2023年第一季度,专业服务领域成为勒索软件攻击的主要目标,目标数量环比增长57%。勒索软件占案件总数的30%,电子邮件泄露占26%,与2022年同期保持一致。Kroll观察到勒索软件变种数量增加56%,其中LOCKBIT等知名RaaS(勒索即服务)团伙仍占主导,但XORIST等非RaaS团伙的独立攻击活动也显著增多,显示威胁行为者群体呈现碎片化特征。
关键数据:
- 专业服务领域目标数量增长57%
- 勒索软件案件占比30%
- 电子邮件泄露案件占比26%
- 勒索软件变种数量增长56%
- 钓鱼攻击仍是主要初始访问方法(25%)
- 有效账户和外部远程服务是主要入侵途径(37.5%)
主要趋势:
- 勒索软件集团分裂:独立攻击者增多,如XORIST变种活跃,显示RaaS之外的加密活动增加。
- 行业针对性:专业服务领域(尤其是律师事务所)受攻击最严重,其次是制造和技术/电信行业。
- 攻击方法:
- 钓鱼攻击持续主导(30%),其中OneNote附件和PDF诱饵使用增多。
- QAKBOT被用于安装Cobalt Strike,缩短潜伏时间至1-2天。
- 黑客巴斯塔(BlackBasta)结合QAKBOT进行数据窃取和勒索。
- 恶意软件工具:
- SLIVER(跨平台仿真框架)使用增加。
- GOOTLOADER通过SEO中毒攻击法律专业人士。
- Rclone被用于数据同步和勒索软件部署。
研究结论:
- 威胁行为者持续适应环境,独立攻击者威胁加剧。
- 数据窃取与勒索结合成为新趋势,需加强检测。
- 零日漏洞(如GoAnywhere MFT)被频繁利用。
- 防范建议:
- 监控Rclone部署和数据外泄迹象。
- 阻止常见文件共享站点(如MEGA)访问。
- 加强网络分割和终端检测。
- 持续审查安全策略,应对动态威胁环境。
