Conti 和 REvil 等大型勒索軟件團夥的衰落催生了很多較小的團夥,并對威脅情報提出了挑戰。
勒索軟件生态系統在 2022 年發生了重大變化,攻擊者從主導格局的大型團夥轉向規模較小的以勒索軟件即服務 ( RaaS ) 的形式作戰,以尋求更大的靈活性并減少執法部門的關注。勒索軟件的這種民主化對企業組織來說是個壞消息,因為它還帶來了戰術、技術和程序 ( TTP ) 的多樣化,需要跟蹤更多的妥協指标 ( IOC ) ,以及在嘗試談判或付款時可能需要跨越的更多障礙贖金。
思科 Talos 小組的研究人員在他們的年度報告中表示:" 我們可以将加速的格局變化追溯到至少 2021 年的年中,當時 Colonial Pipeline DarkSide 勒索軟件攻擊以及随後執法部門對 REvil 的取締導緻幾個勒索軟件合作夥伴關系的分裂。"。" 快進到今年,勒索軟件領域似乎一如既往地充滿活力,各種團體都在适應執法部門和私營企業不斷增加的破壞性努力、内鬥和内部威脅,以及一個競争激烈的市場,勒索軟件開發商和運營商不斷改變他們的隸屬關系尋找最有利可圖的勒索軟件運營方式。"
大型勒索軟件團夥引起過多關注
自 2019 年以來,勒索軟件領域一直由大型專業化勒索軟件運營主導,這些攻擊不斷成為新聞頭條,甚至尋求媒體關注以獲得潛在受害者的合法解釋。我們已經看到勒索軟件組織的發言人為記者提供采訪或在 Twitter 及其數據洩露網站上發布 " 新聞稿 " 以應對重大違規行為。
針對 Colonial Pipeline 的 DarkSide 攻擊導緻 2021 年美國東海岸的燃料供應嚴重中斷,突顯了勒索軟件攻擊可能對關鍵基礎設施造成的風險,并導緻政府最高層加大打擊這一威脅的力度。執法部門的高度關注促使地下網絡犯罪論壇的所有者重新考慮他們與勒索軟件團體的關系,一些論壇禁止發布此類威脅的廣告。此後不久,DarkSide 停止運營,同年晚些時候緊随其後的是 REvil(也稱為 Sodinokibi),其創作者被起訴,其中一人甚至被捕。REvil 是自 2019 年以來最成功的勒索軟件組織之一。
俄羅斯于 2022 年 2 月入侵烏克蘭,這迅速給許多在俄羅斯和烏克蘭或其他前蘇聯國家成員和附屬機構的勒索軟件組織之間的關系帶來了壓力。一些團夥,如 conti,在戰争中争先恐後地站隊,威脅要攻擊支持俄羅斯的西方基礎設施。這與通常的類似商業的非政治方法背道而馳,在這種方法中,勒索軟件團夥開展業務并招緻其他競争團體的批評。
随後還發生了内部通訊洩露事件,暴露了 Conti 團夥的許多運營機密,并引起了其附屬公司的不安。在哥斯達黎加政府遭到重大襲擊後,美國國務院懸賞 1000 萬美元,以獲取與 Conti 團夥領導人的身份或位置有關的信息,這可能是該組織在 5 月份決定關閉行動的原因之一。
Conti 的消失導緻勒索軟件活動在幾個月内有所下降,但這并沒有持續多久,因為空白很快被其他團體填補,其中一些是新成立的,并且被懷疑由 Conti 前成員創建,例如 REvil 和其他團夥在過去兩年停止運營的組織。
2023 年最值得關注的活躍勒索軟件團夥
LockBit 一馬當先
LockBit 是在 Conti 關閉後通過改進其附屬程序并啟動新的改進版本的勒索軟件程序來加強其運營的主要團夥。盡管它自 2019 年以來一直在運作,但直到 LockBit 3.0 之後,該組織才設法在勒索軟件威脅領域處于領先地位。
根據多家安全公司的報告,LockBit 3.0 在 2022 年第三季度造成了最多的勒索軟件事件,并且是其數據洩露網站上列出的全年受害者人數最多的組别。這個小組可能會在 2013 年看到自己的衍生産品,因為 LockBit 的構建器被一位心懷不滿的前開發人員洩露了。任何人現在都可以構建他們的勒索軟件程序的自定義版本。據 Cisco Talos 稱,一個名為 Bl00dy Gang 的新勒索軟件組織已經開始在最近的攻擊中使用洩露的 LockBit 3.0 生成器。
LockBit 是一個著名的勒索軟件即服務 ( RaaS ) 軟件,已就對多倫多病童醫院(也稱為 SickKids)的攻擊道歉,并提供免費解密器。
12 月 19 日,一家重要的兒科教學醫院 SickKids 宣布名為 Code Gray 的系統出現故障,因為它正在應對影響醫院多個網絡系統的網絡安全事件。
該事件影響了一些内部臨床和公司系統,以及醫院電話熱線和網頁。12 月 29 日,SickKids 表示已恢複其 50% 的優先系統,包括那些導緻診斷或治療延誤的系統。
