勒索軟件的全球攻擊趨勢分析（一）

手機勒索軟件

與所有設備上的勒索軟件一樣，手機勒索軟件繼續(xù)下降。 2019年，遇到勒索軟件的唯一卡巴斯基用戶總數(shù)為72258。到2020年，這一數(shù)字為33502，下降了54%。

但是，在遭遇任何類型的惡意軟件的總人數(shù)中，遇到勒索軟件的手機用戶的比例保持穩(wěn)定在0.56%。與此同時，檢測到的手機勒索軟件總數(shù)也有所下降，從2019年的333878起下降到2020年的290372起。

2019年至2020年檢測到的手機勒索軟件數(shù)量

有趣的是，雖然2019年7月之后檢測到的手機勒索軟件數(shù)量相對穩(wěn)定下降，僅在2019年7月和2020年2月出現(xiàn)了幾次小峰值，但它在2020年下半年再次開始顯著上升，在去年9月達到3.5萬次檢測。奇怪的是，這是由于勒索軟件編碼器(ransomware Encoder)，它實際上是為Windows工作站設計的，對手機設備并不危險。然而，在2020年9月，Encoder通過Telegram傳播開來，Telegram同時擁有手機和桌面應用。攻擊者最有可能針對的是Windows用戶，當Telegram的手機版本與桌面客戶端同步下載時，手機用戶的手機上意外地安裝了Encoder。

最活躍的手機勒索軟件家族

 

2019年最活躍的手機勒索軟件家族分布

在2019年，近45%的遇到手機勒索軟件的用戶遇到了Svpeng，該家族最初是短信木馬，然后轉而竊取銀行憑據(jù)和信用卡數(shù)據(jù)，最終演變?yōu)槔账鬈浖?。略少?9%的用戶遇到過Rkor和Small。 Rkor是一個典型的locker，它通過色情內(nèi)容傳播，它使用無障礙服務獲得對設備的必要控制，然后鎖定設備，直到支付費用。Small與Rkor非常相似：它會鎖住屏幕，并要求付費才能繼續(xù)看色情片。

排在第四位的是Congur，它是通過WhatsApp等改進后的應用程序傳播的。另一個著名的活躍家族是富索布(Fusob)，他們聲稱自己來自某個權威機構，并表示，目標受害者有義務支付罰款。

2020年最活躍的手機勒索軟件家族的分布

2020年，Small是最常見的手機勒索軟件家族，占比26%，其次是Rkor和Congur。Svpeng是第四大最常見的家族，有14%的用戶遇到過它。

被攻擊用戶的區(qū)域分布

2019年，在移動設備上遭遇勒索軟件的用戶比例最高的國家如下：

 

在所有遭遇惡意軟件的用戶中，被勒索軟件攻擊的用戶所占的比例

遭遇手機勒索軟件用戶最多的國家在全球范圍內(nèi)相對分散，其中美國所占比例最高。哈薩克斯坦緊隨其后，為13.24%。排名前十的其他國家遭遇手機勒索軟件的用戶比例要小得多，加拿大是第三大份額，僅占2.71%。

2020年，遭遇手機勒索軟件用戶比例最高的國家如下：

在所有遭遇惡意軟件的用戶中，被勒索軟件攻擊的用戶所占的比例

到2020年，哈薩克斯坦遇到手機勒索軟件的用戶比例最高，為23.80%，其次是美國，為10.32%。波蘭、西班牙和加拿大被馬來西亞、印度尼西亞和埃及所取代?？偟膩碚f，受影響用戶的百分比下降了，這是可以預料的，因為受手機勒索軟件影響的用戶總數(shù)下降了50%以上。

有針對性攻擊的勒索軟件的興起

雖然檢測到勒索軟件的原始總數(shù)一直在下降，但這些數(shù)字只能說明問題的一部分。當勒索軟件首次成為頭條新聞時，是因為WannaCry、Petya和CryptoLocker等活動：這些大規(guī)?；顒痈信d趣的是攻擊盡可能多的用戶，并從每個用戶敲詐相對較少的金額。例如，在“WannaCry”事件中，攻擊者只索要了300美元后來又將贖金提高到了600美元。

然而，由于幾個潛在的原因，這類攻擊的盈利能力正在下降。鑒于人們對勒索軟件的關注越來越多，安全軟件可能已經(jīng)在阻止勒索軟件威脅方面變得更好了，人們被一再被教育不要支付贖金。此外，在很多國家，人們根本負擔不起這么高的贖金。因此，攻擊者把他們的注意力轉移到那些能付錢的人身上，比如公司。2019年，勒索軟件近三分之一的受害者是企業(yè)。

