2023勒索软件年中报告

contents目录 P3概述P4TOP 勒索软件攻击统计P5TOP3 勒索软件攻击活动P72023 年上半年活跃勒索软件特点P8总结P8附录 概述 2022 年统计数据显示，勒索软件的攻击事件较之前年增长了 20% 以上，勒索软件已然成为网络安全领域当之无愧的头号威胁。放眼 2023 年上半年，勒索软件活动虽然有所减少，但其攻击却变得更加复杂并具有针对性。与此同时，包括 Revil、Conti 在内的知名勒索软件虽已逐渐退出舞台，但其源代码至今仍被许多新型勒索软件沿用并加以改进。勒索团伙不断推陈出新，勒索市场也愈发显现出百家争鸣的景象。尽管如此，2023 年上半年最为活跃的勒索软件依然是 Lockbit，其通过不断进行版本更新、完善运营机制，牢牢地占据着勒索软件市场的半壁江山。而后起之秀 BianLian 和 BlackCat 也不甘示弱，成功挤进了2023 上半年的排名前五。综合来说，上半年勒索软件的发展具有如下特点： 1. 勒索软件生态系统不断进行优化，运营体系更加完善，逐步向工业化发展； 2. 勒索软件攻击平台更加多样化，针对各类系统开发新版本，使其具有更广泛的适用性； 3. 附属公司活跃，积极参与 TTP 改进，采用多种方式进行渗入（如钓鱼攻击、漏洞利用等）； 4. 目标行业广泛，即使有小部分勒索软件有一定的政治倾向，但其目标仍以获取经济利益为主。 TOP 勒索软件攻击统计01 天际友盟双子座实验室追踪了 2023 年上半年活跃勒索软件组织的攻击活动，并根据勒索软件暗网数据泄露站点统计出了 TOP7 勒索软件的受害者数量（如图 1）。从图 1 可以看出，LockBit 以 806 名受害者数量遥遥领先于其它勒索组织，BlackCat 和 CL0P 紧随其后，2022 年新出现的勒索组织 BianLian 则在经历了去年年底的短暂寂静后再次发力，顺利跃居第四位。 根据上半年的活跃勒索软件攻击事件，我们统计了 10 个易受勒索攻击的目标国家，如图 2 所示： 可以看出，欧美地区尤其是美国是勒索组织的首选目标国家，这些国家的经济相对发达，拥有大量具有丰厚财务资源的大中型公司，因此成为了旨在获取经济利益的勒索团伙的优先攻击对象。 TOP3 勒索软件攻击活动02 2.1 LockBit 截止目前，LockBit 一方面是全球部署最为广泛的勒索软件组织和 RaaS 提供商。该组织可向个人或运营商团体（通常称为“附属公司”）出售其勒索软件及相关变体的访问权限，并支持附属公司部署勒索软件以换取预付款、订阅费、利润分成或三者的组合。Lockbit 还允许附属公司在向其发送分成之前从受害者收取赎金，这种做法使其得到快速发展和壮大。另一方面，LockBit 也是最为活跃的勒索软件之一，其上半年在暗网的数据泄露主页上发布了 806 名受害者，利用的软件版本包括 LockBit 2.0、LockBit 3.0、LockBit Green 和 LockBit Linux-ESXi Locker，其中 LockBit 3.0最为活跃，LockBit 2.0 紧随其后。 LockBit 通过创新技术、持续开发其控制面板和 RaaS 支持功能取得了巨大成功。与此同时，LockBit 的各个附属公司也在不断修改用于部署和执行勒索软件的 TTPs。2023 年 1 月，新变种 LockBit Green 被发现结合了来自Conti 勒索软件的源代码。2023 的 4 月，针对 macOS 的 LockBit 勒索软件加密程序在 VirusTotal 上出现。此外，LockBit 在攻击过程中还利用了很多漏洞，主要漏洞列表如下： LockBit 的主要攻击目标位于欧美国家，但在最近的半年活动中，也披露过针对亚洲国家的攻击活动。 • 活动一：LockBit 针对韩国个人传播恶意软件实行勒索 此次活动中，LockBit 使用 Office Open XML 的 docx 文件作为感染链源头，文件使用韩语编写。