勒索软件在2023年经历了巨大的变化和挑战。这一年,勒索软件泄密网站报告的受害者增加了49%,各勒索软件组织共发布了3.998个帖子。是什么推动了这一活动的激增?2023年出现了一些备受关注的漏洞,例如MOVEit和GoAnywhere MFT服务的SQL注入等。针对这些漏洞的零日漏洞攻击使得CL0P、LockBit和ALPHV(BlackCat)等组织在防御者更新漏洞软件之前感染的勒索软件数量激增。
通过对勒索软件泄密网站(有时也被称为专门泄密网站,缩写为DLS)的数据进行分析,派拓网络发布了报告《2024年勒索软件回顾:Unit 42泄密网站分析》。
泄密网站和派拓网络的数据集
勒索软件泄密网站首次出现于2019年,当时的Maze勒索软件已开始采取双重勒索手段。Maze勒索软件会在加密受害者文件之前先窃取其文件,它是第一个通过建立泄密网站来胁迫受害者并发布被盗数据的已知勒索软件组织。这些攻击者胁迫受害者付款,不然就解密他们的文件并公开他们的敏感数据。自2019年以来,勒索软件组织越来越多地在行动中采用泄密网站。
派拓网络对这些通常可通过暗网访问的网站数据进行监控,并通过研究这些数据确定趋势。由于泄密网站在大多数勒索软件组织中已司空见惯,因此研究人员经常使用这些数据来确定勒索软件活动的总体水平和判断某个勒索软件组织首次活跃的日期。
派拓网络编制的数据集显示了2023年勒索软件组织的演变以及受影响的行业和攻击的地理分布。更重要的是,勒索软件的活动量反映了针对关键漏洞的零日漏洞攻击所产生的大规模影响。
关键漏洞
派拓网络在2023年观察到勒索软件泄密网站发布了3.998个帖子,较2022年的2.679个帖子增长了约49%。活动增加的原因可能是针对关键漏洞的零日漏洞攻击,例如针对GoAnywhere MFT的CVE-2023-0669或针对MOVEit Transfer SQL Injection的CVE-2023-34362、CVE-2023-35036和CVE-2023-35708等。
CL0P声称对MOVEit传输漏洞攻击负责。2023年6月,美国网络安全和基础设施局(CISA)估计,因使用CL0P勒索软件而出名的TA505组织在全球共入侵了约8.000名受害者。这些攻击的规模迫使易受攻击的企业必须缩短反应时间,才能有效应对这一威胁。但由于被入侵网站的数据数量庞大,这也迫使该勒索软件组织作出调整。CL0P并不是唯一一个利用关键漏洞的组织。LockBit、Medusa、ALPHV(BlackCat)等勒索软件组织通过对Citrix Bleed漏洞CVE-2023-4966发起零日漏洞攻击,在2023年11月期间进行了多次入侵。
在逐月查看勒索软件泄密网站在2023年报告的入侵次数时,派拓网络发现某些月份的入侵次数有所增加。这些增长与勒索软件组织开始利用特定漏洞的日期大致吻合。但并非所有勒索软件攻击者都具备利用零日漏洞的能力。有些勒索软件组织由缺乏经验的攻击者组成,他们会利用一切可以利用的手段。然而无论经验是否丰富,攻击者名单在不断变化的威胁环境中一直在更替,2023年就新出现了一些勒索软件组织。
2023
鉴于近年来受害者支付的高额赎金,勒索软件已成为网络犯罪分子垂涎欲滴的收入来源。这些犯罪分子会组建起新的勒索软件组织,只不过并非每次行动都能成功或持续。新的勒索软件组织必须考虑其他恶意软件所没有的问题,比如与受害者沟通和提高行动安全性等。勒索软件行动的公开性增加了其被执法机构、安全厂商和其他防御者发现的风险。勒索软件组织还必须考虑其竞争对手。在竞争激烈的勒索软件犯罪市场中,利润分配、软件功能和成员支持会极大地影响一个新组织在该市场的地位。
尽管存在这些挑战,但数据显示2023年仍出现了25个新的泄密网站。这些组织至少已推出一个勒索软件即服务(RaaS)产品,并希望成为勒索软件市场中的有力竞争者。值得注意的是,这些网站中至少有三个是在2022年的某个时候开始活跃的。但派拓网络在分析中将这些勒索软件组织作为新组织的原因有二:第一,即使有分析表明这些勒索软件组织在2022年某个时候已开始运作,但它们都是在2023年才被首次公开报道。第二,要想在当今的勒索软件犯罪市场中崭露头角,泄密网站必不可少。据报道,有三个始于2022年的勒索软件组织在2023年新建立了泄密网站,分别是:8Base、Cloak、Trigona。
泄密网站数据所反映的新组织数量揭示了勒索软件犯罪市场的竞争激烈程度。在2023年新建立泄密网站的25个组织中,至少有5个在2023年下半年没有发布新的帖子,这表明这些组织可能已经关闭。然而,不在泄密网站上发帖并不一定意味着这些组织已经停止运作。这些组织的犯罪分子可能已经转移到其他类型的行动中、从公众视野中消失或与其他勒索软件组织合并。如果其中一些组织没有持续到一年,新的威胁行为者就会填补空缺。2023年下半年就有12个新的泄密网站发布了帖子,表明这些组织可能在这一年的下半年开始活动。
