基于Mitre ATT&CK框架的勒索软件TTP映射地图

根据网络安全公司Group-IB的最新报告，2020年勒索软件攻击同比增加了一倍以上，规模和复杂性均呈上升趋势。

一些主要针对欧美大型企业的勒索软件犯罪团伙的勒索赎金平均高达100-200万美元，这吸引了大量新的参与者。

通过分析事件响应工作中提取的500多种攻击数据，Group-IB统计了2020年勒索软件业务的发展以及攻击者使用的策略、技术和程序（TTP），并基于Mitre ATT&CK绘制了勒索软件TTP映射地图（文末）。

调查还发现，如今越来越多的勒索软件团伙拥有数据泄漏站点，并且在这些站点上发布了大量未支付赎金的受害者泄漏的数据。

更多帮派则开始转向颇为成功的RaaS勒索软件即服务模型（即所谓的会员计划）进行新的操作。

Conti、Egregor和DarkSide是在2020年加入勒索软件“大富翁游戏”的新玩家。根据Group-IB的数据，前两个组织获利颇丰，在攻击次数最多的前五个帮派中占有一席之地。

2020年最活跃的五大勒索软件帮派：Maze、Egregor、Conti、Revil、DoppelPaymer

报告指出，Ryuk不在上述排名之列，因为其攻击已与其继任者Conti合并。

需要特别注意的是，以上所有勒索软件帮派都遵循分工协作的商业模式，其中每个参与人员都专注于自己的长处：恶意软件开发、初始访问、横向移动等。利润在RaaS计划的运营商和加盟公司之间共享。

“IB组DFIR小组观察到，在2020年分析的所有勒索软件攻击中，有64％来自RaaS模式运营商。地下联盟计划的盛行是2020年的潜在趋势。”

根据Group-IB的数据，RaaS的流行导致2020年的攻击增加了150％，平均赎金增长了两倍，达到17万美元。最贪婪的帮派，例如Maze、DoppelPaymer、ProLock和RagnarLocker要求的赎金要高得多，平均在100万至200万美元之间，最高的赎金高达3400万美元。这些数字与勒索软件恢复公司Coveware的统计数据相似，后者指出2020年第四季度勒索软件帮派的平均收入为154,108美元。

除了赎金以外，就对受害者的影响而言，勒索软件攻击去年造成平均18天的停机时间。

为了访问目标网络，勒索软件通常与能提供初始访问凭证的Trickbot、Qakbot、Bazar、Buer或IcedID等僵尸网络合作（下图）。

勒索软件联盟地图：帮派与恶意软件的关系

此外，报告还指出，勒索软件攻击者在受害者网络中的平均驻留时间是13天，主要攻击媒介是RDP，其次是网络钓鱼和面向公众的应用程序（Citrix、WebLogic、VPN服务器和微软Exchange服务器等）。

为了帮助防御者及时了解勒索软件团伙的运行方式，IB组基于MITER ATT＆CK框架绘制了2020年勒索软件TTP映射地图（点击查看大图）：

https://www.group-ib.com/resources/threat-research/ransomware-2021.html