2023勒索軟件年中報告-2023.09

2023勒索軟件年中報告2023-07雙子座實驗室2023

勒索軟件年中報告目錄contentsP3P4P5P7P8P8概述TOP

勒索軟件攻擊統(tǒng)計TOP3

勒索軟件攻擊活動2023

年上半年活躍勒索軟件特點總結(jié)附錄概述2022

年統(tǒng)計數(shù)據(jù)顯示，勒索軟件的攻擊事件較之前年增長了

20%

以上，勒索軟件已然成為網(wǎng)絡(luò)安全領(lǐng)域當之無愧的頭號威脅。放眼

2023

年上半年，勒索軟件活動雖然有所減少，但其攻擊卻變得更加復雜并具有針對性。與此同時，包括

Revil、Conti

在內(nèi)的知名勒索軟件雖已逐漸退出舞臺，但其源代碼至今仍被許多新型勒索軟件沿用并加以改進。勒索團伙不斷推陳出新，勒索市場也愈發(fā)顯現(xiàn)出百家爭鳴的景象。盡管如此，2023

年上半年最為活躍的勒索軟件依然是Lockbit，其通過不斷進行版本更新、完善運營機制，牢牢地占據(jù)著勒索軟件市場的半壁江山。而后起之秀

BianLian

和

BlackCat

也不甘示弱，成功擠進了2023

上半年的排名前五。綜合來說，上半年勒索軟件的發(fā)展具有如下特點：1.

勒索軟件生態(tài)系統(tǒng)不斷進行優(yōu)化，運營體系更加完善，逐步向工業(yè)化發(fā)展；2.

勒索軟件攻擊平臺更加多樣化，針對各類系統(tǒng)開發(fā)新版本，使其具有更廣泛的適用性；3.

附屬公司活躍，積極參與

TTP

改進，采用多種方式進行滲入（如釣魚攻擊、漏洞利用等）；4.

目標行業(yè)廣泛，即使有小部分勒索軟件有一定的政治傾向，但其目標仍以獲取經(jīng)濟利益為主。32023

勒索軟件年中報告TOP

勒索軟件攻擊統(tǒng)計01天際友盟雙子座實驗室追蹤了

2023

年上半年活躍勒索軟件組織的攻擊活動，并根據(jù)勒索軟件暗網(wǎng)數(shù)據(jù)泄露站點統(tǒng)計出了

TOP7

勒索軟件的受害者數(shù)量（如圖

1）。從圖

1

可以看勒索組織，BlackCat

和

CL0P

緊隨其后，2022

年新出現(xiàn)的勒索組織BianLian

則在經(jīng)歷了去年年底的短暫寂靜后再次發(fā)力，順利躍居第四位。出，LockBit

以

806

名受害者數(shù)量遙遙領(lǐng)先于其它9008007006008065004003002001000213144109664526LockbitBlackCatCL0PBianLianBlackBastaViceSocietyAvoslocker圖1

暗網(wǎng)最為活躍的

TOP7

勒索軟件受害者數(shù)量根據(jù)上半年的活躍勒索軟件攻擊事件，我們統(tǒng)計了

10

個易受勒索攻擊的目標國家，如圖

2

所示：伊朗巴基斯坦中國美國澳大利亞法國加拿大德國韓國英國圖2TOP10

目標國家4可以看出，歐美地區(qū)尤其是美國是勒索組織的首選目標國家，這些國家的經(jīng)濟相對發(fā)達，擁有大量具有豐厚

財務(wù)資源的大中型公司，因此成為了旨在獲取經(jīng)濟利益的勒索團伙的優(yōu)先攻擊對象。TOP3

勒索軟件攻擊活動022.1LockBit截止目前，LockBit

一方面常稱為“附屬公司”）出售其勒索軟件及相關(guān)變體的訪問權(quán)限，并支持附屬公司部署勒索軟件以換取預付款、訂閱費、利潤分成或三者的組合。Lockbit

還允許附屬公司在向其發(fā)送分成之前從受害者收取贖金，這種做法使其得到快速發(fā)展和壯大。另一方面，LockBit

也是最為活躍的勒索軟件之一，其上半年在暗網(wǎng)的數(shù)據(jù)泄露主頁上發(fā)布了

806

名受害者，利用的軟件版本包括LockBit2.0、LockBit

3.0、LockBit

Green和LockBitLinux-ESXiLocker，其中LockBit3.0最為活躍，LockBit2.0

緊隨其后。LockBit

通過創(chuàng)新技術(shù)、持續(xù)開發(fā)其控制面附屬公司也在不斷修改用于部署和執(zhí)行勒索軟件的

TTPs。2023

年

1

月，新變種

LockBit

Green

被發(fā)現(xiàn)結(jié)合了來自Conti

勒索軟件的源代碼。2023

的

4

月，針對

macOS

的

LockBit

勒索軟件加密程序在

VirusTotal

上出現(xiàn)。此外，LockBit

在攻擊過程中還利用了很多漏洞，主要漏洞列表如下：是全球部署最為廣泛的勒索軟件組織和

RaaS提供商。該組織可向個人或運營商團體（通板和

RaaS

支持功能取得了巨大成功。與此同時，LockBit

的各個CVE

漏洞漏洞名稱CVE-2023-0669CVE-2023-27350CVE-2021-44228CVE-2021-22986CVE-2020-1472CVE-2019-0708CVE-2018-13379FortraGoAnyhare托管文件傳輸（MFT）遠程執(zhí)行代碼漏洞PaperCutMF/NG

訪問控制不當漏洞ApacheLog4j2

遠程執(zhí)行代碼漏洞F5BIG-IP/BIG-IQiControlREST未授權(quán)遠程代碼執(zhí)行漏洞網(wǎng)絡(luò)登錄權(quán)限提升漏洞Microsoft

遠程桌面服務(wù)遠程代碼執(zhí)行漏洞FortinetFortiOS安全套接字層（SSL）VPN

路徑遍歷漏洞表1

LockBit

勒索軟件主要利用漏洞LockBit

的主要攻擊目標位于歐美國家，但在最近的半年活動中，也披露過針對亞洲國家的攻擊活動。?

活動一：LockBit

針對韓國個人傳播惡意軟件實行勒索此次活動中，LockBit

使用O?ce

Open

XML

的

docx

文件作為感染鏈源頭，文件使用韓語編寫。LockBit

將托52023

勒索軟件年中報告管惡意模板文件

(.dotm)

的

URL

注入到

settings.xml.rels

文件中，使文檔能夠從遠程服務(wù)器下載惡意

dotm

文件。受害主機一旦與遠程服務(wù)器成功建立連接，就會下載并執(zhí)行惡意模板文件。下載的模板文件包含混淆的VBA

宏，攻擊者使用這種技術(shù)來繞過檢測機制，最終

VBA

腳本會通過

PowerShell

命令下載

LockBit

程序相關(guān)內(nèi)容。活動二：基國內(nèi)安全廠商近期發(fā)現(xiàn)，基于

2022

年

9

月泄露的

LockBit3.0

勒索軟件構(gòu)建器開發(fā)的新加密器正在國內(nèi)傳播，且該加密器只在原有的基礎(chǔ)上修改了一些細節(jié)部分，如加密完成后僅修改擴展名、勒索信文件名及內(nèi)容等。此外，本次勒索活動發(fā)現(xiàn)的樣本使用

Salsa-20算法加密文件，樣本執(zhí)行后，被加密的文件默認添加后綴名變化為“.xNimqxKZh”，于

LockBit3.0

勒索軟件構(gòu)建器的新加密器在國內(nèi)傳播贖金提示信息文件名則改為“xNimqxKZh.README.txt”。2.2BlackCatBlackCat（又名

AlphaVM、AlphaV

或

ALPHV）于

2021

年

11

月首次被觀察到，是索軟件即服務(wù)（RaaS）組織，其攻擊目標遍布全球多個國家和組織。該組織的附屬公司可以獲取高達

90%

的贖金分成，因此迅速吸引了眾多參與者，其攻擊手段包括利用網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)設(shè)備（如

VPN

網(wǎng)關(guān)）中的常見漏洞，以及通過

RDP協(xié)議嘗試遠程登錄。成功入侵后會使用

PowerShell

修改整個受害者網(wǎng)絡(luò)中的

WindowsDefender

安全設(shè)置，并使用PsExec

在多個主機上啟動勒索軟件。除了使用常見的雙重

勒索策略外，如果勒索組織的贖金要求得不到滿足，攻擊一個使用三重

勒索策略的勒者還會發(fā)動分布式拒絕服務(wù)（DDoS）攻擊進行三重

勒索。2023

年上半年，BlackCat

在其暗網(wǎng)主頁上披露了

213

名受害者，這些受害者分布在澳大利亞、巴哈馬、法國、德國、意大利、荷蘭、菲律賓、西班牙、英國和美國等國家，目標行業(yè)涉及商造、制藥、零售和

IT

技術(shù)等行業(yè)。2023

年

4

月，Mandiant

披露了BlackCat

勒索組織的一個新的附屬機構(gòu)公開暴露的Veritas

Backup

Exec

服務(wù)器備份軟件，其易受CVE-2021-27876、CVE-2021-27877、CVE-2021-27878的漏洞攻擊，主要被攻擊者用于獲取初始訪問權(quán)限。BlackCat

組織此前的初始入侵方法主要依靠所竊取的憑據(jù)，此次活動則表明其開始轉(zhuǎn)向采用借助已知漏洞實施攻擊的策略。在獲得

Veritas

Backup

Exec

服

務(wù)器

的

訪

問

權(quán)限

后，UNC4466

會使用

IE

瀏覽器從其網(wǎng)站下載

Advanced

IPScanner

工具。該工具能夠掃描單個

IP

地址或

IP

地址范圍以查找開放端口，并返回主機名、操作系統(tǒng)和硬件制造商信息。此外，UNC4466

還會利用

ADRecon

收集受害者環(huán)境中的網(wǎng)絡(luò)、帳戶和主機信息。最后，UNC4466

將使用后業(yè)服務(wù)、建筑、能源、金融、物流、制臺智能傳輸服務(wù)

(BITS)

來下載其它惡意工具，包括

LAZAGNE、LIGOLO、WINSW、RCLONE，以及BlackCat

勒索軟件。2.3CL0PCL0P

于

2019

年以勒索軟件即服務(wù)

(RaaS)

的運營形式首次出現(xiàn)，經(jīng)常被黑客組織

(

如

FIN11、TA505)

所使用，與大部分勒索組織一樣，CL0P

旨在獲取經(jīng)濟利益，并通過雙重

勒索策略實現(xiàn)這一目標。CL0P

勒索軟件通過多種方式傳播，例如包含惡意附件或鏈接的釣魚郵件、RDP

和漏洞計算機，它就會立即開始加密文件并釋放贖金票據(jù)。自

2023

年

1

月以來，CL0P

勒索軟件全球受害者已達

144

名，其目標廣泛，受影響行業(yè)包括

IT、醫(yī)療、專業(yè)服務(wù)和政府組織等，主要攻擊國家為美國。2023

上半年，CL0P組織主要通過文件傳輸服務(wù)中的多個漏洞進行廣泛攻擊，其上半年活動如下：利用工具包等。一旦感染62023

年

1

月下旬，CL0P

勒索組織利用零日漏洞活動。該組織聲稱從GoAnywhereMFT平臺竊取了數(shù)據(jù)，這些數(shù)據(jù)在10天內(nèi)影響了大約130名受害者。從

