勒索軟件的全球攻擊趨勢分析（一）

作者：gejigeji 2021-05-19 10:13:17

隨著WannaCry和NotPetya的爆發，勒索軟件開始成為主流攻擊趨勢。

卡巴斯基多年來一直在關注勒索軟件的發展趨勢，過去，研究人員已經陸續發布了有關該主題的多份年度報告：2014-2016年的PC勒索軟件分析，2016-2017年的勒索軟件分析以及2016-2018年的勒索軟件分析和惡意加密礦工分析。隨著WannaCry和NotPetya的爆發，勒索軟件開始成為主流攻擊趨勢。到2019年，勒索軟件攻擊就開始引領攻擊趨勢了。但是，從2018年開始，研究人員開始注意到其他事情：勒索軟件檢測總數的統計數字急劇下降。發生了什么事?難道勒索軟件已經脫離主流攻擊隊伍了?

對于在信息安全社區中關注該新聞的任何人來說，這似乎都是不可能的。在2019年和2020年，勒索軟件攻擊的活動經常會成為頭條新聞，從Maze攻擊LG，到臭名昭著的APT組織Lazarus將勒索軟件添加到其武庫中。安全公司Emsisoft的數據顯示，2020年，僅在美國，就有2300多家政府機構、醫療機構和學校遭到勒索。

事實上勒索軟件尚未有攻擊趨勢減弱的趨勢，只是攻擊方式發生了變化。以前那種泛泛的勒索軟件活動已被針對性強的破壞性攻擊所取代，這些攻擊通常針對大型組織。此外，攻擊者似乎更專注于竊取數據并對其進行加密，即竊取機密信息，并攻擊如果受害者拒絕付款，則將其隱私信息公開。所有這些目的都是為了發動更多回報價值更多地攻擊。

在這份報告中，研究人員將了解勒索軟件攻擊在2019年至2020年背后的數字，以及這些數字的含義以及對勒索軟件未來的預測。

重要發現

2020年，在其設備上遇到勒索軟件的唯一用戶數量為1,091,454，比2019年的1,537,465有所下降。

在2019年，以勒索軟件為目標的用戶在遇到惡意軟件的用戶總數中的比例為3.31%;到2020年，這一數字略有下降，降至2.67%。

勒索軟件檢測在惡意軟件檢測總數中的份額在2019年為1.49%，在2020年為1.08%。

在2019年和2020年，WannaCry是Windows系統上最常遇到的加密勒索軟件家族。

2019年，在其手機設備上遇到勒索軟件的唯一用戶數量為72258。到2020年，這一數字下降到33502。

然而，在受到惡意軟件攻擊的用戶總數中，在其手機設備上遇到勒索軟件的唯一用戶比例在2019年至2020年期間保持穩定，為0.56%。從2019年到2020年，受目標勒索軟件家族影響的獨立用戶數量增加了767%。

到目前為止，有針對性的勒索軟件攻擊所占份額最大的行業是工程和制造業，占25.63%。該報告是依據卡巴斯基安全網絡(KSN)處理的非個性化數據編寫的。

本報告參考了兩個主要指標。唯一用戶是指在給定時間段內至少遇到過一次勒索軟件的，啟用了KSN功能的卡巴斯基產品的不同用戶數量。第二個是檢測，這是在指定時期內被卡巴斯基產品阻止的勒索軟件攻擊的數量。

該報告還包括卡巴斯基專家對攻擊趨勢的研究。

卡巴斯基產品可檢測各種類型的勒索軟件。其中包括加密勒索軟件(對文件進行加密的惡意軟件)，screen locker，browser locker和boot locker。除非另有說明，否則統計信息是指任何類型的勒索軟件。

具有跨平臺攻擊屬性的勒索軟件

正如卡巴斯基先前指出的那樣，自2017年以來，勒索軟件檢測的總數一直在穩步下降。這一趨勢一直持續到2019年和2020年。

2019年，在所有平臺上遭遇勒索軟件的獨立用戶總數為1537465人。到2020年，這一數字下降到1091454，下降了29%。

2019 - 2020年，在他們的設備上遇到勒索軟件的唯一KSN用戶數量的比較

事實上，在2020年的每個月，在所有設備上遇到勒索軟件的獨立用戶數量都低于前一年同月觀察到的數量。在這兩年中，遭遇勒索軟件的用戶數量相對穩定，2020年在10萬至17萬之間徘徊，2019年在15萬至19萬之間徘徊，除了2019年7月出現明顯的激增。這是由于兩個勒索軟件家族的增加。第一個是“Bluff”，它是一個 browser locker，這意味著受害者將面臨一個他們無法退出的虛假標簽，如果不支付一定數額的錢，就會有可怕的后果。另一個是加密勒索軟件Rakhni，首次出現于2013年，主要通過帶有惡意附件的垃圾郵件傳播。

在所有設備上遭遇任何類型惡意軟件的用戶中，遭遇勒索軟件的用戶占比也有所下降，從2019年的3.31%下降到2020年的2.67%。然而，勒索軟件在惡意軟件檢測總數中所占的份額保持相對穩定，從2019年到2020年僅略有下降，從1.49%下降到1.08%。

最活躍的加密勒索軟件家族

截至目前WannaCry仍然是最活躍的加密勒索軟件家族，迄今為止，WannaCry是有史以來最大的勒索軟件感染，在150個國家/地區造成的損失總計至少40億美元。在2019年，21.85%的遇到加密勒索軟件的用戶都遇到過WannaCry。

2019年排名前5位的加密勒索軟件家族

其他活躍的家族包括2019年活躍的勒索軟件家族GandCrab，該家族使用的是RaaS模式、STOP/DJVU和PolyRansom/VirLock。首次出現在2014年的“陰影”(Shade)是一種被廣泛使用的加密軟件，在2019年仍然是最活躍的勒索軟件家族之一，但多年來其活動一直在下降。事實上，在2020年，卡巴斯基發布了所有“Shade”病毒的解密程序——它不再是卡巴斯基產品檢測到的五個最活躍的勒索軟件家族之一。

2020年排名前五的加密勒索軟件家族

2020年，WannaCry仍然是用戶最常遇到的勒索軟件家族，遇到加密勒索軟件的用戶中有16%(80207)遇到了這種惡意軟件。此外，新出現的勒索軟件也進入了最活躍的五個家族——CrySiS/Dharma。CrySiS勒索病毒，又稱Dharma，首次出現是在2016年，2017年5月此勒索病毒萬能密鑰被公布之后，之前的樣本可以解密，導致此勒索病毒曾消失了一段時間，不過隨后又馬上出現了它的一款最新的變種樣本，加密后綴為java，通過RDP暴力破解的方式進入受害者服務器進行加密勒索，此勒索病毒加密算法采用AES+RSA方式進行加密，導致加密后的文件無法解密，在最近一年的時間里，這款勒索病毒異常活躍，變種已經達到一百多個，Crysis能夠使用多種攻擊媒介，盡管最近它主要利用了不安全的RDP訪問。該惡意軟件于2016年首次被發現，并且一直在繼續發展，并正在遵循勒索軟件即服務的模型。

總體而言，2019年和2020年延續了2018年初首次注意到的趨勢：勒索軟件集團的合并。只有少數幾個顯著的家族在整個攻擊格局中繼續保持重要地位，其余的攻擊都是由不屬于任何特定家族的勒索軟件木馬實施的。當然，新家族確實會繼續出現，STOP和GandCrab就是很好的例子。