LockBit 附屬公司并不總是遵守其針對醫院的政策。例如,去年 8 月,LockBit 被用來對付 Center Hospitalier Sud Francilien ( CHSF ) ,并被勒索 1000 萬美元的贖金。在醫院拒絕付款後,患者數據随後被洩露。
顯然,LockBit 已成為頂級勒索軟件團夥,其勒索軟件 3.0 版成為 2022 年第三季度的主要勒索軟件。
它的活動仍在繼續。12 月 25 日,裡斯本港成為 LockBit 的目标,盡管該港口表示沒有任何運營活動受到損害。LockBit 已經在 Tor 暗網中的官方網站上發布了一張索要 150 萬美元的贖金票據。該團夥表示,贖金票據需要在 1 月 18 日之前支付。
LockBit 的創建者将他們的勒索軟件出租給稱為附屬公司的第三方,并控制該程序的加密器和數據洩露網站。該勒索軟件被附屬公司用來破壞網絡,竊取或加密數據,以便從受害者支付的贖金中抽取高達 75% 的費用。
Hive 勒索超過 1 億美元
根據 Cisco Talos 的數據,在 LockBit 之後,2022 年受害者人數最多的團夥是 Hive。這是在今年 Talos 的事件響應活動中觀察到的主要勒索軟件系列,在 Palo Alto Networks 的事件響應案例列表中排名第三,僅次于 Conti 和 LockBit。根據 FBI、美國網絡安全和基礎設施安全局 ( CISA ) 以及美國衛生與公衆服務部 ( HHS ) 的聯合咨詢,該集團在 2021 年 6 月至 2021 年 6 月期間從全球 1,300 多家公司勒索了超過 1 億美元。
" 衆所周知,Hive 攻擊者會使用 Hive 勒索軟件或其他勒索軟件變體重新感染受害者組織的網絡,這些組織在沒有支付贖金的情況下恢複了網絡," 這些機構表示。
Black Basta,Conti 衍生産品
根據 Talos 的觀察,今年第三多産的勒索軟件團夥是 Black Basta,該團夥被懷疑是 Conti 的衍生組織,其技術有一些相似之處。該團夥于 4 月開始運營,就在 Conti 關閉前不久,并迅速改進了其工具集。該團夥依賴 Qbot 木馬進行分發并利用 PrintNightmare 漏洞。
從 6 月開始,該組織還推出了用于 Linux 系統的文件加密器,主要針對 VMware ESXi 虛拟機。這種跨平台擴展也出現在其他勒索軟件組中,例如 LockBit 和 Hive,它們都有 Linux 加密器的勒索軟件,例如用 Rust 編寫的 ALPHV ( BlackCat ) ,可以在多個操作系統上運行。Golang 是另一種跨平台編程語言和運行時,也被一些較小的勒索軟件團夥采用,例如 HelloKitty ( FiveHands ) 。
Royal 勒索軟件團夥勢頭強勁
另一個被懷疑與 Conti 有聯系并在今年早些時候出現的組織叫做 Royal。雖然它最初使用的是來自其他組織(包括 BlackCat 和 Zeon)的勒索軟件程序,但該組織似乎受到 Conti 的啟發或基于 Conti 開發了自己的文件加密器,并迅速獲得了發展勢頭,在 11 月的受害者數量上超過了 LockBit。按照這個速度,Royal 預計将成為 2023 年最主要的勒索軟件威脅之一。
Vice Society 瞄準教育行業
Royal 并不是唯一一個通過重複使用他人開發的勒索軟件程序而取得成功的勒索軟件團夥。根據 Cisco Talos 的數據,根據其數據洩露網站上列出的受害者數量,其中一個名為 Vice Society 的組織是第四大團夥。該團夥主要針對教育部門的組織,并依賴于 HelloKitty 和 Zeppelin 等現有勒索軟件系列的分支。
更多勒索軟件團夥對威脅情報構成挑戰
" 大型勒索軟件壟斷的終結給威脅情報分析師帶來了挑戰," 思科 Talos 研究人員表示。" 在 Talos 主動監控的數據洩露站點的帖子中,至少有 8 個團夥占了 75%。新團夥的出現使得歸因變得困難,因為對手跨多個 RaaS 組織工作。"
LockBit 等一些團夥已經開始引入額外的勒索方法,例如 DDoS 攻擊,以迫使受害者支付贖金。
這種趨勢可能會在 2023 年繼續,勒索軟件團夥預計會想出新的勒索策略,在部署最終勒索軟件有效負載之前,通過對受害者的攻擊獲利。Cisco Talos 表示約一半的勒索軟件相關事件響應活動處于勒索軟件前期階段,這表明公司在檢測與勒索軟件前期活動相關的 TTP 方面做得越來越好。
