勒索軟件的攻擊始于2019年底，以Maze為代表的勒索軟件成為了第一批代表性軟件。后來勒索軟件開發者又創造了一種新的、高效的攻擊大型盈利企業的方案——雙重勒索。在雙重勒索中，攻擊者不僅對數據進行加密，還竊取高度敏感的信息——客戶和員工的個人數據、內部文件、知識產權等，并威脅如果不支付贖金就公布這些信息。這讓公司不得不支付大量贖金。在2020年，我們稱之為“勒索軟件2.0”，毫無疑問，包括REvil(又名Sodinokibi)、DarkSide、Babuk、Avaddon、Conti等大型勒索軟件組織已經開始采用這種新的方法。Maze還開始在他們的網站上發布有關被盜數據的信息，其他勒索軟件組織也紛紛效仿，建立了自己的泄露網站。

實際上，通過分析各勒索軟件組織的各種泄漏網站的受害者人數，可以很容易地看到2021年“勒索軟件2.0”增長非常迅速。從2021年1月至11月，受害者人數比2020年全年增加30%，共影響1500家組織。補考過鑒于這些勒索軟件組織不會在他們的泄露網站上發布所有受害者的信息，因此，實際數字可能會高得多。

大約在同一時間，一個完整的犯罪生態系統開始形成，以支持迅速發展的勒索軟件攻擊——勒索軟件即服務(ransomware -as- service, RaaS)。在這個生態系統中，每個參與者都扮演著特定的角色：有些人提供加密武器，以及公布受害者細節的平臺。其他人(合作伙伴或附屬機構)對組織進行直接攻擊。此外，在這個生態系統中運作的攻擊者會從第三方購買工具來初步滲透受害者的基礎設施。這個生態系統為那些希望從勒索軟件中獲利的人增加了額外的運營效率和龐大的支持網絡。

雙重勒索與 RaaS 相結合，為網絡犯罪分子成功攻擊大公司創造了更多手段，勒索數十萬甚至數百萬美元屬于家常便飯。事實上，根據美國財政部金融犯罪執法網絡 (FinCEN) 的數據，僅在美國的組織在 2021 年上半年就可能向勒索軟件組織支付了近 6 億美元。而且，根據同一份報告，如果你看看過去一年最多產的攻擊者，他們在過去三年中可能收到了 52 億美元的轉會費。

引人注目的 B2B 目標、巨大的贖金要求、復雜的攻擊、高度敏感的數據被盜以及成功攻擊的巨大利潤，勒索軟件成為主流也就不足為奇了。

2021年的主要勒索軟件事件

今年最大的攻擊事件是美國主要燃油、燃氣管道運營商Colonial Pipeline受到黑客攻擊，被迫關閉全部管道運營系統。DarkSide如今已經不存在了，當時他們發表聲明稱目的是要錢，而不是為社會制造麻煩。Colonial最終支付了440萬贖金。同月晚些時候，另一名RaaS使用者REvil也追隨了 DarkSide 的腳步，關閉了世界上最大的牛肉供應商JBS的幾個生產基地。該公司最終支付了1100萬美元，恢復了他們的運營商，并恢復了被盜數據。

針對Colonial和JBS的攻擊促使拜登總統宣布進入緊急狀態，并與普京總統會面，討論在應對勒索軟件威脅方面的相互合作。這引發了與勒索軟件相關的一個新的、重要的趨勢——政府參與打擊勒索軟件和加強國際合作。2021年9月，美國財政部對虛擬加密貨幣交易所Suex實施制裁，原因是它們幫助勒索軟件攻擊者。

另一家從2019年開始運營大量RaaS的運營商Avaddon也在2021年被關閉，這得益于執法部門對勒索軟件組織和臭名昭著的僵尸網絡Emotet的打擊。Avaddon利用惡意軟件在用戶系統中獲得了初步的立足點。然而，Emotet最近似乎又復活了。

REvil 是另一個有趣的例子，它似乎是勒索軟件生命周期的新趨勢：一個組織通過大規模攻擊制造了社會問題，然后由于法律壓力而被迫關閉或重新命名。 REvil 于 2019 年首次出現，據報道在 2020 年從其運營中賺取了超過 1 億美元，并在竊取有關該公司即將發布的版本的信息后向 Apple 索要 5000 萬美元的贖金。當然，所有這些都是有代價的。在利用領先的統一遠程監控和管理工具 Kaseya VSA 中的漏洞后，REvil 能夠入侵大約 50 個 MSP 提供商。然而，在這次攻擊之后不久，REvil 的服務器就被下線了，有傳言說執法部門迫使它們關閉。他們確實在 10 月份再次出現，稱之前的關閉是由于內部原因，但多國推動迫使REvil的泄漏網站和Tor支付網站離線，最終導致該集團關閉了他們的業務。

Babuk 是一個高產的 RaaS 運營商，于 2021 年首次出現，臭名昭著的“Babuk locker”的發明者，從Babuk Locker跟目標用戶談判的數據贖金金額來看，網絡犯罪分子所要求的數據贖金從六萬美金到八萬五千美金不等，更囂張的是，從華盛頓大都會警察局網絡竊取了 250 GB 的數據并勒索贖金。目前他們的運營也已停止。Babuk 于 4 月底宣布關閉，同時將其源代碼發布到野外，以便其他勒索軟件運營商可以使用。他們后來更名為 Payload Bin，并開始向其他沒有自己泄漏網站的勒索軟件組織提供他們的平臺。

隨著社會的關注度提高，勒索軟件組織的攻擊周期越來越短，但這些組織有非常強的恢復能力。REvil 和 Babuk 最初都來自現已解散的勒索軟件組織 GrandCab 和 Vasa Locker，而 DarkSide 迅速更名為 BlackMatter。在針對美國公司甚至日本主要科技公司奧林巴斯取得短暫成功后，該組織顯然是迫于執法部門的壓力而倒閉。

另一個仍然活躍的著名 RaaS 運營商是 Conti。這個勒索軟件組織于 2019 年首次出現，并在 2020 年大量出現。他們在 2021 年發起的一些最引人注目的攻擊包括對佛羅里達州布勞沃德縣公立學校的攻擊以及愛爾蘭衛生服務執行局的服務器被關閉。然而，值得注意的是，即使是 Conti 也感受到了壓力：在他們內部運作的細節被公開后，他們被迫重新考慮他們的基礎設施，關閉了他們的支付門戶。不幸的是，該組織能夠在 24 小時內恢復其服務器并運行。

也就是說，最常出現在頭條新聞中的勒索軟件組織并不是用戶最常遇到的組織。這是因為上述組織對能夠支付數百萬贖金的公司進行了針對性很強的攻擊。常見的勒索軟件攻擊者更有興趣從更多人那里獲取小額款項。

以下是 2020 年勒索軟件的攻擊占比：

Crysis/Dharma 和 Stop/Djvu 都是長期存在的勒索軟件，Crysis 能夠使用多種攻擊媒介，但最近主要是利用不安全的RDP訪問。Stop是最流行的勒索軟件家族，他們采用的是老套傳播方案，即引誘受害者搜索盜版軟件并找到包含勒索軟件的可執行文件，而不是現代組織最常使用的人為攻擊。前者既針對B2B也針對B2C，后者主要針對B2C領域。2020年，這兩個組織占所有勒索軟件攻擊的50%以上，其中REvil僅占1.7%。

2021年前三個季度的情況與2020年類似。

最常遇到的勒索軟件家族是 Stop/Djvu，而 Crysis/Dharma 則跌至第三位。第二個最常見的家族是 Phobos，它也是一個針對中小型企業的較老的勒索軟件家族。 REvil 的攻擊份額確實增長到了 2.2%，但它代表了最常見的 10 個家族中最不常遇到的家族。因為像 Crysis 和 Stop 這樣的家族更廣泛而不是集中在他們的攻擊中(并要求較少的贖金)，所以這些通常不會成為頭條新聞，但是，它們確實是更常見的攻擊。

從大規模感染到精確攻擊的轉變：進入高利潤勒索時代

今年早些時候，研究人員發布了一份名為 Ransomware by the Numbers 的報告，里面提到遭到勒索軟件攻擊的用戶總數實際上在下降。事實上，自 2020 年初以來，卡巴斯基 B2B 產品的獨立用戶遇到勒索軟件木馬的用戶數與面臨任何類型威脅的用戶總數的比例一直在穩步下降。

這是因為較新的、引人注目的犯罪組織已經從大規模感染轉變為精確攻擊，專門對付那些能支付數百萬美元的個人、企業和工業組織。事實上，從2019年到2020年，受目標勒索軟件(如Babuk和REvil等組織)影響的獨立用戶數量增加了767%，這種趨勢一直持續到 2021 年。

在系統中啟動勒索軟件是這些攻擊的最后階段。此時，組織的網絡通常完全被攻擊者控制。因此，在數據加密后，需要研究建立初始攻擊向量，防止攻擊者再次滲透并試圖恢復數據。此過程稱為事件響應 (IR)，中型組織和大型公司通常在自己的員工或承包商的幫助下采用它。從 2019 年、2020 年和 2021 年前三個季度的數據來看，出現了一個有趣的模式。

2021 年 1 月至 11 月與勒索軟件相關的 IR 請求占比已經比 2020 年勒索軟件 IR 請求占比高出近 10%，比 2019 年的請求占比高出 12.7%。

勒索軟件攻擊的原始總數可能較低，但針對大型組織的攻擊正在上升。

攻擊目標

如果勒索軟件組織關注的是大公司和組織，那么哪些行業會成為攻擊目標?

