通過對勒索軟件泄密網站(有時也被稱為專門泄密網站,縮寫為DLS)的數據進行分析,派拓網絡發布了報告《2024年勒索軟件回顧:Unit 42泄密網站分析》。
泄密網站和派拓網絡的數據集
勒索軟件泄密網站首次出現于2019年,當時的Maze勒索軟件已開始采取雙重勒索手段。Maze勒索軟件會在加密受害者文件之前先竊取其文件,它是第一個通過建立泄密網站來脅迫受害者并發布被盜數據的已知勒索軟件組織。這些攻擊者脅迫受害者付款,不然就解密他們的文件并公開他們的敏感數據。自2019年以來,勒索軟件組織越來越多地在行動中采用泄密網站。
派拓網絡對這些通常可通過暗網訪問的網站數據進行監控,并通過研究這些數據確定趨勢。由于泄密網站在大多數勒索軟件組織中已司空見慣,因此研究人員經常使用這些數據來確定勒索軟件活動的總體水平和判斷某個勒索軟件組織首次活躍的日期。
派拓網絡編制的數據集顯示了2023年勒索軟件組織的演變以及受影響的行業和攻擊的地理分布。更重要的是,勒索軟件的活動量反映了針對關鍵漏洞的零日漏洞攻擊所產生的大規模影響。
關鍵漏洞
派拓網絡在2023年觀察到勒索軟件泄密網站發布了3,998個帖子,較2022年的2,679個帖子增長了約49%。活動增加的原因可能是針對關鍵漏洞的零日漏洞攻擊,例如針對GoAnywhere MFT的CVE-2023-0669或針對MOVEit Transfer SQL Injection的CVE-2023-34362、CVE-2023-35036和CVE-2023-35708等。
CL0P聲稱對MOVEit傳輸漏洞攻擊負責。2023年6月,美國網絡安全和基礎設施局(CISA)估計,因使用CL0P勒索軟件而出名的TA505組織在全球共入侵了約8,000名受害者。這些攻擊的規模迫使易受攻擊的企業必須縮短反應時間,才能有效應對這一威脅。但由于被入侵網站的數據數量龐大,這也迫使該勒索軟件組織作出調整。CL0P并不是唯一一個利用關鍵漏洞的組織。LockBit、Medusa、ALPHV(BlackCat)等勒索軟件組織通過對Citrix Bleed漏洞CVE-2023-4966發起零日漏洞攻擊,在2023年11月期間進行了多次入侵。
在逐月查看勒索軟件泄密網站在2023年報告的入侵次數時,派拓網絡發現某些月份的入侵次數有所增加。這些增長與勒索軟件組織開始利用特定漏洞的日期大致吻合。但并非所有勒索軟件攻擊者都具備利用零日漏洞的能力。有些勒索軟件組織由缺乏經驗的攻擊者組成,他們會利用一切可以利用的手段。然而無論經驗是否豐富,攻擊者名單在不斷變化的威脅環境中一直在更替,2023年就新出現了一些勒索軟件組織。
2023年新出現的勒索軟件組織
鑒于近年來受害者支付的高額贖金,勒索軟件已成為網絡犯罪分子垂涎欲滴的收入來源。這些犯罪分子會組建起新的勒索軟件組織,只不過并非每次行動都能成功或持續。新的勒索軟件組織必須考慮其他惡意軟件所沒有的問題,比如與受害者溝通和提高行動安全性等。勒索軟件行動的公開性增加了其被執法機構、安全廠商和其他防御者發現的風險。勒索軟件組織還必須考慮其競爭對手。在競爭激烈的勒索軟件犯罪市場中,利潤分配、軟件功能和成員支持會極大地影響一個新組織在該市場的地位。
盡管存在這些挑戰,但數據顯示2023年仍出現了25個新的泄密網站。這些組織至少已推出一個勒索軟件即服務(RaaS)產品,并希望成為勒索軟件市場中的有力競爭者。值得注意的是,這些網站中至少有三個是在2022年的某個時候開始活躍的。但派拓網絡在分析中將這些勒索軟件組織作為新組織的原因有二:第一,即使有分析表明這些勒索軟件組織在2022年某個時候已開始運作,但它們都是在2023年才被首次公開報道。第二,要想在當今的勒索軟件犯罪市場中嶄露頭角,泄密網站必不可少。據報道,有三個始于2022年的勒索軟件組織在2023年新建立了泄密網站,分別是:8Base、Cloak、Trigona。
泄密網站數據所反映的新組織數量揭示了勒索軟件犯罪市場的競爭激烈程度。在2023年新建立泄密網站的25個組織中,至少有5個在2023年下半年沒有發布新的帖子,這表明這些組織可能已經關閉。然而,不在泄密網站上發帖并不一定意味著這些組織已經停止運作。這些組織的犯罪分子可能已經轉移到其他類型的行動中、從公眾視野中消失或與其他勒索軟件組織合并。如果其中一些組織沒有持續到一年,新的威脅行為者就會填補空缺。2023年下半年就有12個新的泄密網站發布了帖子,表明這些組織可能在這一年的下半年開始活動。
這25個新泄密網站占2023年勒索軟件發帖總數的約25%。在這些新組織中,Akira的發帖數居于首位。Akira于2023年3月首次被發現并被描述成一個快速發展的勒索軟件組織。研究人員通過與Conti領導團隊相關的加密貨幣交易將該組織與Conti聯系起來。2023年泄密網站發帖數排名第二的是8Base勒索軟件。8Base是自2022年以來活躍的勒索軟件組織之一,但該組織在2023年5月才開始公布受害者。
2023年泄密網站統計數據
通過分析泄密網站數據,可以深入了解勒索軟件的威脅程度。派拓網絡查看了2023年3,998個泄密網站帖子,這些數據揭示了最活躍的組織、受影響最嚴重的行業以及全球受勒索軟件攻擊最嚴重的地區。
組織分布
在2023年的3,998個泄密網站帖子中,LockBit勒索軟件仍然最為活躍,有928個組織,占到總數的23%。LockBit自2019年開始活動以來幾乎沒有中斷,已連續兩年成為最猖獗的勒索軟件組織。隨著Conti、Hive、Ragnar Locker等組織的倒臺,LockBit已成為許多攻擊者首選的勒索軟件,這些攻擊者隨后成為該組織的成員。LockBit發布了多個可影響Linux和Windows操作系統的變體。通過改變免費軟件工具的用途和利用LockBit的快速加密功能,成員可以根據自己的需要定制勒索軟件行動。
泄密帖子數量排在第二位的是ALPHV(BlackCat)勒索軟件,約占2023年泄密網站帖子總數的9.7%。第三名是CL0P勒索軟件,約占2023年帖子總數的9.1%。CL0P因對Progress Software的 MOVEit和Fortra的GoAnywhere MFT等關鍵漏洞發起零日漏洞攻擊而出名。但CL0P在該組織泄密網站上報告的企業數量可能無法準確反映這些漏洞的全部影響。例如,CL0P的泄密網站數據顯示,它在這一年中入侵了364家企業,但一份分析CL0P在2023年利用MOVEit漏洞的報告指出,有2,730家企業受到了影響。我們經常發現泄密網站數據與實際影響之間存在差異,這個典型的例子正好反映了這一點。
月平均值和周平均值
派拓網絡共查看了3,998個勒索軟件帖子,這意味著勒索軟件組織在2023年平均每月產生333個帖子,相當于平均每周發布近77個帖子。2023年的數據顯示勒索軟件活動較2022年有所增長。
2022年的泄密網站帖子數量為2,679,平均每月223個,每周52個。2023年勒索軟件泄密網站的帖子數量較前一年增加了49%。
2023年泄密網站報告數量最多的月份是7月,共有495個帖子。CL0P可能由于大規模利用MOVEit漏洞,而成為當月發布帖子最多的勒索軟件。泄密網站的帖子數量顯示,2023年1月和2月是勒索軟件最不活躍的月份。
受影響的行業
有些勒索軟件組織可能會以特定國家或行業為重點目標,但大多數勒索軟件組織都是以盈利為主要目的投機主義者。因此,許多勒索軟件組織會攻擊多個行業的企業。2023年泄密網站帖子分布情況顯示,制造業受勒索軟件的影響最大,占到帖子總數的14%。這是由于制造商對其運營技術(OT)系統的可見性通常有限,往往對網絡缺乏足夠的監控并且有時未能落實最佳安全實踐。
地區影響
泄密網站數據顯示,2023年大多數受害者都位于美國,占帖子總數的47.6%;其次是英國,占6.5%;加拿大占4.6%;德國占4%。
自2019年泄密網站首次出現以來,美國的企業一直是勒索軟件的首要目標。福布斯全球2000強企業榜單根據銷售額、利潤、資產和市值對全球各大企業進行排名。2023年,美國有610家上榜企業,占福布斯全球2000強企業的近31%。這等于在告訴勒索軟件組織,該國是富裕目標的集中地。
雖然勒索軟件組織傾向于以美國等富裕地區為目標,但這一威脅仍是一個普遍的全球性問題。2023年泄密網站數據顯示,受害者至少覆蓋全球120個國家。
總結
從勒索軟件泄密網站帖子數量可以看出,2023年勒索軟件呈現日益猖獗的發展態勢,勒索軟件活動明顯增加,并顯示了新出現的勒索軟件組織。
CL0P等勒索軟件組織紛紛針對新發現的關鍵漏洞發起零日漏洞攻擊,這讓潛在受害者不知所措。雖然勒索軟件泄密網站數據可以為了解威脅狀況提供寶貴的洞察,但這些數據可能無法準確反映漏洞的全部影響。企業不僅要對已知漏洞保持警惕,還需要制定能夠快速應對和緩解零日漏洞攻擊影響的策略。
保護和緩解措施
派拓網絡的客戶可通過我們內置云端安全服務(包括Advanced WildFire、DNS Security、Advanced Threat Prevention和Advanced URL Filtering)的下一代防火墻更好地防范勒索軟件威脅。
Cortex Xpanse可檢測易受攻擊的服務。Cortex XDR和XSIAM客戶開箱即可獲得針對2023年所有已知主動勒索軟件攻擊的保護,無需在系統中添加其他保護措施。Anti-Ransomware Module幫助防范加密行為,本地分析幫助阻止勒索軟件二進制文件的執行,Behavioral Threat Protection幫助預防勒索軟件活動。Prisma Cloud Defender Agents可監視Windows虛擬機實例中是否存在已知的惡意軟件。