• 真情服務(wù)  厚德載物
    今天是:
    聯(lián)系我們

    市場(chǎng)部:0564-3227239
    技術(shù)部:0564-3227237
    財務(wù)部: 0564-3227034
    公司郵箱:lachs@126.com
    技術(shù)郵箱:cc1982@163.com
    地址:六安市淠望路103號

    技術(shù)分類(lèi)
    推薦資訊
    當前位置:首 頁(yè) > 技術(shù)中心 > 網(wǎng)絡(luò ) > 查看信息
    2023年勒索軟件攻擊新趨勢
    作者:永辰科技  來(lái)源:網(wǎng)易科技  發(fā)表時(shí)間:2023-7-15 22:53:28  點(diǎn)擊:1987


    2022年,卡巴斯基解決方案檢測到超過(guò)7420萬(wàn)次勒索軟件攻擊,比2021年(6170萬(wàn))增加了20%。盡管2023年初勒索軟件攻擊數量略有下降,但它們更復雜,目標更明確。

    去年,卡巴斯基實(shí)驗室介紹了今年的三個(gè)趨勢:

    1.攻擊者試圖開(kāi)發(fā)跨平臺勒索軟件,使其盡可能具有適應性;

    2.勒索軟件生態(tài)系統正在進(jìn)化,變得更加工業(yè)化;

    3.勒索組織開(kāi)始參與地緣政治;

    這些趨勢至今還存在,研究人員偶然發(fā)現了一個(gè)新的多平臺勒索軟件家族,它同時(shí)針對Linux和Windows。研究人員將其命名為RedAlert/N13V。該勒索軟件專(zhuān)注于非Windows平臺,支持在ESXi環(huán)境中阻止虛擬機,這樣可以掩蓋其意圖。

    另一個(gè)勒索軟件家族LockBit顯然攻擊能力較強。安全研究人員發(fā)現了它的介紹,其中包含了針對一些不太常見(jiàn)的平臺(包括macOS和FreeBSD)以及各種非標準處理器架構(如MIPS和SPARC)的惡意軟件測試版本。

    至于第二種趨勢,研究人員看到 BlackCat(又名 ALPHV)在年中調整了TTP。他們注冊的域名看起來(lái)像是被攻擊組織的域名,建立了像“我被勒索了嗎”這樣的網(wǎng)站。受攻擊組織的員工可以使用這些網(wǎng)站來(lái)檢查他們的名字是否出現在被盜數據中,從而增加了受影響組織支付贖金的壓力。

    盡管研究人員去年發(fā)現的第三種趨勢是勒索軟件組織在地緣政治沖突中有意偏袒一方,但這并不完全適用于他們。有一個(gè)特殊的樣本:一個(gè)名為“Eternity”的惡意軟件。其開(kāi)發(fā)者聲稱(chēng)該惡意軟件被用于地緣政治沖突后,研究人員的研究表明,圍繞 Eternity存在一個(gè)完整的惡意軟件生態(tài)系統,包括一個(gè)勒索軟件變體。文章發(fā)表后,開(kāi)發(fā)者確保該惡意軟件不會(huì )影響烏克蘭用戶(hù),并在該惡意軟件中包含一條親烏克蘭的消息。


    2022年勒索軟件的格局還受到了哪些因素的影響

    研究人員報道了RedAlert/N13V、Luna、Sugar、Monster等的出現。然而,在2022年看到的最活躍的家族是BlackBasta。當研究人員在2022年4月發(fā)布關(guān)于BlackBasta的初步報告時(shí),里面只提到一名受害者,但自那以后,數量急劇增加。與此同時(shí),惡意軟件本身也在迭代,增加了一種基于LDAP的自我傳播機制。后來(lái),研究人員發(fā)現了一個(gè)針對ESXi環(huán)境的BlackBasta版本,最近的版本支持x64架構。

    如上所述,當有新的組織出現時(shí),舊的組織也就被淘汰了,如REvil和Conti。Conti是其中最臭名昭著(zhù)的一個(gè),自從他們的源代碼被泄露到網(wǎng)上并被許多安全研究人員分析以來(lái),他們受到了最多的關(guān)注。

    最后,像Clop這樣的其他組織在去年加大了攻擊力度,在2023年初達到頂峰,因為他們聲稱(chēng)使用一個(gè)零日漏洞攻擊了130個(gè)組織。

    有趣的是,在過(guò)去一年中,最具影響力和最多產(chǎn)的五大勒索軟件組織(根據其數據泄露網(wǎng)站上列出的受害者數量)發(fā)生了巨大變化,F已解散的REvil和Conti在2022年上半年的攻擊次數分別排在第二和第三位,在2023年第一季度被Vice Society和BlackCat所取代。2023年第一季度排名前五的其他勒索軟件組織是Clop和Royal。


    按公布的受害者數量排名前五的勒索軟件組織


    從事件響應的角度來(lái)看勒索軟件

    去年,全球應急響應小組(GERT)處理了許多勒索軟件事件。事實(shí)上,這是他們面臨的頭號挑戰,盡管2022年勒索軟件的份額比2021年略有下降,從51.9%降至39.8%。

    就初始訪(fǎng)問(wèn)而言,GERT調查的近一半(42.9%)示例涉及利用面向公眾的設備和應用程序中的漏洞,如未修補的路由器、Log4j日志實(shí)用程序的易受攻擊版本等。第二類(lèi)示例包括被盜帳戶(hù)和惡意電子郵件。

