上半年勒索軟件態(tài)勢(shì)洞察報(bào)告

1、目錄 HYPERLINK l _bookmark0 前言 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 1、勒索軟件事件趨勢(shì) HYPERLINK l _bookmark1 3 HYPERLINK l _bookmark2 2、勒索軟件贖金要求 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 3、勒索軟件家族類型分布 HYPERLINK l _bookmark3 7 HYPERLINK l _bookmark4 4、勒索軟件行業(yè)分布 HYPERLINK l _bookmark4 9 HYPERLIN

2、K l _bookmark5 5、勒索軟件與 APT 組織 HYPERLINK l _bookmark5 9 HYPERLINK l _bookmark6 6、2020 年上半年勒索軟件攻擊事件 HYPERLINK l _bookmark6 10 HYPERLINK l _bookmark7 7、小結(jié) HYPERLINK l _bookmark7 13 HYPERLINK l _bookmark8 參考鏈接 HYPERLINK l _bookmark8 14前言在 2020 年過去的大半年里，全世界很多領(lǐng)域都面臨著嚴(yán)峻的挑戰(zhàn)，而網(wǎng)絡(luò)安全領(lǐng)域也不容樂觀，其中勒索軟件的勢(shì)頭一度上升，并出現(xiàn)了新的敲

3、詐勒索模式。盡管勒索病毒感染事件約占惡意軟件總事件的 3%左右，但相比其他惡意軟件破壞力更大，一旦遭遇勒索，企業(yè)將面臨業(yè)務(wù)中斷、高額贖金的風(fēng)險(xiǎn)。深信服千里目安全實(shí)驗(yàn)室從勒索軟件的整體攻擊趨勢(shì)、勒索模式、家族類型和行業(yè)分布情況等方面分析，發(fā)布2020 上半年勒索軟件洞察報(bào)告（以下簡(jiǎn)稱報(bào)告）。1、勒索軟件事件趨勢(shì)根據(jù)深信服安全云腦提供的數(shù)據(jù)顯示，2020 年 2 月開始，勒索軟件從之前的低潮后開始恢復(fù)活力，攻擊勢(shì)頭上升，盡管處在 COVID-19 大流行期間，但針對(duì)政府、學(xué)校和醫(yī)療衛(wèi)生行業(yè)的攻擊并沒有減弱。2019 和 2020 上半年勒索攻擊事件趨勢(shì)對(duì)比通過對(duì)大量的勒索事件進(jìn)行調(diào)查分析，以及與一

4、些行業(yè)伙伴的交流，發(fā)現(xiàn)犯罪團(tuán)伙逐漸在形成規(guī)?；纳虡I(yè)運(yùn)作，形成新的勒索軟件合作生態(tài)?；钴S的攻擊團(tuán)伙（例如臭名昭著的 Emotet 和 Trickbot 惡意軟件家族等）在實(shí)施網(wǎng)絡(luò)犯罪的過程中經(jīng)常帶著廣泛的僵尸網(wǎng)絡(luò)感染，他們依靠僵尸網(wǎng)絡(luò)龐大的感染基數(shù)迅速擴(kuò)張，在充分了解受害目標(biāo)的財(cái)務(wù)和 IT 等系統(tǒng)之后，會(huì)將來自第三方的勒索軟件部署在受害者的資產(chǎn)上。勒索軟件合作生態(tài)結(jié)構(gòu)如下圖所示：勒索軟件合作生態(tài)結(jié)構(gòu)圖在合作生態(tài)系統(tǒng)中，各角色獨(dú)立地在高度專業(yè)化的集群中運(yùn)行，在大多數(shù)情況下，各角色會(huì)專注于自己所負(fù)責(zé)的模塊，他們之間除了業(yè)務(wù)聯(lián)系外幾乎沒有其他交集。比如，在過去，攻擊團(tuán)伙和勒索軟件制作團(tuán)隊(duì)往往是同一個(gè)

5、，現(xiàn)在的攻擊團(tuán)伙很多時(shí)候是獨(dú)立于勒索軟件開發(fā)者和運(yùn)營(yíng)商，作為相對(duì)獨(dú)立的角色存在。他們專注于借助僵尸網(wǎng)絡(luò)部署勒索軟件，給受害者造成的損失面更廣。這種新的勒索軟件合作生態(tài)使得勒索威脅的危害上升了一個(gè)新的高 度。2、勒索軟件贖金要求近年來，勒索軟件犯罪組織意識(shí)到使用廣撒網(wǎng)式的戰(zhàn)術(shù)并不能為其帶來更多的投資回報(bào)，于是他們開始逐漸采用復(fù)雜性和針對(duì)性都比較強(qiáng)的交付技術(shù)和機(jī)制，并針對(duì)性發(fā)起大型 “狩獵”活動(dòng)。大型企業(yè)雖然被攻擊的次數(shù)較少，但一旦遭受攻擊往往要繳納高額贖金，從而拉高了平均勒索贖金水平。在 2020 年上半年，排名靠前的勒索軟件攻擊次數(shù)減少，但要求的贖金大大增加。根據(jù)Coveware 的數(shù)據(jù)顯示，

