关键词
勒索软件家族、趋势、LockBit、Conti、BlackCat
2022年,勒索软件攻击在越来越多的攻击组织和攻击活动中展开。根据勒索软件服务(RaaS)和敲诈勒索组织揭秘网站数据,趋势科技开源情报(OSINT)研究和趋势科技的数据智能保护网络(Trend Micro™ Smart Protection Network™)的数据, 趋势科技的研究人员绘制了2022年第一季度(1月1日至3月31日)勒索软件威胁图。通过跟踪研究发现,LockBit、Conti、以及BlackCat这三个勒索软件家族在此期间发动的成功攻击次数最多。
在三个月的时间里,趋势科技检测并阻止了电子邮件,URL,和文件层勒索威胁4439903个。与上一季度(2021第四季度)相比,整体勒索软件威胁增加了36.6%,同比增长了4.3%(2021第一季度)。
2022年第一季度,RaaS和勒索组织的数量与去年同期相比增加了63.2%,这一增长导致更多组织成为勒索活动的受害者。根据勒索软件组织揭秘网站数据,勒索软件受害者同比增长29.2%(该网站记录了拒绝支付赎金并被勒索组织成功劫持的组织的数据),如图1所示:
图1. 2021第一季度和2022年第一季度成功勒索软件攻击的活跃RaaS和勒索组织以及受害者组织的数量
在2022年第一季度,三个勒索软件家族声称成功的攻击次数最多,它们都因在RaaS模式下运作而广为人知。根据勒索组织揭秘网站的数据,这些攻击中有35.8%属于LockBit,19%属于Conti,9.6%属于BlackCat,如图2所示:
图2. 2022年第一季度成功实施RaaS和敲诈勒索攻击的前三大勒索软件家族
根据趋势科技的勒索软件数据,LockBit和Conti属于2022年第一季度检测到的前十大勒索软件家族,BlackCat是2022年2月和3月发现的十大勒索软件家族之一,如图3所示:
图3. 2022年第一季度每个月检测到的LockBit、Conti和BlackCat的勒索文件的数量
根据RaaS和勒索组织揭秘网站的数据:2021年第一季度,这三个勒索软件家族中,只有Conti在最活跃的勒索软件家族榜单上。事实上,Conti是2021年第一季度排名第一的勒索组织据联邦调查局(FBI)估计,截至2022年1月,勒索金额达到了1.5亿美元,这使得Conti成为有记录以来勒索金额最高的勒索组织。
像LockBit这样的RaaS提供商在2022年第一季度2月份的检出率达到了最高水平,自从将双重勒索纳入他们的行动手册以来,LockBit成为一个更加可怕的威胁。在双重勒索下,勒索者不仅加密数据要求受害者支付费用以恢复访问权限,而且还威胁说如果不支付勒索,便会公开数据,从而对受害者施加额外压力。比如,2022年1月法国司法部遭到攻击,LockBit攻击者在勒索赎金失败后在暗网上发布敏感的司法部数据。
相对于Conti和LockBit,BlackCat(又名AlphaVM、AlphaV或ALPHV)是一个新来者;2021年11月,Malwarehuntertam的研究人员首次报道了该勒索软件家族的活动。但与其他许多RaaS运营商不同的是,它使用了三重勒索,这是一种勒索软件行为者威胁在泄露数据的基础上,对受害者的基础设施发起分布式拒绝服务(DDoS)攻击的策略,除非受害者支付勒索金。BlackCat要求受害者提供数百万美元的比特币或门罗币。由于BlackCat向RaaS附属公司的慷慨支付,该公司正逐渐成为地下市场的主要竞争者,这些附属公司可以赚取高达90%的已付赎金。
趋势科技的检测显示,BlackCat在2022年2月第一季度最为活跃,截至3月,它已成功地危害了全球至少60家组织。BlackCat也是第一个用Rust编写的专业勒索软件家族,这一点也很值得注意。这是BlackCat的一个主要卖点,因为Rust被认为是一种更安全的编程语言,能够进行并发处理。作为一种跨平台语言,Rust还使攻击者更容易根据Windows和Linux等不同操作系统定制恶意软件。
小型企业经常受到大量网络攻击,因为攻击者认为他们应对网络威胁的手段和资源不足;中型企业则成为攻击者的主要目标,因为他们拥有相对宝贵的数字资产。
根据勒索组织揭秘网站数据,Conti主要针对中型组织(201至1000名员工),其勒索攻击占据2022年第一季度成功攻击的41.9%,其余攻击平均分在小型企业(最多200名员工)和大型企业(1000多名员工)中。
相比之下,2022年第一季度,LockBit成功的攻击中有65.5%针对小企业,其次是中型企业,占20.5%,大型企业占10.5%。同样,2022年第一季度,BlackCat的受害者大多是小企业,占其成功攻击的57.6%,中型组织和大型企业分别占25.4%和17%,如图4所示:
图4. 2022年第一季度LockBit、Conti和BlackCat成功攻击的受害者组织的组织规模分布
趋势科技的数据显示,2022年1月至3月,政府机构和金融公司在勒索文件检测方面一直排在前三位,其次是制造业和快速消费品(FMCG)行业的组织,如图5所示:
图5. 2022年第一季度每月勒索软件文件检测量排名前三的行业
金融和IT组织仍然是RaaS和敲诈勒索集团的共同目标。勒索组织揭秘网站显示,与去年第一季度一样,这两个行业在2022年第一季度遭受的攻击最多,如图6所示:
图6. 2022年第一季度被RaaS和敲诈勒索组织攻击影响的前十大受害者组织的行业
趋势科技的检测结果与勒索软件组织揭秘网站的数据一致,金融机构在2022年第一季度遭受的勒索攻击有12.7%来自LockBit,建筑业和制造业同期遭受LockBit攻击的比例为9.5%,其中的受害者包括世界上最大的轮胎制造商之一,如表1所示:
表1. 2022年第一季度遭受LockBit攻击影响的受害者所在的主要行业
|
行业 |
受害者数量 |
|
金融业 |
28 |
|
建筑业 |
21 |
|
制造业 |
21 |
|
IT业 |
16 |
|
专业服务业 |
16 |
|
其它 |
118 |
|
总数 |
220 |
相比之下,2022年第一季度Conti的受害者更加多样化:其受害者中12.8%从事制造业,材料和专业服务公司紧随其后,分别为10.3%和8.5%,如表2所示。一次引人注目的Conti攻击发生在1月份,针对一家向苹果、戴尔和特斯拉等公司供应组件的台湾电子公司。幸运的是,只有非关键系统受到了影响。
表2. 2022年第一季度遭受Conti攻击的受害者所在的主要行业
|
行业 |
受害者数量 |
|
制造业 |
15 |
|
材料业 |
12 |
|
专业服务 |
10 |
|
建筑业 |
9 |
|
IT业 |
8 |
|
其它 |
63 |
|
总数 |
117 |
2022年第一季度,BlackCat对专业服务行业组织的影响最为严重,BlackCat中13.6%成功攻击的受害者来自专业服务业。此外,金融和法律服务行业遭受BlackCat成功攻击的比例占据10.2%,如表3所示。一家瑞士航空公司成为BlackCat勒索组织的受害者,该公司2月份发生数据泄露事件,包括公司内部备忘录和求职者信息。
表3. 2022年第一季度遭受BlackCat攻击的受害者所在的主要行业
|
行业 |
受害者数量 |
|
专业服务 |
8 |
|
金融业 |
6 |
|
法律服务 |
6 |
|
服装业 |
5 |
|
材料业 |
5 |
|
其它 |
29 |
|
总数 |
59 |
图7. 2022年第一季度遭受成功RaaS和敲诈勒索袭击影响的受害组织所在的前十个国家
图8. 2022年第一季度受LockBit成功袭击影响最大的受害者组织所在地区
图9. 2022年第一季度受Conti成功袭击影响最大的受害者组织地区
图10. 2022年第一季度受BlackCat成功袭击影响最大的受害者组织地区
勒索软件仍然是各种规模企业的主要威胁,这些企业必须与使用日益复杂的工具和技术的恶意行为者进行斗争。通过遵循以下的安全建议,相关组织可以降低被勒索软件攻击的风险:
-
启用多因素身份验证。组织应制定措施,要求在其设备上访问或存储公司数据的员工启用多因素身份验证,防止这些设备中的敏感信息被轻易访问。
-
备份数据。组织应尽可能遵循“3-2-1规则”来保护其重要文件:以两种不同的文件格式创建至少三个备份副本,其中一个副本存储在不同的地方。
-
使系统保持最新。供应商和开发人员发布补丁后,组织应立即更新其所有应用程序、操作系统和其他软件。这样做有助于防止勒索软件利用漏洞访问组织的系统。
-
在打开电子邮件之前验证电子邮件。组织应培训其员工避免下载附件或点击他们不认识的发件人的电子邮件中的嵌入链接,因为攻击者将这些作为安装勒索软件的手段。
-
遵循既定的安全框架。组织可以根据互联网安全中心(CIS)和国家标准与技术研究所(NIST)创建的安全框架制定网络安全战略。这些框架中列出的安全措施和最佳实践可以作为组织安全团队设计自己的威胁应对计划的指南。
可以通过多层检测和响应解决方案来增强其网络安全基础设施的安全性,这些解决方案可以在攻击者实施攻击之前预测和响应勒索软件的动向。
编辑|林飞
审校|何双泽、金矢
本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。
原文始发于微信公众号(国家网络威胁情报共享开放平台):LOCKBIT、CONTI和BLACKCAT在活跃的勒索组织中呈上升趋势
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论