这25个新泄密网站占2023年勒索软件发帖总数的约25%。在这些新组织中,Akira的发帖数居于首位。Akira于2023年3月首次被发现并被描述成一个快速发展的勒索软件组织。研究人员通过与Conti领导团队相关的加密货币交易将该组织与Conti联系起来。2023年泄密网站发帖数排名第二的是8Base勒索软件。8Base是自2022年以来活跃的勒索软件组织之一,但该组织在2023年5月才开始公布受害者。
2023
通过分析泄密网站数据,可以深入了解勒索软件的威胁程度。派拓网络查看了2023年3.998个泄密网站帖子,这些数据揭示了最活跃的组织、受影响最严重的行业以及全球受勒索软件攻击最严重的地区。
组织分布
在2023年的3.998个泄密网站帖子中,LockBit勒索软件仍然最为活跃,有928个组织,占到总数的23%。LockBit自2019年开始活动以来几乎没有中断,已连续两年成为最猖獗的勒索软件组织。随着Conti、Hive、Ragnar Locker等组织的倒台,LockBit已成为许多攻击者首选的勒索软件,这些攻击者随后成为该组织的成员。LockBit发布了多个可影响Linux和Windows操作系统的变体。通过改变免费软件工具的用途和利用LockBit的快速加密功能,成员可以根据自己的需要定制勒索软件行动。
泄密帖子数量排在第二位的是ALPHV(BlackCat)勒索软件,约占2023年泄密网站帖子总数的9.7%。第三名是CL0P勒索软件,约占2023年帖子总数的9.1%。CL0P因对Progress Software的 MOVEit和Fortra的GoAnywhere MFT等关键漏洞发起零日漏洞攻击而出名。但CL0P在该组织泄密网站上报告的企业数量可能无法准确反映这些漏洞的全部影响。例如,CL0P的泄密网站数据显示,它在这一年中入侵了364家企业,但一份分析CL0P在2023年利用MOVEit漏洞的报告指出,有2.730家企业受到了影响。我们经常发现泄密网站数据与实际影响之间存在差异,这个典型的例子正好反映了这一点。
月平均值和周平均值
派拓网络共查看了3.998个勒索软件帖子,这意味着勒索软件组织在2023年平均每月产生333个帖子,相当于平均每周发布近77个帖子。2023年的数据显示勒索软件活动较2022年有所增长。
2022年的泄密网站帖子数量为2.679.平均每月223个,每周52个。2023年勒索软件泄密网站的帖子数量较前一年增加了49%。
2023年泄密网站报告数量最多的月份是7月,共有495个帖子。CL0P可能由于大规模利用MOVEit漏洞,而成为当月发布帖子最多的勒索软件。泄密网站的帖子数量显示,2023年1月和2月是勒索软件最不活跃的月份。
受影响的行业
有些勒索软件组织可能会以特定国家或行业为重点目标,但大多数勒索软件组织都是以盈利为主要目的投机主义者。因此,许多勒索软件组织会攻击多个行业的企业。2023年泄密网站帖子分布情况显示,制造业受勒索软件的影响最大,占到帖子总数的14%。这是由于制造商对其运营技术(OT)系统的可见性通常有限,往往对网络缺乏足够的监控并且有时未能落实最佳安全实践。
地区影响
泄密网站数据显示,2023年大多数受害者都位于美国,占帖子总数的47.6%;其次是英国,占6.5%;加拿大占4.6%;德国占4%。
自2019年泄密网站首次出现以来,美国的企业一直是勒索软件的首要目标。福布斯全球2000强企业榜单根据销售额、利润、资产和市值对全球各大企业进行排名。2023年,美国有610家上榜企业,占福布斯全球2000强企业的近31%。这等于在告诉勒索软件组织,该国是富裕目标的集中地。
虽然勒索软件组织倾向于以美国等富裕地区为目标,但这一威胁仍是一个普遍的全球性问题。2023年泄密网站数据显示,受害者至少覆盖全球120个国家。
总结
从勒索软件泄密网站帖子数量可以看出,2023年勒索软件呈现日益猖獗的发展态势,勒索软件活动明显增加,并显示了新出现的勒索软件组织。
CL0P等勒索软件组织纷纷针对新发现的关键漏洞发起零日漏洞攻击,这让潜在受害者不知所措。虽然勒索软件泄密网站数据可以为了解威胁状况提供宝贵的洞察,但这些数据可能无法准确反映漏洞的全部影响。企业不仅要对已知漏洞保持警惕,还需要制定能够快速应对和缓解零日漏洞攻击影响的策略。
保护和缓解措施
派拓网络的客户可通过我们内置云端安全服务(包括Advanced WildFire、DNS Security、Advanced Threat Prevention和Advanced URL Filtering)的下一代防火墙更好地防范勒索软件威胁。
Cortex Xpanse可检测易受攻击的服务。Cortex XDR和XSIAM客户开箱即可获得针对2023年所有已知主动勒索软件攻击的保护,无需在系统中添加其他保护措施。Anti-Ransomware Module帮助防范加密行为,本地分析帮助阻止勒索软件二进制文件的执行,Behavioral Threat Protection帮助预防勒索软件活动。Prisma Cloud Defender Agents可监视Windows虚拟机实例中是否存在已知的恶意软件。
本文参考来源:https://unit42.paloaltonetworks.com/unit-42-ransomware-leak-site-data-analysis/