2023 勒索软件下半年报告

2024-03双子座实验室contentsSS概述2023年下半年，勒索软件攻击活动愈发猖獗，导致2023年全年勒索软件攻击事件整体数量较上一年再次大幅增长，勒索金额屡创新高，勒索软件依然稳坐网络威胁的头把交椅。纵观下半年，Lockbit3组织发动了近600起攻击事件，凭借强势表现在整个勒索软件市场中独占鳌头。同时，一些新兴的勒索软件如8Base、Akira、Medusa也勒索软件运营体系日趋完善，勒索组织及其附服务范围，甚至可以根据客户需求，提供定制化的RaaS服务，勒索勒索软件开发迭代加快，新型勒索软件层出不穷。虽然大多数新软件仍然基于旧软件源代码衍生，但开发者也在推而是转向利用多种途径贩卖窃取的数据；与此同时，为了勒索软件攻击方式多样化，其中漏洞利用依旧是34天际友盟双子座实验室对2023年下半年活跃勒索软件组织的攻其数量有所下降。后续几个勒索软件的攻击分布则相对均匀，这也侧面说明各勒索组织在下半年分LockBit3的市场份额。值得注意的是，TOP10排行中还出现了多个于2023年才被披露的勒索组织，如Akira、Noescape、Cactus，尤其是在今年6月份后异常活跃的8Base勒索团伙，成功发动了200多次攻击事件，一举跃勒索软件攻击行业依然较为广泛，主要集中在制造、商业服务、软件信息技术、52.2.1PlayPlay(也称为Playcrypt)是2023年下半年较为活跃的勒索软件团伙，首次出现于盖北美、南美、欧洲等地区，并且澳大利亚在今年也开始遭受到Play的攻击。Play勒索软件采会在窃取数据后对系统进行加密。不同于其他勒索组织，Play的勒索信不会直接提出赎金要求与付款说明，而是指PLAY勒索软件每月在全球范围内的成功攻击次数均超过20次，表现极其活跃。下图展示了天际友盟在暗网监控到6_2.2.28Base双重勒索、网络钓鱼和漏洞利用等策略，主要针对美国、巴西和加拿大等欧美地区的商业服务、金融、制造软件信息技术领域的中小型企业(SMB)。此外，8Base还与RansomHouse勒索组织存在密切关联，比如两者高度下图为天际友盟在暗网监控中获取的8Base数据泄露主页，首页上直接展示了攻击目标公司的信息以及目前的72.2.3AkiraAkira勒索团伙于2023年3月首次出现后就一直保持活跃，重点攻击中小企业，实施双重勒索策略，旨在获取经济利益，其受害目标主要位于欧洲(如法国)、北美(如美国)、澳大利亚和土耳其，涉及行业包括政府、制造、软件信息技术、教育、咨询、制药和电信行业。该团伙可对Windows和Linux两种平台进行攻击，常通过未启用MFA(多重身份验证)的VPN产品进行未授权登录行为，或者利用VPN软件的历史漏洞获取访问权限。加密时，Akira使用Chacha20和RSA的混合加密算法对受害主机上的文件进行加密，加密完成后将添加.akira扩展名，并程序来终止与防病毒软件(AV)相关的进程。在内网信息收集阶段，则会使用PCHunter、AdFind等工具来收集感Akira还会利用FTP协议传输从主机上窃取的信息。从2023年10月开始，研究人员观察到Akira团伙可能采取了_新的策略，只执行勒索操作但不加密数据，即仅从受害者的环境中窃取数据，而不部署勒索软件或加密。9通过钓鱼邮件、漏洞利用等方式传播，使用"RSA+AES"算法，释放名为害者通过电子邮件联系Play团伙。加密文件后缀为.PLAY，该团伙不提供RaaS使用AES和RSA算法加密，加密文件后缀为.akira，攻击针对Windows和基于C++开发，使用ChaCha20和RSA算法加密文件，支持多种平台，包括采用RSA+AES算法，扩展名为.medusa，使用多重勒索策略，投放一个名为加密文件添加扩展.cts0、.cts1、.cts6、.cts7，最大特点是利用7-Zip进行防御3542671勒索软件攻击方式多样，包括弱口令/暴力破解攻击、利用或购买已知凭据、漏洞利用、网络钓木马后门、利用成熟工具等，其中漏洞利用是一种常见的攻击方式，一般可提高其攻击的成功率，并展现其或门罗币作为赎金。此外，安全人员还发现攻击者伪造Facebook钓鱼页面分发Kuiper勒后将在文件结尾添加".[[数字+字母组合而成的8位设备ID]].[[邮箱地址]]和添加后缀名的逻辑与Phobos勒索软件较为相似。不过，So从这个勒索软件可以看出，NIM作为一种相对较新的语言，与更成熟的编程语言相比，系统可能缺乏强大的安全保Yashma勒索团伙疑似来自越南，主要针对英语国家、保加利亚、中国和越南的各个实体。该组织使用了一种不常见的技术来传递赎金，而不是将勒索信字符串嵌入到二进制文件中，最后通过执行嵌入的批处否则赎金将翻倍。Yashma生成加密文件后，还会擦除原始文件的内容，写入单个字符“?”然后删除原始文件，以总体来说，2023年下半年勒索软件持续活跃，勒索组织的运营也愈加成熟完善。他们的目标范围更为广泛，很少局限于单一行业。虽然大多数勒索软件主要瞄准中小公司，但是顶级的勒索组织行事不再低调，频繁企业，例如Lockbit攻击波音公司、CL0P利用最新漏洞攻击西门子等公司。我们预测2024年全球执法机构会加大对勒索团伙的联合打击力度，从2024年初全球联合打击Lockbit勒索组织就可初见端倪，通过这种联合可以有效遏制勒索软件团伙的嚣张气焰，给予全球面临威胁的公司和企业更多的信心；但对于攻击团伙使其加快技术更