LockBit 将托 001 ⹗程鲱⟝䎃⚥䫣デ 管恶意模板文件 (.dotm) 的 URL 注入到 settings.xml.rels 文件中，使文档能够从远程服务器下载恶意 dotm 文件。受害主机一旦与远程服务器成功建立连接，就会下载并执行恶意模板文件。下载的模板文件包含混淆的 VBA 宏，攻击者使用这种技术来绕过检测机制，最终 VBA 脚本会通过 PowerShell 命令下载 LockBit 程序相关内容。 活动二：基于 LockBit3.0 勒索软件构建器的新加密器在国内传播 国内安全厂商近期发现，基于 2022 年 9 月泄露的 LockBit3.0 勒索软件构建器开发的新加密器正在国内传播，且该加密器只在原有的基础上修改了一些细节部分，如加密完成后仅修改扩展名、勒索信文件名及内容等。此外，本次勒索活动发现的样本使用 Salsa-20 算法加密文件，样本执行后，被加密的文件默认添加后缀名变化为“.xNimqxKZh”，赎金提示信息文件名则改为“xNimqxKZh.README.txt”。 2.2 BlackCat BlackCat（又名 AlphaVM、AlphaV 或 ALPHV）于 2021 年 11 月首次被观察到，是一个使用三重勒索策略的勒索软件即服务（RaaS）组织，其攻击目标遍布全球多个国家和组织。该组织的附属公司可以获取高达 90% 的赎金分成，因此迅速吸引了众多参与者，其攻击手段包括利用网络基础结构设备（如 VPN 网关）中的常见漏洞，以及通过 RDP协议尝试远程登录。成功入侵后会使用 PowerShell 修改整个受害者网络中的 Windows Defender 安全设置，并使用PsExec 在多个主机上启动勒索软件。除了使用常见的双重勒索策略外，如果勒索组织的赎金要求得不到满足，攻击者还会发动分布式拒绝服务 （DDoS） 攻击进行三重勒索。 2023 年上半年，BlackCat 在其暗网主页上披露了 213 名受害者，这些受害者分布在澳大利亚、巴哈马、法国、德国、意大利、荷兰、菲律宾、西班牙、英国和美国等国家，目标行业涉及商业服务、建筑、能源、金融、物流、制造、制药、零售和 IT 技术等行业。 2023 年 4 月，Mandiant 披露了 BlackCat 勒索组织的一个新的附属机构——UNC4466。该附属机构的目标是公开暴露的 Veritas Backup Exec 服务器备份软件，其易受 CVE-2021-27876、CVE-2021-27877、CVE-2021-27878的漏洞攻击，主要被攻击者用于获取初始访问权限。BlackCat 组织此前的初始入侵方法主要依靠所窃取的凭据，此次活动则表明其开始转向采用借助已知漏洞实施攻击的策略。 在 获 得 Veritas Backup Exec 服 务 器 的 访 问 权 限 后，UNC4466 会 使 用 IE 浏 览 器 从 其 网 站 下 载 Advanced IPScanner 工具。该工具能够扫描单个 IP 地址或 IP 地址范围以查找开放端口，并返回主机名、操作系统和硬件制造商信息。此外，UNC4466 还会利用 ADRecon 收集受害者环境中的网络、帐户和主机信息。最后，UNC4466 将使用后台智能传输服务 (BITS) 来下载其它恶意工具，包括 LAZAGNE、LIGOLO、WINSW、RCLONE，以及 BlackCat 勒索软件。 2.3 CL0P CL0P 于 2019 年以勒索软件即服务 (RaaS) 的运营形式首次出现，经常被黑客组织 ( 如 FIN11、TA505) 所使用，与大部分勒索组织一样，CL0P 旨在获取经济利益，并通过双重勒索策略实现这一目标。 CL0P 勒索软件通过多种方式传播，例如包含恶意附件或链接的钓鱼邮件、RDP 和漏洞利用工具包等。 