LOCKBIT、CONTI和BLACKCAT在活跃的勒索组织中呈上升趋势

admin 2022年6月2日00:23:30安全新闻评论3 views4666字阅读15分33秒阅读模式

关键词

勒索软件家族、趋势、LockBit、ContiBlackCat

2022年,勒索软件攻击在越来越多的攻击组织和攻击活动中展开。根据勒索软件服务(RaaS)和敲诈勒索组织揭秘网站数据,趋势科技开源情报(OSINT)研究和趋势科技的数据智能保护网络(Trend Micro™ Smart Protection Network™)的数据, 趋势科技的研究人员绘制了2022年第一季度(1月1日至3月31日)勒索软件威胁图。通过跟踪研究发现,LockBit、Conti、以及BlackCat这三个勒索软件家族在此期间发动的成功攻击次数最多。

1. 勒索软件威胁同比呈增长趋势


在三个月的时间里,趋势科技检测并阻止了电子邮件,URL,和文件层勒索威胁4439903个。与上一季度(2021第四季度)相比,整体勒索软件威胁增加了36.6%,同比增长了4.3%(2021第一季度)。

2022年第一季度,RaaS和勒索组织的数量与去年同期相比增加了63.2%,这一增长导致更多组织成为勒索活动的受害者。根据勒索软件组织揭秘网站数据,勒索软件受害者同比增长29.2%(该网站记录了拒绝支付赎金并被勒索组织成功劫持的组织的数据),如图1所示:

LOCKBIT、CONTI和BLACKCAT在活跃的勒索组织中呈上升趋势

图1.  2021第一季度和2022年第一季度成功勒索软件攻击的活跃RaaS和勒索组织以及受害者组织的数量

2. LockBit, Conti和BlackCat的流行


在2022年第一季度,三个勒索软件家族声称成功的攻击次数最多,它们都因在RaaS模式下运作而广为人知。根据勒索组织揭秘网站的数据,这些攻击中有35.8%属于LockBit,19%属于Conti,9.6%属于BlackCat,如图2所示:

LOCKBIT、CONTI和BLACKCAT在活跃的勒索组织中呈上升趋势

图2. 2022年第一季度成功实施RaaS和敲诈勒索攻击的前三大勒索软件家族

根据趋势科技的勒索软件数据,LockBit和Conti属于2022年第一季度检测到的前十大勒索软件家族,BlackCat是2022年2月和3月发现的十大勒索软件家族之一,如图3所示:

LOCKBIT、CONTI和BLACKCAT在活跃的勒索组织中呈上升趋势

图3. 2022年第一季度每个月检测到的LockBit、Conti和BlackCat的勒索文件的数量

根据RaaS和勒索组织揭秘网站的数据:2021年第一季度,这三个勒索软件家族中,只有Conti在最活跃的勒索软件家族榜单上。事实上,Conti是2021年第一季度排名第一的勒索组织据联邦调查局(FBI)估计,截至2022年1月,勒索金额达到了1.5亿美元,这使得Conti成为有记录以来勒索金额最高的勒索组织。

像LockBit这样的RaaS提供商在2022年第一季度2月份的检出率达到了最高水平,自从将双重勒索纳入他们的行动手册以来,LockBit成为一个更加可怕的威胁。在双重勒索下,勒索者不仅加密数据要求受害者支付费用以恢复访问权限,而且还威胁说如果不支付勒索,便会公开数据,从而对受害者施加额外压力。比如,2022年1月法国司法部遭到攻击,LockBit攻击者在勒索赎金失败后在暗网上发布敏感的司法部数据。

相对于Conti和LockBit,BlackCat(又名AlphaVM、AlphaV或ALPHV)是一个新来者;2021年11月,Malwarehuntertam的研究人员首次报道了该勒索软件家族的活动。但与其他许多RaaS运营商不同的是,它使用了三重勒索,这是一种勒索软件行为者威胁在泄露数据的基础上,对受害者的基础设施发起分布式拒绝服务(DDoS)攻击的策略,除非受害者支付勒索金。BlackCat要求受害者提供数百万美元的比特币或门罗币。由于BlackCat向RaaS附属公司的慷慨支付,该公司正逐渐成为地下市场的主要竞争者,这些附属公司可以赚取高达90%的已付赎金。