6、與 2019 年相比，2020 年第二季度的贖金要求同比增加了 4 倍【1】，2018Q3-2020Q2 季度平均勒索贖金趨勢(shì)另外有兩個(gè)值得注意的趨勢(shì)，也是推動(dòng)贖金增加的原因：部署勒索軟件前竊取數(shù)據(jù)的模式推動(dòng)了高贖金繳納概率一些勒索軟件運(yùn)營(yíng)商以受害者“不繳納贖金就會(huì)泄露其數(shù)據(jù)”為由鼓勵(lì)攻擊者增加勒索贖金。這種趨勢(shì)始于 2019 年 11 月，以 Maze、Sodinokibi、DoppelPaymer 等新型勒索軟件為代表，在進(jìn)行攻擊時(shí)會(huì)先竊取受害者的私密數(shù)據(jù)，如果受害者不支付贖金，攻擊者會(huì)公開或拍賣這些被盜數(shù)據(jù)。這無疑給受害者新增數(shù)據(jù)外泄的壓力，從而大幅提高受害者繳納贖金的概率。勒索軟件即服

7、務(wù)（RaaS）持續(xù)盛行，運(yùn)營(yíng)商正在尋求更高的贖金要求犯罪組織利用新的低成本勒索軟件即服務(wù)（RaaS）發(fā)起攻擊，不再需要深厚的技術(shù)專長(zhǎng)即可參與網(wǎng)絡(luò)犯罪。在針對(duì)大型企業(yè)的勒索軟件系列中，RaaS 運(yùn)營(yíng)商正在尋求更高的贖金要求，十萬百萬的贖金要求已成為常態(tài)。3、勒索軟件家族類型分布從深信服處理的勒索應(yīng)急事件來看，將近 70的勒索軟件攻擊是由四種最常見的勒索軟件變種（Crysis、GlobeImposter、Sodinokibi、Phobos）進(jìn)行的，他們的大部分攻擊是利用 RDP 爆破作為攻擊入口。除此之外，還有幾種新的 RaaS 變體，例如VegaLocker、 MedusaLocker 等，這些

8、新進(jìn)入者以較低的前期成本和技術(shù)知識(shí)吸引了網(wǎng)絡(luò)犯罪初學(xué)者。2020 年上半年應(yīng)急事件勒索家族分布對(duì)過去半年應(yīng)急響應(yīng)的勒索軟件攻擊媒介進(jìn)行整理發(fā)現(xiàn)，遠(yuǎn)程桌面協(xié)議（RDP）入侵和電子郵件網(wǎng)絡(luò)釣魚的攻擊入口增加，而軟件漏洞和其它攻擊媒介略有減少。攻擊者使用的攻擊媒介表明了他們所偏愛的目標(biāo)規(guī)模。Phobos 幾乎是通過不安全的 RDP 配置來專門針對(duì)小型企業(yè)，該漏洞利用程序便宜且普遍，并且?guī)缀鯖]有操作技術(shù)難度。而對(duì)于大型企業(yè)，攻擊者通常會(huì)采用網(wǎng)絡(luò)釣魚郵件作為初始攻擊。排名前四的勒索軟件入侵方式占比活躍的勒索病毒家族會(huì)發(fā)起針對(duì)性極強(qiáng)的大型“狩獵”活動(dòng)，定制化勒索大量贖金。如 SamSam，這是一個(gè)可追溯到

9、 2016 年的勒索軟件程序，以“高效率的定制化攻擊”而聞名。近年來，Ryuk、Sodinokibi 等新的勒索軟件組織也采用了類似的策略。通過從國(guó)內(nèi)外安全廠商披露的 Sodinokibi/REvil 相關(guān)報(bào)告以及實(shí)際案例分析，可以看到該勒索的完整攻擊路徑：4、勒索軟件行業(yè)分布今年以來，企業(yè)單位和公共部門遭遇的攻擊均出現(xiàn)顯著增長(zhǎng)，值得注意的是，疫情下許多勒索軟件并未對(duì)醫(yī)療行業(yè)“手下留情”，2020 上半年約有 6.4%勒索軟件攻擊針對(duì)醫(yī)療行業(yè)。另外，許多威脅攻擊者會(huì)精心籌劃并注重勒索軟件攻擊時(shí)間，以使勒索收益最大化，例如SNAKE勒索團(tuán)伙針對(duì)本田集團(tuán)的事件中就發(fā)現(xiàn)攻擊團(tuán)伙在病毒代碼中硬編碼了本