當然，感染公司需要更復雜、更有針對性的方法，有專門設計的勒索軟件家族就是為了做到這一點。

有針對性的勒索軟件(也稱為“big game hunting”)由用于勒索特定受害者資金的勒索軟件家族組成。這些受害者往往是知名人士，如大公司、政府和市政機構以及醫(yī)療保健組織，要求的贖金遠高于對單獨用戶的要求。通常，他們的攻擊包括以下一個或多個階段：

•  網(wǎng)絡攻擊
• 偵察與堅持
• 橫向運動
• 資料泄漏
• 數(shù)據(jù)加密
• 勒索

最初的感染通常是通過利用服務器端軟件(VPN，Citrix，WebLogic，Tomcat，Exchange等)、RDP暴力攻擊/憑據(jù)填充，供應鏈攻擊或僵尸網(wǎng)絡來發(fā)生的。

卡巴斯基根據(jù)所選的受害者，以及是否使用復雜的方法進行攻擊，比如破壞網(wǎng)絡或橫向移動，將一個特定的勒索軟件集團歸類為“目標”。到目前為止，卡巴斯基已經(jīng)確定了其中的28個目標家庭，其中包括臭名昭著的哈迪斯(Hades)勒索軟件，該軟件針對的是至少價值10億美元的公司。

Hades 勒索軟件于 2020 年 12 月首次被發(fā)現(xiàn)，以引導受害者訪問的 Tor 站點命名。它是 WastedLocker 的 64 位編譯的變種，兩者在代碼上有大量重疊，除了做額外的代碼混淆和小特性的更改外，與 WastedLocker 大部分功能基本相同，包括受 ISFB 啟發(fā)的靜態(tài)配置、多階段持久性 / 安裝過程、文件 / 目錄枚舉和加密功能，差異地方在于，Hades 刪除了 INDRIK SPIDER 在以前的勒索軟件家族(WastedLocker 和 BitPaymer)中一些獨有的功能，包括：

Hades 現(xiàn)在是具有附加代碼混淆功能的 64 位編譯可執(zhí)行文件，目的是為了逃避了簽名檢測和阻礙逆向分析。

大多數(shù)標準文件和注冊表 Windows API 調(diào)用已被其對應的系統(tǒng)調(diào)用替代(即從 NTDLL 導出的用戶模式本機 API)。

Hades 使用的用戶帳戶控制(UAC)繞過方式與 WastedLocker 使用的不同，但這兩種實現(xiàn)都直接來自開源 UACME 項目 https [ : ] //github [ . ] com/hfiref0x/UACME。

Hades 會將名為 HOW-TO-DECRYPT- [ extension ] .txt 的贖金票據(jù)寫入遍歷的目錄，而 WastedLocker 和 BitPaymer 則是為每個加密文件創(chuàng)建票據(jù)。

Hades 將密鑰信息存儲在每個加密文件中， WastedLocker 和 BitPaymer 都將編碼和加密的密鑰信息存儲在特定于文件的贖金票據(jù)中。

Hades 仍將自身復制到 Application Data 中生成子目錄中，但不再使用 :bin 交換數(shù)據(jù)流(ADS)，對 :bin ADS 路徑的使用是 WastedLocker 和 BitPaymer 的特征。

Hades 還體現(xiàn)了一種戰(zhàn)術上的轉變，即不再使用電子郵件通信，也不再使用從受害者那里竊取機密數(shù)據(jù)獲取報酬的可能性。Hades 贖金票據(jù)將受害者定向到 Tor 站點，通過贖金票據(jù)無法識別受害公司，這點在 WastedLocker 和 BitPaymer 中也經(jīng)常看到。

從2019年到2020年，受目標勒索軟件(旨在影響特定用戶的勒索軟件)影響的唯一用戶數(shù)量從985人增加到了8538人，增長了767%。 

2019 - 2020年間，受目標勒索軟件影響的唯一卡巴斯基用戶數(shù)量

在REvil勒索軟件家族的推動下，該勒索軟件在2020年7月出現(xiàn)了一個大高峰，該勒索軟件成功地利用了外匯公司Travelex，勒索了230萬美元。擁有眾多名人客戶的紐約律師事務所Grubman Shire Meiselas & Sacks也在5月份成為了REvil的受害者。其他具有高度針對性的勒索軟件家族也出現(xiàn)在2019年和2020年，其中最引人注目的是Maze。Maze首次出現(xiàn)于2019年，它使用了各種機制來進行初步攻擊。在某些情況下，他們使用魚叉式網(wǎng)絡釣魚活動來安裝Cobalt Strike RAT，而其他攻擊則涉及利用脆弱的面向Internet的服務(例如Citrix ADC / NetScaler或Pulse Secure VPN)或弱RDP憑據(jù)破壞網(wǎng)絡。Maze主要針對企業(yè)和大型組織。他們最著名的攻擊是針對LG和佛羅里達州的彭薩科拉市。

除了針對目標的勒索軟件的興起以外，人們不僅將重點放在數(shù)據(jù)加密上，也更加關注數(shù)據(jù)的泄漏情況，因為攻擊者會搜索高度機密的信息，并威脅稱，如果贖金得不到滿足，就將其公之于眾，以此作為強迫組織支付贖金的一種手段。如果沒有支付贖金，Maze是第一個發(fā)布這些被盜數(shù)據(jù)的勒索軟件小組。此外，這些信息可以在之后的網(wǎng)上拍賣中出售，在2020年夏天，許多農(nóng)業(yè)公司的數(shù)據(jù)庫都成為了REvil的受害者。

最終，Maze與另一個知名的，高度針對性的勒索軟件家族RagnarLocker聯(lián)手，該家族于2020年首次出現(xiàn)。和Maze一樣，RagnarLocker主要以大型組織為目標，并在“羞恥之墻”上公布那些拒絕支付贖金的人的機密信息。該家族的目標非常明確，因此每個惡意軟件樣本都專門針對其所攻擊的組織。

WastedLocker也出現(xiàn)在2020年，并迅速成為全球頭條新聞，因為該公司關閉了知名健身和GPS技術公司Garmin最受歡迎的服務，因為它持有該公司價值1000萬美元贖金的數(shù)據(jù)，攻擊中使用的惡意軟件是專為Garmin設計的。WastedLocker是一種新型勒索軟件，在2020年5月首次發(fā)現(xiàn)，此后一直持續(xù)發(fā)現(xiàn)該勒索軟件的各類變種，其版本變更往往與Evil Corp惡意組織的其他惡意軟件版本變更同步進行。

有針對性的勒索軟件并不局限于一個特定的行業(yè)，它影響了從醫(yī)療保健機構到體育和健身公司的方方面面。

2019-2020年按行業(yè)劃分的目標勒索軟件攻擊分布情況

迄今為止，工程和制造業(yè)是最具代表性的行業(yè)，從2019年到2020年，有25.63%的目標勒索軟件攻擊影響了該行業(yè)。鑒于其數(shù)據(jù)的高度敏感性質(zhì)以及此類公司通常具有很高的價值，這不足為奇。如果系統(tǒng)離線，這也將極大地破壞該行業(yè)的業(yè)務。有7.60%的目標勒索軟件攻擊影響了專業(yè)和消費者服務公司，有7.09%的目標是金融公司。其他受歡迎的目標是建筑與房地產(chǎn)，商業(yè)與零售以及IT與電信。

總結

世界正在進入一個勒索軟件的新時代，任何一種針對普通普通用戶的大規(guī)?；顒佣己芸赡軙浅Ｉ?。當然，這并不是說勒索軟件只對大公司構成威脅。就在去年12月，有一個團體希望通過發(fā)行偽造的手機版本游戲來利用Cyberpunk 2077的發(fā)布，該版本會對用戶下載的文件進行加密。這意味著勒索軟件攻擊者將繼續(xù)部署更先進的技術來滲透網(wǎng)絡和加密數(shù)據(jù)。像Lazarus這樣的APT組織已經(jīng)開始在其工具集中添加勒索軟件。如果其他高級攻擊參與者也效仿，也就不足為奇了。

最大的收獲是，公司無論大小，不僅需要考慮備份他們的數(shù)據(jù)。他們也需要采取全面的方法來保護自己的安全，包括定期打補丁、軟件更新和網(wǎng)絡安全意識培訓。一些針對公司的攻擊包括在系統(tǒng)中獲得最初的立足點，在整個網(wǎng)絡中橫向移動，直到完全控制，然后進行數(shù)月的偵察，然后在造成最佳損害的時刻進行攻擊。在使用REvil勒索軟件攻擊Travelex的過程中，網(wǎng)絡罪犯在實際加密數(shù)據(jù)并要求勒索之前六個月就已滲透到公司的網(wǎng)絡。

緩解措施

1.經(jīng)常更新你使用的所有設備的軟件，以防止勒索軟件利用漏洞。

2.把你的防御策略集中在檢測橫向移動和數(shù)據(jù)泄露到互聯(lián)網(wǎng)上。要特別注意流出的流量，以檢測網(wǎng)絡罪犯的連接。

3.定期備份數(shù)據(jù)，確保在需要的緊急情況下可以快速訪問它。

4.使用諸如卡巴斯基重點檢測和響應以及卡巴斯基托管檢測和響應之類的解決方案，這些解決方案有助于在攻擊者實現(xiàn)最終目標之前盡早識別并阻止攻擊。

本文翻譯自：https://securelist.com/ransomware-by-the-numbers-reassessing-the-threats-global-impact/101965/如若轉載，請注明原文地址。