趋势科技的检测显示,BlackCat在2022年2月第一季度最为活跃,截至3月,它已成功地危害了全球至少60家组织。BlackCat也是第一个用Rust编写的专业勒索软件家族,这一点也很值得注意。这是BlackCat的一个主要卖点,因为Rust被认为是一种更安全的编程语言,能够进行并发处理。作为一种跨平台语言,Rust还使攻击者更容易根据Windows和Linux等不同操作系统定制恶意软件。

3. 勒索软件攻击者将目光投向中小型企业


小型企业经常受到大量网络攻击,因为攻击者认为他们应对网络威胁的手段和资源不足;中型企业则成为攻击者的主要目标,因为他们拥有相对宝贵的数字资产。

根据勒索组织揭秘网站数据,Conti主要针对中型组织(201至1000名员工),其勒索攻击占据2022年第一季度成功攻击的41.9%,其余攻击平均分在小型企业(最多200名员工)和大型企业(1000多名员工)中。

相比之下,2022年第一季度,LockBit成功的攻击中有65.5%针对小企业,其次是中型企业,占20.5%,大型企业占10.5%。同样,2022年第一季度,BlackCat的受害者大多是小企业,占其成功攻击的57.6%,中型组织和大型企业分别占25.4%和17%,如图4所示:

LOCKBIT、CONTI和BLACKCAT在活跃的勒索组织中呈上升趋势

图4. 2022年第一季度LockBit、Conti和BlackCat成功攻击的受害者组织的组织规模分布

4. 政府,金融业和制造业遭受的勒索攻击概况


趋势科技的数据显示,2022年1月至3月,政府机构和金融公司在勒索文件检测方面一直排在前三位,其次是制造业和快速消费品(FMCG)行业的组织,如图5所示:

LOCKBIT、CONTI和BLACKCAT在活跃的勒索组织中呈上升趋势

图5. 2022年第一季度每月勒索软件文件检测量排名前三的行业

金融和IT组织仍然是RaaS和敲诈勒索集团的共同目标。勒索组织揭秘网站显示,与去年第一季度一样,这两个行业在2022年第一季度遭受的攻击最多,如图6所示:

LOCKBIT、CONTI和BLACKCAT在活跃的勒索组织中呈上升趋势

图6. 2022年第一季度被RaaS和敲诈勒索组织攻击影响的前十大受害者组织的行业

趋势科技的检测结果与勒索软件组织揭秘网站的数据一致,金融机构在2022年第一季度遭受的勒索攻击有12.7%来自LockBit,建筑业和制造业同期遭受LockBit攻击的比例为9.5%,其中的受害者包括世界上最大的轮胎制造商之一,如表1所示:

表1. 2022年第一季度遭受LockBit攻击影响的受害者所在的主要行业

行业

受害者数量

金融业

28

建筑业

21

制造业

21

IT

16

专业服务业

16

其它

118

总数

220

相比之下,2022年第一季度Conti的受害者更加多样化:其受害者中12.8%从事制造业,材料和专业服务公司紧随其后,分别为10.3%8.5%,如表2所示。一次引人注目的Conti攻击发生在1月份,针对一家向苹果、戴尔和特斯拉等公司供应组件的台湾电子公司。幸运的是,只有非关键系统受到了影响。

表2. 2022年第一季度遭受Conti攻击的受害者所在的主要行业

行业

受害者数量

制造业

15

材料业

12

专业服务

10

建筑业

9

IT

8

其它

63

总数

117

2022年第一季度,BlackCat对专业服务行业组织的影响最为严重,BlackCat13.6%成功攻击的受害者来自专业服务业。此外,金融和法律服务行业遭受BlackCat成功攻击的比例占据10.2%,如表3所示。一家瑞士航空公司成为BlackCat勒索组织的受害者,该公司2月份发生数据泄露事件,包括公司内部备忘录和求职者信息。

表3. 2022年第一季度遭受BlackCat攻击的受害者所在的主要行业

行业

受害者数量

专业服务

8

金融业

6

法律服务

6

服装业

5

材料业

5

其它

29

总数

59


5. 勒索软件给欧洲和北美公司造成的损失


根据趋势科技对RaaS和敲诈勒索组织揭秘网站的调查数据显示,美国仍然是遭受RaaS和敲诈勒索袭击最多的国家,但许多欧洲国家也受到了影响,如图7所示:


LOCKBIT、CONTI和BLACKCAT在活跃的勒索组织中呈上升趋势

图7. 2022年第一季度遭受成功RaaS和敲诈勒索袭击影响的受害组织所在的前十个国家

2022年第一季度,LockBit的受害者中有40.5%是欧洲的组织,其次是北美的34.1%和亚太地区的10.9%,如图8所示。美国、意大利和法国遭受了最多的勒索攻击。尽管LockBit的大多数受害者都在欧洲,但美国联邦调查局(FBI)在2月份指出,LockBit最新的已知版本LockBit2.0识别东欧组织并将其排除在攻击之外。LockBit之前的版本也有一个自动审查程序,可以筛选出俄罗斯和独立国家联合体国家的组织。

LOCKBIT、CONTI和BLACKCAT在活跃的勒索组织中呈上升趋势

图8. 2022年第一季度受LockBit成功袭击影响最大的受害者组织所在地区

今年2月,在俄罗斯有许多成员的Conti组织参与了俄乌冲突,并表示打算报复任何对俄罗斯发动网络攻击的人。这可以部分解释2022年第一季度其活动的区域分布:北美的组织受其成功袭击的影响最大,占受害者的49.6%,而欧洲的组织占41.9%,亚太地区的组织占6%,如图9所示Conti的大多数受害者都在美国、德国和英国。

LOCKBIT、CONTI和BLACKCAT在活跃的勒索组织中呈上升趋势


图9. 2022年第一季度受Conti成功袭击影响最大的受害者组织地区

Conti一样,BlackCat2022年第一季度的活动集中在北美的受害者身上,其成功袭击的50.8%发生在北美。欧洲和亚太地区的受害者分别占25.4%18.6%,如图10所示。更具体地说,它瞄准了美国和意大利的目标。2022年第一季度,BlackCat对欧洲知名公司进行头条新闻攻击,其中包括一家德国燃料分销公司和一家意大利高端时尚品牌公司。

  LOCKBIT、CONTI和BLACKCAT在活跃的勒索组织中呈上升趋势

图10. 2022年第一季度受BlackCat成功袭击影响最大的受害者组织地区

6. 保护组织免受勒索软件攻击的方案


勒索软件仍然是各种规模企业的主要威胁,这些企业必须与使用日益复杂的工具和技术的恶意行为者进行斗争。通过遵循以下的安全建议,相关组织可以降低被勒索软件攻击的风险:

  • 启用多因素身份验证。组织应制定措施,要求在其设备上访问或存储公司数据的员工启用多因素身份验证,防止这些设备中的敏感信息被轻易访问。

  • 备份数据。组织应尽可能遵循“3-2-1规则”来保护其重要文件:以两种不同的文件格式创建至少三个备份副本,其中一个副本存储在不同的地方。

  • 使系统保持最新。供应商和开发人员发布补丁后,组织应立即更新其所有应用程序、操作系统和其他软件。这样做有助于防止勒索软件利用漏洞访问组织的系统。

  • 在打开电子邮件之前验证电子邮件。组织应培训其员工避免下载附件或点击他们不认识的发件人的电子邮件中的嵌入链接,因为攻击者将这些作为安装勒索软件的手段。

  • 遵循既定的安全框架。组织可以根据互联网安全中心(CIS)和国家标准与技术研究所(NIST)创建的安全框架制定网络安全战略。这些框架中列出的安全措施和最佳实践可以作为组织安全团队设计自己的威胁应对计划的指南。

可以通过多层检测和响应解决方案来增强其网络安全基础设施的安全性,这些解决方案可以在攻击者实施攻击之前预测和响应勒索软件的动向。



END

参考链接:https://www.trendmicro.com/vinfo/us/security/news/ransomware-by-the-numbers/lockbit-conti-and-blackcat-lead-pack-amid-rise-in-active-raas-and-extortion-groups-ransomware-in-q1-2022


编辑|林飞

审校|何双泽、金矢

本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。

LOCKBIT、CONTI和BLACKCAT在活跃的勒索组织中呈上升趋势



原文始发于微信公众号(国家网络威胁情报共享开放平台):LOCKBIT、CONTI和BLACKCAT在活跃的勒索组织中呈上升趋势

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月2日00:23:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  LOCKBIT、CONTI和BLACKCAT在活跃的勒索组织中呈上升趋势 http://cn-sec.com/archives/1072300.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: