2023年最危险的勒索软件五大家族
2022年勒索软件生态系统发生了重大变化,从少数大型勒索组织主导转向碎片化的勒索软件即服务(RaaS)运营模式,以寻求更大的灵活性并减少执法部门的关注。勒索软件的这种“民主化”对企业来说是个坏消息,因为这意味着勒索软件策略、技术和程序(TTP)的多样化,企业需要跟踪更多的危害指标(IOC),在尝试谈判或支付赎金时也面临更多障碍。
思科Talos团队的研究人员在其年度报告中指出:“勒索软件生态的碎片化趋势至少可以追溯到2021年中期,执法部门突袭并瓦解了风头正劲的勒索软件组织REvil和攻击殖民地管道的DarkSide。”
2022,诸魔的黄昏
自2019年以来,勒索软件生态一直由大型专业化勒索软件组织主导,这些组织频频登上媒体的新闻头条,甚至主动寻求媒体关注向受害者施压。有些勒索软件组织还有自己的市场营销部门和“新闻发言人”,接受记者采访或在Twitter上发布“新闻稿”,他们还有自己的“官方”数据泄露网站用以披露重大数据泄露事件并威胁受害者。
2021年DarkSide针对殖民地管道的攻击导致美国东海岸发生重大燃料供应中断,表明勒索软件攻击已经成为关键基础设施的重大风险,并促使各国政府加大打击力度,地下网络犯罪论坛纷纷与勒索软件组织撇清关系,一些论坛甚至禁止宣传此类威胁。此后不久,DarkSide迫于压力停止运营,并于当年晚些时候由REvil(也称为Sodinokibi)接替,后者是2019年以来最成功的勒索软件组织之一。但REvil的开发者也被起诉,其中一人甚至被捕。
2022年2月爆发的俄乌战争也对勒索软件生态系统产生了重大影响。许多在俄罗斯、乌克兰或其他前苏联国家拥有成员和附属机构的勒索软件组织之间的关系开始变得紧张。Conti等勒索软件组织急于在战争中站队,威胁要攻击西方基础设施以支持俄罗斯。这与勒索软件组织一贯秉持的“闷声发财,不问政事”的行规背道而驰,招来其他勒索软件组织的猛烈抨击。
随后不久,Conti内部通信信息泄露,暴露了Conti的大量运营机密,并引起了其众多加盟组织的不安。在哥斯达黎加政府遭到重大袭击后,美国国务院悬赏1000万美元,以获取Conti领导人的身份或位置信息,这导致该组织决定在5月关闭业务。
Conti的“失联”导致全球重大勒索软件攻击活动在随后的数月内下降,但这种情况并没有持续多久,因为Conti的空白很快就被其他新成立的勒索软件组织填补了,业界怀疑这些改头换面的新组织是Conti、REvil和其他过去两年休眠的勒索软件组织的前成员创办的。
2023,“五大家族”值得关注
虽然勒索软件即服务(RaaS)的“民主化”和碎片化趋势已经不可逆转,但是在勒索软件去中心化的背后,一些最危险的勒索软件组织依然是关键目标和重大数据泄露事件的幕后黑手,以下是2023年值得关注的勒索软件“五大家族”:
LockBit:一马当先
LockBit是在Conti关闭后通过改进Conti的联盟计划以及软件版本来加强其运营的主要勒索软件组织。尽管LockBit自2019年以来一直在运行,但直到LockBit3.0,该组织才成为勒索软件生态的领头羊。
根据多家安全公司的报告,LockBit3.0是2022年第三季度勒索软件事件中使用数量最多的勒索软件,其数据泄露网站全年公布的受害者数量也最多。2023年LockBit很可能会衍生出新的版本,因为此前LockBit的开发工具被一位心怀不满的前开发人员泄露了。现在,任何人都可用泄露的LockBit开发工具开发自己的勒索软件版本。根据Talos的报告,一个名为Bl00dy Gang的新勒索软件组织已经在最近的攻击中开始使用泄露的LockBit3.0开发工具。
Hive:勒索超过1亿美元
根据Talos的数据,在LockBit之后,2022年受害者数量排名第二的勒索软件组织是Hive。后者是2022年Talos事件响应团队监测到的主要勒索软件,在Palo Alto Networks的事件响应案例列表中排名第三,仅次于Conti和LockBit。根据美国联邦调查局、网络安全和基础设施安全局(CISA)和美国卫生与公众服务部(HHS)的联合调查,Hive在2021年6月至2022年11月期间从全球1300多家公司勒索了超过1亿美元。
根据调查,对于没有支付赎金的企业,Hive组织会尝试用Hive勒索软件或其他勒索软件变种重新感染其网络。
Black Basta:Conti的变种
2022年第三多产的勒索软件团伙是Black Basta,该组织被怀疑是Conti的衍生组织,技术方面有一些相似之处。Black Basta于2022年4月开始运营,就在Conti关闭前不久,并迅速开发了自己的工具集。该组织依托Qbot木马进行分发,并会利用PrintNightmare漏洞。
从六月开始,Black Basta还推出了用于Linux系统的文件加密器,主要针对VMware ESXi虚拟机。这种跨平台扩展趋势也出现在其他勒索软件组织中,如LockBit和Hive,两者都开始提供Linux加密器,或者用Rust编写的ALPHV(BlackCat)等勒索软件,支持在多个操作系统上运行。Golang是另一种得到勒索软件组织青睐的跨平台编程语言,被一些小型勒索软件团伙采用,例如HelloKitty(FiveHands)。
Royal:势头强劲
2022年诞生的另一个可能与Conti有关联的勒索组织是Royal。虽然它最初使用来自其他组织(包括BlackCat和Zeon)的勒索软件程序,但该组织开发了自己的文件加密器,该加密器似乎是受Conti启发或基于Conti,发展迅猛,在11月的受害者人数上领先于LockBit。按照这个速度,Royal预计将成为2023年最大的勒索软件威胁之一。
Vice Society:主要针对教育行业
Royal并不是唯一一个通过重用第三方勒索软件取得成功的勒索软件组织。根据Talos的数据泄露网站受害者数量统计报告,一个名为Vice Society的组织已经成长为第四大勒索软件组织。该组织主要针对教育行业,攻击时使用的是第三方勒索软件程序(如HelloKitty和Zeppelin)的衍生版本。
总结:2023年勒索软件给威胁情报带来新挑战
“勒索软件垄断格局的终结给威胁情报分析师带来了挑战,”思科Talos研究人员表示:“Talos主动监控的数据泄露站点披露事件数量的75%来自至少八个勒索软件组织。新组织的涌现使溯源变得困难,因为对手可能会在多个RaaS平台间穿梭。”
此外,LockBit等一些勒索软件组织已经开始积极尝试其他“不加密”勒索方法,例如DDoS攻击,以迫使受害者支付赎金。这种趋势可能会在2023年继续下去。勒索软件组织还可能会采用其他新的勒索策略,例如在部署最终勒索软件有效载荷之前,就预先将攻击货币化。