2020年，收到IR請求比例最大的行業是工業部門(26.85%)，其次是政府(21.3%)。這兩個部門加起來占了將近50%。

2021 年，IR 請求的分布如下:

政府和工業部門仍然是最常被攻擊的領域，前者略有增加，后者略有下降。影響 IT 部門的攻擊數量也大幅增加：從 2020 年的 2.78% 增加到 2021 年的 13.33%。

重要的是要記住，像上面這樣的統計數據至少部分地受到公司的客戶群的影響。對這些部門的一些最引人注目的攻擊包括對Colonial天然氣管道和衛生服務行政機構的攻擊。此外，卡巴斯基還發現了Cring勒索軟件對工業組織的一系列攻擊。

勒索軟件發展趨勢

有針對性的對高價值目標攻擊的新時代即將拉開，成為頭條新聞的高調組織以及新出現的組織正在調整他們的策略，從受害者身上榨取更大的利潤。以下是兩個最重要的趨勢。

針對Linux的攻擊

2020年，DarkSide和RansomExx組織都使用linux特定的勒索軟件構建對VmWare ESXi服務器發起了攻擊。現在，在2021年，我們已經看到這種做法在其他惡意組織中越來越受歡迎。REvil, HelloKitty, Babuk, Conti, Hive，甚至可能是PYSA和RagnarLocker都將Linux添加到他們的目標中。為什么?這允許他們通過加密 ESXi 服務器上托管的虛擬機來最大化攻擊面。

金融勒索

今年4月，DarkSide在其泄密網站上發布了一篇帖子，表示希望影響公司的股價，即進行財務勒索。然而，DarkSide并不是第一個表達對公司股票貶值的興趣的。早在2020年，REvil就有過這樣的想法。從那時起，金融勒索成為一種日益流行的趨勢。今年11月，美國聯邦調查局(FBI)發出警告稱，勒索軟件正在利用并購等重大金融事件，以勒索軟件感染的受害者公司為目標。在2020年3月至7月，有三家公司成為勒索軟件的受害者。更重要的是，勒索軟件運營商正在更新他們的惡意軟件，以掃描網絡中與金融相關的關鍵字，如“納斯達克”和“10-Q”(季度財務報告)。例如：Defray777/RansomEXX 使用的木馬 Pyxie。

當公司正在進行合并或收購、計劃上市或重新評估其財務狀況時，任何類型的信息泄露都可能對公司的估值造成破壞性后果。事實上，Comparitech 的一項研究發現，勒索軟件攻擊在短期內平均會導致公司股票價值下降 22%。

這樣的后果使受害者更傾向于支付贖金。隨著執法機構和政界人士縮短勒索軟件組織的生命周期，效率變得至關重要。而金融敲詐則是一種強大的工具。到 2022 年，我們預計此類勒索將變得更加流行并蔓延至普通勒索軟件運營商。

總結

大規模的襲擊會引起公眾的廣泛關注，這并不總是一件好事。像REvil和DarkSide這樣的組織由于動靜過大已經被取締。再加上政府的出手，勒索軟件的生命周期變得越來越短。為了提高攻擊效率，勒索軟件趨勢變得越來越有針對性。

安全建議

1.除非絕對必要，否則不要將遠程桌面服務(如RDP)暴露在公共網絡中，并始終使用強密碼。

2.立即為商用VPN解決方案安裝可用補丁，為遠程員工提供訪問，并充當網絡中的網關。

3.在所有設備上使用更新軟件，以防止勒索軟件利用漏洞。

4.把你的防御策略集中在檢測橫向移動和數據外泄上。要特別注意流出的流量，以檢測網絡罪犯的連接。定期備份數據，確保你能在緊急情況下快速訪問它。使用最新的威脅情報信息來掌握威脅參與者使用的實際 TTP。

5.使用解決方案識別早期攻擊階段。

6.專門接受安全教育。

7.使用可靠的終端安全解決方案。

本文翻譯自:https://securelist.com/the-story-of-the-year-ransomware-in-the-headlines/105138/如若轉載，請注明原文地址。