2023

年

5

月

27

日開始，CL0P

勒索軟件團伙開始利用

Progress

Software

的托管文件傳輸（MFT）解決方案MOVEit中的一個未知的SQL注入漏洞（CVE-2023-34362）進行攻擊。目標的

MOVEitTransfer

Web應(yīng)用程序感染（CVE-2023-0669）發(fā)起了一場針對

GoAnywhere

MFT

平臺的了名為LEMURLOOT的Webshell，該shell隨后被用來從底層MOVEitTransfer

數(shù)據(jù)庫竊取數(shù)據(jù)。2023

年

2

月，Sentinelone

觀察到了

CL0P

第一個針對

Linux

系統(tǒng)的

CL0P

勒索軟件的

ELF

變種。新變種與Windows

變種類似，使用相同如

API

調(diào)用。此外，研究人員還在針對

Linux

系統(tǒng)的

ELF

變種中發(fā)現(xiàn)了一個有缺陷的勒索軟件加密邏輯，它可以在不支付贖金的情況下解密鎖定的文件。證明此變種還在開發(fā)完善過程中。2023

年

6

月

27

日，CL0P

勒索軟件團伙宣布攻擊了西門子能源公司、施耐德電氣等

5

個組織，引起了巨大震動，這也從側(cè)面說明

CL0P

開始瞄準能源礎(chǔ)設(shè)施進行攻擊。下圖為

6

月份攻擊的

5

個具體組織的名稱：的加密方法和類似的過程邏輯，但它包含一些小差異，主要歸因于操作系統(tǒng)差異，例基UPDATESWERUM.COMPAGE

PUBLISHEDSE.COMPAGE

PUBLISHEDSIEMENS-ENERGY.COMPAGE

PUBLISHEDUCLA.EDUPAGE

PUBLISHEDABBVIE.COMPAGE

PUBLISHED圖3CL0P

勒索軟件攻擊目標2023

年上半年活躍勒索軟件特點032023

年上半年勒索軟件產(chǎn)業(yè)依舊蓬勃發(fā)展，除了上述

TOP3

勒索軟件以外，其它勒索軟件也有著期間，涌現(xiàn)出的各類新型勒索軟件大多數(shù)還繼承了一些源碼泄露的知名勒索軟件的特點，并且加入新功能進行完善升。以下是我們從編程語言、攻擊平臺、加密算法、攻擊手段等方面總結(jié)出上半年活躍的勒索軟件的特點。不俗的表現(xiàn)。提序號勒索軟件特點1WannaCry-Imitator針對

windows

平臺，基于

Crypter

修改，使用

Python

語言編寫，加密文件后綴為

.wncry。2DarkRace與

Lockbit

有相似之處，使用

C、C++

語言編寫，專門針對

Windows

操作系統(tǒng)，采用雙重

勒索策略。72023

勒索軟件年中報告序號勒索軟件特點基于

C++

開發(fā)，使用

ChaCha20

和

RSA算法加密文件，支持多種平臺，包括

Windows、3NoEscapeLinux、VmwareESXi

服務(wù)器等，利用反射式

DLL

注入技術(shù)。使用AES

和

RSA算法加密，加密文件后綴為.akira，攻擊針對

Windows

系統(tǒng)。采用"

竊取數(shù)456Akira據(jù)

+

加密文件

"

的模式運營。通過VPN

設(shè)備的已知漏洞獲得初始訪問權(quán)限。采用AES-256-CBC算法加密文件，加密文件添Cactus加擴展

".cts0"

或

".cts1"。編程語言第一個版本由

C#

編寫，第二個版本則基于

Golang

語言，并且集成特權(quán)提升技術(shù)，可BlackByte利用目標系統(tǒng)的驅(qū)動程序

(BYOVD)

漏洞。第三個版本

BlackByteNT基于

C++

編寫。7RAGroup使用

C++

語言編寫，利用

curve25519、cipherhc-128算法加密。8Bl00dy基于

LockBit、Babuk

和

Conti

泄露源代碼，主要利用

PaperCut

漏洞(CVE-2023-27350)。9BabLockBlackBitRTMLockerCrossLockRorschachMoney主要利用漏洞CVE-2022-41352，常使用白進程注入、DLL

側(cè)載繞過殺軟等技術(shù)。1011121314具有權(quán)限維持、防御規(guī)避和自動恢復的功能，加密文件后綴為

.BlackBit。針對

Linux

系統(tǒng)，利用

ChaCha20算法進行對稱加密，ECDH

進行非對稱加密?；?/p>

GoLang

編程語言，使用

Curve25519

和

ChaCha20算法。加密速度快，惡意側(cè)載

DLL，文件加密之后填充隨機數(shù)字。使用

ECDH

和

ChaCha20算法，使用

json

配置文件靈活設(shè)置加密策略，不更改文件名和擴展名。基于

C

語言編寫，針對

Windows

系統(tǒng)，利用

Windows

的零日漏洞攻擊，并使用帶有“–15Nokoyawaconāg”命令行參數(shù)的加密

json

配置啟動。16171920Rcru64針對

windows

系統(tǒng)，使用

AES+RSA算法。TrigonaDarkPowerIceFire采用

AES

加密算法，加密時不區(qū)分文件擴展名。Nim

編寫，版本不同加密方法不同。利用漏洞CVE-2022-47986，針對

Windows

和

Linux

雙系統(tǒng)。針對

VMwareESXi

服務(wù)器，利用

ESXi服務(wù)器中的已知漏洞進行攻擊，使用

RSA

和

sosemanuk212223ESXiArgsTrigonaMimic算法加密。使用加密算法

AES-256

和

RSA-4096。利用搜索工具

Everything

的接口進行攻擊，與Conti

代碼相似，加密文件使用.QUIETPLACE作為擴展名。BlackCat

的附屬組織，利用CVE-2021-27876、CVE-2021-27877、CVE-2021-27878

漏洞，使25UNC4466用

Rust

語言編寫。26Rhysida針對

Windows

系統(tǒng)，使用

4096

位

RSA

密鑰和

ChaCha20算法，以

.rhysida

作為擴展名。表22023

年上半年主要勒索軟件特點8綜上所述，2023

年上半年勒索軟件特點如下：1)

編程語言上：編程語言趨向多樣化，雖然使用

C、C++

語言編寫的軟件依舊很多，但攻擊者也已逐漸轉(zhuǎn)向使用移植性更好、更為便捷的語言進行開發(fā)；2)

攻擊平臺上：絕大部分只針對

Windows

系統(tǒng)，一部分可針對雙系統(tǒng)或

Linux

系統(tǒng)，還有專門針對其它系統(tǒng)或設(shè)備（如

VPN

等）開發(fā)的新版本；3)

攻擊手段上：利用已知或

0day

漏洞4)

加密算法上：采用對稱加密、非對稱加密或兩者相結(jié)合，對稱加密算法采用

ChaCha20

居多，非對稱通常采用

4096

位

RSA

密鑰算法。、進程注入、DLL

側(cè)加載等技術(shù)；總結(jié)04總體來說，2023

年上半年各勒索軟件組織依舊表現(xiàn)活躍，TOP

勒索組織的運營也更加完善息來看，各勒索軟件的目標范圍不斷擴大，其中不乏有很多大型企業(yè)或公司，影響日益嚴重

。除了臭名昭著的勒索軟件家族，其它軟件亦呈現(xiàn)百花齊放的姿態(tài)，可以預測，未來勒索攻擊的門檻將不斷降低。但隨著競爭的逐漸激烈，能夠留下來的勒索軟件或組織必然會更加集中，優(yōu)勝劣汰趨勢會更加明顯。對于企業(yè)或者公司而言，如何保護自身的重資產(chǎn)不被加密或者竊取，除了擁有完善的預防措施，還必須具有主動防御的能力，否則等到“亡羊補牢”，為時晚矣！。從披露的受害者信要附錄052023

年上半年主要勒索軟件攻擊事件匯總勒索軟件攻擊事件攻擊時間受害者新勒索軟件

Mimic

利用

Everything

搜索工具瞄準英俄用戶2023.1英國、俄羅斯基于

Lockbit3.0

勒索軟件構(gòu)建器的新加密器在國內(nèi)傳播

2023.1

中國BlackByte

勒索軟件以基于

C++

語言的

(NT)

版本回歸

2023.2

美國Trigona

勒索病毒正廣泛傳播2023.2德國92023

勒索軟件年中報告勒索軟件攻擊事件攻擊時間受害者ESXiArgs

勒索病毒已感染全球

1800

余臺主機2023.2美國、加拿大、澳大利亞Cactus

勒索病毒正通過

FortinetVPN

設(shè)備漏洞傳播

2023.3

新勒索軟件

DarkPower

聲稱第

1

個月攻陷

10

個目標2023.3美國、法國、以色列、土耳其等IceFire

勒索軟件回歸，正瞄準

Linux

企業(yè)網(wǎng)絡(luò)2023.32023.42023.4土耳其、伊朗、巴基斯坦Akira

勒索軟件分析

RTMLocker

勒索軟件瞄準

Linux

系統(tǒng)

基于

GoLang

的

CrossLock

勒索軟件追蹤現(xiàn)今最快的勒索軟件

Rorschach

剖析雙重

勒索軟件組織

Mo