勒索软件生态系统在2023年将变得更加多元化
发布时间:2023-05-29 10:41:35 所属栏目:安全 来源:
导读:大型勒索软件团伙如 Conti和 REvil的衰落催生出更多的小规模勒索软件团伙,给网络安全带来更大威胁。
勒索软件生态系统在2022年发生了重大变化,网络攻击者从占主导地位的大型团体转向规模较小的勒索软件服务(Raa
勒索软件生态系统在2022年发生了重大变化,网络攻击者从占主导地位的大型团体转向规模较小的勒索软件服务(Raa
|
大型勒索软件团伙如 Conti和 REvil的衰落催生出更多的小规模勒索软件团伙,给网络安全带来更大威胁。 勒索软件生态系统在2022年发生了重大变化,网络攻击者从占主导地位的大型团体转向规模较小的勒索软件服务(RaaS)组织,以寻求更大的灵活性,减少执法部门的关注。勒索软件的民主化对企业来说是一个坏消息,因为它也带来了多样化的战术、技术和程序,需要跟踪更多的妥协指标(IOC),以及受害者在试图谈判或支付赎金时可能会遇到更多的障碍。 思科公司网络安全研究部门Talos团队的研究人员在他们发布的一份年度报告中表示:“我们很可能将安全形势加速变化追溯到2021年年中,当时针对Colonial Pipeline公司进行的DarkSide勒索软件攻击以及随后执法部门对REvil团伙的打击,导致几个勒索软件团伙衰落。而到现在,勒索软件领域似乎一如既往地充满活力,各种团体和组织都在适应政府执法部门的打击和越来越多的破坏性行为、内讧和内部威胁,以及激烈的行业竞争,勒索软件开发者和运营者不断转移他们的从属关系,以运营最有利可图的勒索软件业务。” 大型勒索软件团伙吸引了更多的注意力 自从2019年以来,勒索软件领域一直由专业化的大型勒索软件团伙主导,持续不断的勒索软件攻击成为了新闻头条,得到媒体的更多关注。人们甚至看到勒索软件团伙的发言人接受采访,或者在Twitter和他们的网站上发布新闻,以回应发生的重大泄露事件。 2021年,勒索软件团伙DarkSide攻击了Colonial Pipeline公司的燃油管道设施,导致美国东海岸的燃料供应严重中断,凸显了勒索软件攻击可能对关键基础设施造成的风险,并导致政府部门加大了打击这一威胁的力度。执法部门的高度关注使得网络犯罪论坛的所有者重新考虑他们与勒索软件团伙的关系,一些论坛禁止发布勒索软件攻击的广告。随后DarkSide很快停止攻击,同年晚些时候REvil也更改名Sodinokibi,其创建者被起诉,其中一名创始人被捕。REvil是自从2019年以来最成功的勒索软件团伙之一。 俄乌在2022年2月爆发冲突,很快使许多勒索软件团伙之间的关系趋于紧张,这些团伙在俄罗斯和乌克兰以及前苏联国家都有成员和分支机构。一些勒索软件团伙(例如Conti)急于站队,威胁攻击支持俄罗斯的一些国家的基础设施。这背离了勒索软件团伙通常采取的不涉及政治的做法,这种做法招致了其他勒索软件团伙的批评。 在此之后,勒索软件团伙Conti内部信息泄露也暴露了许多运营机密,并引起了团伙成员的不安。在一次针对哥斯达黎加政府的重大袭击之后,美国国务院悬赏1000万美元,以获取有关Conti团伙领导者身份或位置的信息,这导致该团伙在今年5月决定解散。 Conti团伙的衰落导致勒索软件攻击数量下降了几个月,但这并没有持续太久,因为这一空白很快被其他勒索软件团伙填补,其中一些是新成立的团伙,而这些团伙让人怀疑是Conti、REvil和其他在过去两年停止运营勒索软件团伙的成员所创建的。 2023年最活跃的勒索软件团伙 (1)LockBit目前处于领先地位 LockBit是在Conti团伙解散之后加强运营的主要勒索软件团伙,该团伙通过修改其勒索软件应用程序并推出新版本进行攻击。尽管该团伙自从2019年以来一直在进行攻击, 但直到不久前推出自主开发的LockBit 3.0,该勒索软件团伙才得以设法在新一代勒索软件威胁领域持续不断地占据领先地位。 根据多家安全机构发布的调查报告,LockBit 3.0在2022年第三季度勒索软件攻击事件中攻击次数最多,并且是数据泄露网站上列出的2022年受害者人数最多的勒索软件团伙。人们可能会在2023年看到其衍生产品,因为LockBit代码被一位心怀不满的开发者泄露,现在任何人都可以构建定制版本的勒索软件程序。思科Talos团队表示,一个名为Bl00dy Gang的勒索软件团伙已经开始在勒索软件攻击中使用泄露的LockBit 3.0生成器。 (2)BlackBasta是Conti的衍生产品 根据思科Talos的观察,2022年第三大勒索软件团伙是Black Basta,该团伙被怀疑是Conti的子公司,在技术上有一些相似之处。Black Basta于今年4月开始运营,不久之后Conti团伙就宣布解散,并迅速开发了自己的工具集。该团伙依靠Qbot木马进行传播,并利用Print Nightmare漏洞进行攻击。 从2022年6月开始,该团伙还为Linux系统推出了一种文件加密器,主要针对VMware ESXi虚拟机进行攻击。这种跨平台扩展也出现在其他勒索软件团伙中,如LockBit和Hive,它们都有Linux加密器,或者是用Rust编写的勒索软件,如ALPHV(BlackCat),这允许它在多个操作系统上运行。Golang是另一种跨平台编程语言和运行时,也被一些规模较小的勒索软件团伙采用,例如HelloKitty(FiveHands)。 (3)Royal发展势头强劲 今年早些时候出现的另一个被怀疑与Conti有联系的勒索软件团伙的名称为Royal。虽然该团伙最初使用了来自其他团伙(包括BlackCat和Zeon)的勒索软件程序,但该团伙开发了自己的文件加密程序,似乎是受到Conti的启发或是采用Conti的程序,并得以迅速发展,在2022年11月攻击的受害者数量超过了LockBit。按照这个发展速度,Royal预计将成为2023年最大的勒索软件威胁之一。 (4)Vice Society以教育部门为目标 Royal并不是唯一一个通过重新利用他人开发的勒索软件程序而获得成功的勒索软件团伙。根据思科Talos在网站上列出的受害者数量,Vice Society勒索软件攻击名列第四。该团伙主要针对教育部门进行攻击,并依赖于现有勒索软件家族的分支,例如HelloKitty和Zeppelin。该公司声称,他们的目标是通过向受害者支付赎金来解锁他们的计算机。 (编辑:聊城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
