(tǒng)的變體。通過改變免費(fèi)軟件工具的用途和利用LockBit的快速加密功能,成員可以根據(jù)自己的需要定制勒索軟件行動(dòng)。
泄密帖子數(shù)量排在第二位的是ALPHV(BlackCat)勒索軟件,約占2023年泄密網(wǎng)站帖子總數(shù)的9.7%。第三名是CL0P勒索軟件,約占2023年帖子總數(shù)的9.1%。CL0P因?qū)rogress Software的 MOVEit和Fortra的GoAnywhere MFT等關(guān)鍵漏洞發(fā)起零日漏洞攻擊而出名。但CL0P在該組織泄密網(wǎng)站上報(bào)告的企業(yè)數(shù)量可能無法準(zhǔn)確反映這些漏洞的全部影響。例如,CL0P的泄密網(wǎng)站數(shù)據(jù)顯示,它在這一年中入侵了364家企業(yè),但一份分析CL0P在2023年利用MOVEit漏洞的報(bào)告指出,有2,730家企業(yè)受到了影響。我們經(jīng)常發(fā)現(xiàn)泄密網(wǎng)站數(shù)據(jù)與實(shí)際影響之間存在差異,這個(gè)典型的例子正好反映了這一點(diǎn)。
月平均值和周平均值
派拓網(wǎng)絡(luò)共查看了3,998個(gè)勒索軟件帖子,這意味著勒索軟件組織在2023年平均每月產(chǎn)生333個(gè)帖子,相當(dāng)于平均每周發(fā)布近77個(gè)帖子。2023年的數(shù)據(jù)顯示勒索軟件活動(dòng)較2022年有所增長(zhǎng)。
2022年的泄密網(wǎng)站帖子數(shù)量為2,679,平均每月223個(gè),每周52個(gè)。2023年勒索軟件泄密網(wǎng)站的帖子數(shù)量較前一年增加了49%。
2023年泄密網(wǎng)站報(bào)告數(shù)量最多的月份是7月,共有495個(gè)帖子。CL0P可能由于大規(guī)模利用MOVEit漏洞,而成為當(dāng)月發(fā)布帖子最多的勒索軟件。泄密網(wǎng)站的帖子數(shù)量顯示,2023年1月和2月是勒索軟件最不活躍的月份。
受影響的行業(yè)
有些勒索軟件組織可能會(huì)以特定國(guó)家或行業(yè)為重點(diǎn)目標(biāo),但大多數(shù)勒索軟件組織都是以盈利為主要目的投機(jī)主義者。因此,許多勒索軟件組織會(huì)攻擊多個(gè)行業(yè)的企業(yè)。2023年泄密網(wǎng)站帖子分布情況顯示,制造業(yè)受勒索軟件的影響最大,占到帖子總數(shù)的14%。這是由于制造商對(duì)其運(yùn)營(yíng)技術(shù)(OT)系統(tǒng)的可見性通常有限,往往對(duì)網(wǎng)絡(luò)缺乏足夠的監(jiān)控并且有時(shí)未能落實(shí)最佳安全實(shí)踐。
地區(qū)影響
泄密網(wǎng)站數(shù)據(jù)顯示,2023年大多數(shù)受害者都位于美國(guó),占帖子總數(shù)的47.6%;其次是英國(guó),占6.5%;加拿大占4.6%;德國(guó)占4%。
自2019年泄密網(wǎng)站首次出現(xiàn)以來,美國(guó)的企業(yè)一直是勒索軟件的首要目標(biāo)。福布斯全球2000強(qiáng)企業(yè)榜單根據(jù)銷售額、利潤(rùn)、資產(chǎn)和市值對(duì)全球各大企業(yè)進(jìn)行排名。2023年,美國(guó)有610家上榜企業(yè),占福布斯全球2000強(qiáng)企業(yè)的近31%。這等于在告訴勒索軟件組織,該國(guó)是富裕目標(biāo)的集中地。
雖然勒索軟件組織傾向于以美國(guó)等富裕地區(qū)為目標(biāo),但這一威脅仍是一個(gè)普遍的全球性問題。2023年泄密網(wǎng)站數(shù)據(jù)顯示,受害者至少覆蓋全球120個(gè)國(guó)家。
總結(jié)
從勒索軟件泄密網(wǎng)站帖子數(shù)量可以看出,2023年勒索軟件呈現(xiàn)日益猖獗的發(fā)展態(tài)勢(shì),勒索軟件活動(dòng)明顯增加,并顯示了新出現(xiàn)的勒索軟件組織。
CL0P等勒索軟件組織紛紛針對(duì)新發(fā)現(xiàn)的關(guān)鍵漏洞發(fā)起零日漏洞攻擊,這讓潛在受害者不知所措。雖然勒索軟件泄密網(wǎng)站數(shù)據(jù)可以為了解威脅狀況提供寶貴的洞察,但這些數(shù)據(jù)可能無法準(zhǔn)確反映漏洞的全部影響。企業(yè)不僅要對(duì)已知漏洞保持警惕,還需要制定能夠快速應(yīng)對(duì)和緩解零日漏洞攻擊影響的策略。
保護(hù)和緩解措施
派拓網(wǎng)絡(luò)的客戶可通過我們內(nèi)置云端安全服務(wù)(包括Advanced WildFire、DNS Security、Advanced Threat Prevention和Advanced URL Filtering)的下一代防火墻更好地防范勒索軟件威脅。
Cortex Xpanse可檢測(cè)易受攻擊的服務(wù)。Cortex XDR和XSIAM客戶開箱即可獲得針對(duì)2023年所有已知主動(dòng)勒索軟件攻擊的保護(hù),無需在系統(tǒng)中添加其他保護(hù)措施。Anti-Ransomware Module幫助防范加密行為,本地分析幫助阻止勒索軟件二進(jìn)制文件的執(zhí)行,Behavioral Threat Protection幫助預(yù)防勒索軟件活動(dòng)。Prisma Cloud Defender Agents可監(jiān)視Windows虛擬機(jī)實(shí)例中是否存在已知的惡意軟件。
本文參考來源:https://unit42.paloaltonetworks.com/unit-42-ransomware-leak-site-data-analysis/