10、田集團(tuán)相關(guān)的系統(tǒng)名、公網(wǎng) IP、域名信息等，這意味著此次勒索攻擊行動(dòng)蓄謀已久。COVID-19 的爆發(fā)迫使一些學(xué)校、企業(yè)開放遠(yuǎn)程訪問，但配置不當(dāng)?shù)倪h(yuǎn)程服務(wù)也是導(dǎo)致教育行業(yè)和企業(yè)的攻擊增多的重要原因。如下圖所示，2020 上半年勒索軟件攻擊行業(yè)分布中，企業(yè)、政府、教育行業(yè)排名前三。2020 年上半年勒索攻擊行業(yè)分布5、勒索軟件與 APT 組織通常營(yíng)利性的勒索軟件和APT 組織有較為明顯的區(qū)分。勒索軟件通常只是為了賺錢而部署，而 APT 組織一般以竊取數(shù)據(jù)為目的。因?yàn)?APT 組織的作案手段是針對(duì)極其安全的網(wǎng)絡(luò)的攻擊，這些攻擊長(zhǎng)期持續(xù)存在并且不容易被檢測(cè)。但是拉撒路（Lazarus）似乎模糊了這一

11、界限。Lazarus 組織是 MATA（Dacls）惡意軟件框架的唯一所有者，而該惡意軟件最終會(huì)將 VHD 勒索軟件部署在受害者的主機(jī)上。下圖為卡巴斯基處理一起感染勒索軟件的事件中發(fā)現(xiàn)的攻擊過程圖，攻擊者通過存在漏洞的VPN 網(wǎng)關(guān)進(jìn)行入侵，并獲得了管理員權(quán)限，同時(shí)在受感染的系統(tǒng)上部署了MATA(Dacls)后門，從而能夠接管 Active Directory 服務(wù)器然后將 VHD 勒索軟件部署到網(wǎng)絡(luò)中的所有計(jì)算機(jī)。本次事件表明 APT 組織也可能使用勒索軟件團(tuán)伙的手法進(jìn)行斂財(cái)。Lazarus APT 組織利用 MATA 框架下發(fā)VHD 勒索軟件（圖片來源：/lazarus-on-the-hun

12、t-for-big-game/97757/）6、2020 年上半年勒索軟件攻擊事件勒索病毒產(chǎn)業(yè)鏈在不斷革新技能和規(guī)?；虡I(yè)運(yùn)作，持續(xù)在世界范圍內(nèi)產(chǎn)生嚴(yán)重危害。通過梳理 2020 上半年全球勒索的一些大事件可以看到，上半年勒索軟件依舊十分活躍。7、小結(jié)上述統(tǒng)計(jì)數(shù)據(jù)揭示了 2020 年上半年勒索軟件的主要趨勢(shì)，勒索軟件攻擊的目標(biāo)逐步轉(zhuǎn)向?qū)φ髾C(jī)構(gòu)的精準(zhǔn)攻擊，并采用勒索加竊密數(shù)據(jù)并威脅公開的雙重手段以要求更高的贖金；另外，勒索軟件的商業(yè)運(yùn)作模式逐漸規(guī)模化，新的合作生態(tài)使得威脅上升到一個(gè)新的高度。從勒索軟件的大量增加到攻擊模型的變化可以發(fā)現(xiàn)，勒索軟件依然是犯罪分子的首選工具，勒索軟件的傳播者一直在積極

13、尋找新的方法來從犯罪活動(dòng)中獲利，包括和其他犯罪團(tuán)伙的合作、拍賣竊取的敏感數(shù)據(jù)等手段。隨著安全供應(yīng)商不斷開發(fā)防御系統(tǒng)來檢測(cè)和阻止攻擊，勒索軟件也在不斷發(fā)展，變得更加擅長(zhǎng)隱藏在文件中和正常網(wǎng)站中，避免被傳統(tǒng)的防病毒軟件檢測(cè)到。分散化也是當(dāng)前惡意軟件生態(tài)系統(tǒng)的重要特點(diǎn)，分散化的形式可以產(chǎn)生靈活的業(yè)務(wù)模型，在其中勒索軟件借助僵尸網(wǎng)絡(luò)得以加速識(shí)別受害資產(chǎn)并完成部署。雖然許多組織已經(jīng)通過實(shí)施防病毒軟件和其他基于簽名的解決方案來保護(hù)他們的系統(tǒng)，但是這些方法對(duì)高級(jí)勒索軟件攻擊的抵抗效果還是較小的。企業(yè)單位需要實(shí)施多層次的安全措施，以應(yīng)對(duì)現(xiàn)代勒索軟件的挑戰(zhàn)，從而有效保護(hù)自身網(wǎng)絡(luò)。參考鏈接1https:/ HYPERLINK /blog/q2-2020-ransomware-marketplace-report /blog/q2-2020-ransomware-marketplace-report 2/lazarus-on-the-hunt-for-big-game/97757/ 3/the-deadly-planeswalker-h