Group-IB发布了“Ransomware Uncovered 2021/2022”,这份报告的调查结果表明,勒索软件组织们发起的攻击仍屡屡得手,2021年的平均赎金需求增长了45%,达到24.7万美元。自2020年以来,勒索软件攻击组织变得更加贪婪,其中Hive向MediaMarkt索要的赎金金额达到了创纪录的2.4亿美元(2020年为3000万美元)。
这份新报告评估了Group-IB数字取证和事件响应(DFIR)团队在所有地理位置观察到的勒索软件攻击者的新战术、技术和程序(TTP,Tactics、Techniques and Procedures)。
在过去的三年中,人为勒索软件攻击在全球网络威胁领域内仍保持稳固的领先地位,初始访问代理(IAB,Initial access brokers)的兴起和勒索软件即服务(RaaS)的扩张已经成为勒索软件业务持续增长的两个主要驱动力,其中RaaS可以令技术水平偏低的攻击者都可以成为发起勒索攻击的一份子,在某种程度上看,这也是受害者数量大幅增长的原因之一。
根据对2021年700多起攻击事件的分析,专家估计2021年的赎金要求平均为24.7万美元,比2020年高出45%。从受害者的宕机时间(从2020年的18天增加到2021年的22天)可以明显看出,勒索软件的演化也越来越复杂。
该报告阐述道,RaaS计划除了提供勒索软件之外,还提供用于窃取数据的定制工具,因此,双重勒索变得更加普遍——仅就调查数据显示,有高达63%的案例显示受害者的敏感数据被窃取,并成为攻击者进一步索取高额赎金的筹码。在2021年一季度和2022年一季度之间,勒索软件团伙在数据泄露网站(DLS)上发布了超过3500名受害者的数据。
2021年勒索软件组织在DLS上发布的数据中,大多数是位于美国(1,655家)、加拿大(176家)和英国(168家)的企业,而大多数受影响的组织普遍为制造业(322家)、房地产业(305家)和专业服务业(256家)。
Lockbit、Conti和Pysa是最具攻击性的组织,他们分别将670、640和186名受害者的数据上传到DLS上。Hive和Grief (前身为DoppelPaymer)迅速跻身前十大勒索软件攻击组织,这一点在DLS上发布的受害者数量中占了很大比例。
在2021年,利用面向公众的RDP服务器再次成为在目标网络中获得初步立足点的最常见方式——所有攻击中,47%始于外部远程服务,携带恶意软件的鱼叉式钓鱼电子邮件位居第二(26%)。
在初始阶段部署的商用恶意软件在勒索软件攻击者群体中越来越受欢迎,然而在2021年,勒索软件攻击的归因变得越来越复杂,因为许多Bot,如Emotet, Qakbot和IcedID被各种攻击者使用,这一点不同于2020年,某些恶意软件家族与特定的勒索软件团伙有很强的联系。例如,IcedID被用于获得各种勒索软件附属组织的初始访问权,包括Egregor、 REvil、 Conti、 XingLocker、RansomExx。
一般来说,许多勒索软件分支组织在攻击生命周期中依赖于现有的技术和合法工具。然而,有人发现一些勒索软件组织试图采取非常规的方法:Revil附属组织利用0day漏洞攻击Kaseya的客户;Ryuk在攻击行动中使用的BazarLoader是通过Vish(语音网络钓鱼)分发的——在钓鱼电子邮件包含有关“付费订阅”的信息,据称这些信息可以通过电话取消。在通话中,攻击者将受害者引诱到一个虚假网站,并诱导其下载并打开一个可以下载并运行BazarLoader的文件以实现后续的攻击行为。
Group-IB DFIR团队负责人表示:“由于执法行动迫使多个TTP重新命名,以及由于附属组织不断从一个RaaS计划迁移到另一个计划而导致的TTP合并,安全专业人员跟踪勒索软件攻击者不断演变的策略和工具正变得越来越具挑战性。”