一旦感染计算机，它就会立即开始加密文件并释放赎金票据。自 2023 年 1 月以来，CL0P 勒索软件全球受害者已达 144 名，其目标广泛，受影响行业包括 IT、医疗、专业服务和政府组织等，主要攻击国家为美国。 2023 上半年，CL0P 组织主要通过文件传输服务中的多个漏洞进行广泛攻击，其上半年活动如下： 2023 年 1 月下旬，CL0P 勒索组织利用零日漏洞（CVE-2023-0669）发起了一场针对 GoAnywhere MFT 平台的活动。 该组织声称从 GoAnywhere MFT 平台窃取了数据，这些数据在 10 天内影响了大约 130 名受害者。 从 2023 年 5 月 27 日开始，CL0P 勒索软件团伙开始利用 Progress Software 的托管文件传输（MFT）解决方案MOVEit 中的一个未知的 SQL 注入漏洞（CVE-2023-34362） 进行攻击。 目标的 MOVEit Transfer Web 应用程序感染了名为 LEMURLOOT 的 Web shell，该 shell 随后被用来从底层 MOVEit Transfer 数据库窃取数据。 2023 年 2 月，Sentinelone 观察到了 CL0P 第一个针对 Linux 系统的 CL0P 勒索软件的 ELF 变种。新变种与Windows 变种类似，使用相同的加密方法和类似的过程逻辑，但它包含一些小差异，主要归因于操作系统差异，例如 API 调用。此外，研究人员还在针对 Linux 系统的 ELF 变种中发现了一个有缺陷的勒索软件加密逻辑，它可以在不支付赎金的情况下解密锁定的文件。证明此变种还在开发完善过程中。 2023 年 6 月 27 日，CL0P 勒索软件团伙宣布攻击了西门子能源公司、施耐德电气等 5 个组织，引起了巨大震动，这也从侧面说明 CL0P 开始瞄准能源基础设施进行攻击。 下图为 6 月份攻击的 5 个具体组织的名称： 2023 年上半年活跃勒索软件特点03 2023 年上半年勒索软件产业依旧蓬勃发展，除了上述 TOP3 勒索软件以外，其它勒索软件也有着不俗的表现。期间，涌现出的各类新型勒索软件大多数还继承了一些源码泄露的知名勒索软件的特点，并且加入新功能进行完善提升。以下是我们从编程语言、攻击平台、加密算法、攻击手段等方面总结出上半年活跃的勒索软件的特点。 综上所述，2023 年上半年勒索软件特点如下： 1)编程语言上：编程语言趋向多样化，虽然使用 C、C++ 语言编写的软件依旧很多，但攻击者也已逐渐转向使用移植性更好、更为便捷的语言进行开发； 2)攻击平台上：绝大部分只针对 Windows 系统，一部分可针对双系统或 Linux 系统，还有专门针对其它系统或设备（如 VPN 等）开发的新版本； 3)攻击手段上：利用已知或 0day 漏洞、进程注入、DLL 侧加载等技术； 4)加密算法上：采用对称加密、非对称加密或两者相结合，对称加密算法采用 ChaCha20 居多，非对称通常采用 4096 位 RSA 密钥算法。 总结04 总体来说，2023 年上半年各勒索软件组织依旧表现活跃，TOP 勒索组织的运营也更加完善。从披露的受害者信息来看，各勒索软件的目标范围不断扩大，其中不乏有很多大型企业或公司，影响日益严重。除了臭名昭著的勒索软件家族，其它软件亦呈现百花齐放的姿态，可以预测，未来勒索攻击的门槛将不断降低。但随着竞争的逐渐激烈，能够留下来的勒索软件或组织必然会更加集中，优胜劣汰趋势会更加明显。对于企业或者公司而言，如何保护自身的重要资产不被加密或者窃取，除了拥有完善的预防措施，还必须具有主动防御的能力，否则等到“亡羊补牢”，为时晚矣！ 附录05 2023 年上半年主要勒索软件攻击事件汇总 参考链接 1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a2. https://