    勒索軟件組織使用的最流行的工具每年都保持不變。攻擊者使用PowerShell收集數據,使用Mimikatz升級權限,使用PsExec遠程執行命令,或使用Cobalt Strike等框架進(jìn)行所有攻擊。


    研究人員對2023年趨勢的預測

    當研究人員回顧2022年和2023年初發(fā)生的事件,并分析各種勒索軟件家族時(shí),他們試圖弄清楚接下來(lái)可能會(huì )發(fā)生什么。通過(guò)這些觀(guān)察研究人員得出了三個(gè)潛在趨勢,我們認為這些趨勢將影響2023年接下來(lái)的威脅格局。

    趨勢1:更多嵌入式功能

    研究人員看到一些勒索軟件組織在2022年擴展了其惡意軟件的功能,最值得注意的新增功能是自我傳播,如上所述,BlackBasta通過(guò)使用LDAP庫獲取網(wǎng)絡(luò )上可用計算機的列表來(lái)開(kāi)始自我傳播。

    LockBit在2022年增加了所謂的“自擴展”功能,為運營(yíng)商節省了手動(dòng)運行PsExec等工具的工作量。至少,這是“自我傳播”通常所暗示的。實(shí)際上,這只不過(guò)是一個(gè)憑證轉儲功能,在后來(lái)的版本中被刪除了。

    例如,Play勒索軟件確實(shí)有一種自我傳播機制。它收集啟用了SMB的不同IP,建立與這些IP的連接,掛載SMB資源,然后自我復制并在目標計算機上運行。

    最近,許多臭名昭著(zhù)的勒索軟件組織都采用了自我傳播,這表明這將會(huì )成為一種攻擊趨勢。

    趨勢2:驅動(dòng)器濫用

    濫用易受攻擊的驅動(dòng)程序達到惡意目的可能是老套路了,但它仍然很有效,尤其是在殺毒驅動(dòng)程序上。Avast Anti-Rootkit內核驅動(dòng)程序包含某些漏洞,這些漏洞以前就曾被AvosLocker利用過(guò)。2022年5月,SentinelLabs詳細描述了驅動(dòng)程序中的兩個(gè)新漏洞(CVE-2022-26522和CVE-2022-206523)。這些漏洞后來(lái)被AvosLocker和Cuba勒索軟件家族利用。

    殺毒驅動(dòng)程序并不是唯一被攻擊者濫用的驅動(dòng)程序。研究人員最近發(fā)現了一名勒索軟件攻擊者濫用Genshin Impact反作弊驅動(dòng)程序,使用它來(lái)終止目標設備上的終端保護。

    驅動(dòng)器濫用趨勢還在繼續演變,卡巴斯基報告的最新病例相當奇怪,因為它不符合前兩類(lèi)中的任何一類(lèi)。合法的代碼簽名證書(shū),如英偉達泄露的證書(shū)和科威特電信公司的證書(shū),被用來(lái)簽署惡意驅動(dòng)程序,該驅動(dòng)程序隨后被用于針對阿爾巴尼亞組織的wiper攻擊。wiper 使用rawdisk驅動(dòng)程序直接訪(fǎng)問(wèn)硬盤(pán)。

    趨勢3:采用其他家族的代碼以攻擊更多目標

    主要的勒索軟件組織正在從泄露的代碼或從其他攻擊者那里購買(mǎi)的代碼中借用功能,這可能會(huì )改善他們自己的惡意軟件的功能。

    研究人員最近看到LockBit組織采用了至少25%的泄露的Conti代碼,并在此基礎上發(fā)展成了一個(gè)新版本。


    總結

    勒索軟件已經(jīng)存在多年,然后發(fā)展成為一個(gè)網(wǎng)絡(luò )犯罪行業(yè)。攻擊者一直在不斷嘗試新的攻擊戰術(shù)和程序。勒索軟件現在可以被認為是一個(gè)成熟的行業(yè),我們預計短期內不會(huì )有突破性的技術(shù)。

    勒索軟件組織將繼續通過(guò)支持更多平臺來(lái)擴大攻擊面。雖然對ESXi和Linux服務(wù)器的攻擊現在很常見(jiàn),但頂級勒索軟件組織正在努力瞄準更多可能包含關(guān)鍵任務(wù)數據的平臺。研究人員最近發(fā)現了幾個(gè)示例,其中包含針對macOS、FreeBSD和非傳統CPU架構(如MIPS、SPARC等)的LockBit勒索軟件的測試版本。

    除此之外,攻擊者在操作中使用的TTP將繼續發(fā)展,上述的驅動(dòng)程序濫用技術(shù)就是一個(gè)很好的例子。

    參考及來(lái)源:https://securelist.com/new-ransomware-trends-in-2023/109660/

     
     
    下條技術(shù):無(wú)
     
    合作伙伴
    微軟中國 | 聯(lián)想集團 | IBM | 蘋(píng)果電腦 | 浪潮集團 | 惠普中國 | 深信服 | 愛(ài)數軟件 | 華為
    六安市永辰科技有限公司 版權所有 © Copyright 2010-2021 All Rights 六安市淠望路103號 最佳瀏覽效果 IE8或以上瀏覽器
    訪(fǎng)問(wèn)量:2730574    皖I(lǐng)CP備11014188號-1
    zσzσzσ女人极品另类小说| 风韵丰满熟妇啪啪区老熟熟女| 人妻无码| 好吊视频一区二区三区| 波多野结衣网站| gogogo免费观看国语| 国产精品久久久久久久9999| 亚洲国产精华推荐单单品榜|