1月31日,微软透露其安全团队Redmond正在跟踪 100 多个在攻击期间部署勒索软件的攻击者,总共监控到 50 多个在去年被频繁使用的勒索软件系列。
微软例举了一些最突出的勒索软件有效负载,包括Lockbit Black、BlackCat(又名 ALPHV)、Play、Vice Society、Black Basta 和 Royal。但微软表示“防御策略应该更少地关注有效负载,而更多地关注导致其部署的活动链”,因为勒索软件仍在针对那些不常见漏洞或最近正需要修补漏洞的设备进行攻击。
攻击策略
虽然一直有新的勒索软件系列出现,但大多攻击者在破坏网络和通过网络传播时都使用相同的策略,对此类行为进行检测将有助于阻止他们的攻击。
微软也提到,攻击者越来越依赖网络钓鱼以外的策略来进行攻击,比如利用 Exchange Server 的DEV-0671 和 DEV-0882漏洞部署 Cuba 和 Play 勒索软件。就在不久前,Exchange 团队敦促客户通过应用最新支持的累积更新 (CU) 来为本地 Exchange 服务器打补丁,让他们随时准备部署紧急安全更新。据报道,超过 60000 台暴露在 Internet 上的 Exchange 服务器容易受到利用ProxyNotShell RCE 漏洞的攻击。与此同时, 也有数千台服务器正受到利用ProxyShell 和 ProxyLogon 漏洞攻击的风险,这是2021年最常被利用的两个安全漏洞。
其他攻击者也正在转向或使用恶意广告来提供恶意软件加载器和下载器,以传播勒索软件和各种其他恶意软件变种,如信息窃取程序。例如,一个被追踪为 DEV-0569 的攻击者被认为是勒索软件团伙的初始访问代理,在广告活动中滥用 Google Ads来分发恶意软件,从受感染的设备中窃取密码,并最终获得对企业网络的访问权限,并将权限出售给其他攻击者,如Royal 勒索软件组织。
近期活动趋势
在具体的勒索软件活动趋势中,2022年的一起标志性事件是Conti勒索软件组织在执法行动的压力下迎来终结,但基于勒索软件即服务 (Raas) 的勒索行为正在兴起,包括LockBit、Hive、Cuba、BlackCat 和 Ragnar在内的勒索软件组织在去年频繁作案。
尽管如此, 根据区块链分析公司 Chainalysis 的数据,勒索软件组织去年的勒索收入大幅下降了 40% 左右,为4.568 亿美元,而前年的收入达到了创纪录的 7.65 亿美元。但这种下降趋势并不是因为攻击次数减少,而是因为越来越多的受害者开始拒绝支付勒索赎金。
最近,在美国司法部、联邦调查局、特勤局和欧洲刑警组织的国际执法行动的打击下,Hive 勒索软件数据泄露和 Tor 支付暗网被查封,FBI向受害者分发了 1300 多个解密密钥,并获得了对 Hive 通信记录、恶意软件文件哈希值和 250 个 Hive 分支机构详细信息的访问权限,美国国务院也悬赏1000万美元,寻求 Hive 勒索软件组织或其他攻击者与外国政府存在联系的线索。
某种程度上说,在打击勒索软件领域,2023年似乎迎来了开门红。
参考来源:Microsoft: Over 100 threat actors deploy ransomware in attacks