Conti和REvil等大型勒索软件团伙的衰落催生了更多的勒索软件小型团伙,这对网络安全带来了更多的威胁。

勒索软件生态系统在2022年发生了重大变化,网络攻击者从占主导地位的大型团体转向规模较小的勒索软件即服务(RaaS)组织,以寻求更大的灵活性,减少执法部门的关注。勒索软件的民主化对企业来说是一个坏消息,因为它也带来了多样化的战术、技术和程序,需要跟踪更多的妥协指标(IOC),以及受害者在试图谈判或支付赎金时可能会遇到更多的障碍。

思科公司网络安全研究部门Talos团队的研究人员在他们发布的一份年度报告中表示:“我们很可能将安全形势加速变化追溯到2021年年中,当时针对Colonial Pipeline公司进行的DarkSide勒索软件攻击以及随后执法部门对REvil团伙的打击,导致几个勒索软件团伙衰落。而到现在,勒索软件领域似乎一如既往地充满活力,各种团体和组织都在适应政府执法部门的打击和越来越多的破坏性行为、内讧和内部威胁,以及激烈的行业竞争,勒索软件开发者和运营者不断转移他们的从属关系,以运营最有利可图的勒索软件业务。”

大型勒索软件团伙吸引了更多的注意力

自从2019年以来,勒索软件领域一直由专业化的大型勒索软件团伙主导,持续不断的勒索软件攻击成为了新闻头条,得到媒体的更多关注。人们甚至看到勒索软件团伙的发言人接受采访,或者在Twitter和他们的网站上发布新闻,以回应发生的重大泄露事件。

2021年,勒索软件团伙DarkSide攻击了Colonial Pipeline公司的燃油管道设施,导致美国东海岸的燃料供应严重中断,凸显了勒索软件攻击可能对关键基础设施造成的风险,并导致政府部门加大了打击这一威胁的力度。执法部门的高度关注使得网络犯罪论坛的所有者重新考虑他们与勒索软件团伙的关系,一些论坛禁止发布勒索软件攻击的广告。随后DarkSide很快停止攻击,同年晚些时候REvil也更为名Sodinokibi,其创建者被起诉,其中一名创始人被捕。REvil是自从2019年以来最成功的勒索软件团伙之一。

俄乌在2022年2月爆发冲突,很快使许多勒索软件团伙之间的关系趋于紧张,这些团伙在俄罗斯和乌克兰以及前苏联国家都有成员和分支机构。一些勒索软件团伙(例如Conti)急于站队,威胁攻击支持俄罗斯的一些国家的基础设施。这背离了勒索软件团伙通常采取的不涉及政治的做法,这种做法招致了其他勒索软件团伙的批评。

在此之后,勒索软件团伙Conti内部信息泄露也暴露了许多运营机密,并引起了团伙成员的不安。在一次针对哥斯达黎加政府的重大袭击之后,美国国务院悬赏1000万美元,以获取有关Conti团伙领导者身份或位置的信息,这导致该团伙在今年5月决定解散。

Conti团伙的衰落导致勒索软件攻击数量下降了几个月,但这并没有持续太久,因为这一空白很快被其他勒索软件团伙填补,其中一些是新成立的团伙,而这些团伙让人怀疑是Conti、REvil和其他在过去两年停止运营勒索软件团伙的成员所创建的。

2023年最活跃的勒索软件团伙

(1)LockBit目前处于领先地位

LockBit是在Conti团伙解散之后加强运营的主要勒索软件团伙,该团伙通过修改其勒索软件应用程序并推出新版本进行攻击。尽管该团伙自从2019年以来一直在进行攻击,但直到推出LockBit 3.0,该团伙才设法在勒索软件威胁领域占据领先地位。

根据多家安全机构发布的调查报告,LockBit 3.0在2022年第三季度勒索软件攻击事件中攻击次数最多,并且是数据泄露网站上列出的2022年受害者人数最多的勒索软件团伙。人们可能会在2023年看到其衍生产品,因为LockBit代码被一位心怀不满的开发者泄露,现在任何人都可以构建定制版本的勒索软件程序。思科Talos团队表示,一个名为Bl00dy Gang的勒索软件团伙已经开始在勒索软件攻击中使用泄露的LockBit 3.0生成器。

(2)Hive勒索了一亿多美元

根据思科Talos发布的数据,在2022年,除了LockBit团伙之外,声称受害者人数最多的勒索软件团伙是Hive。这是在Talos在2022年的事件响应活动中观察到的主要勒索软件团伙,在Palo Alto Networks公司发布的事件响应案例列表中排名第三,仅次于Conti和LockBit。根据美国联邦调查局、美国网络安全和基础设施安全局(CISA)和美国卫生与公众服务部(HHS)的联合咨询,该团伙在2021年6月至2022年11月期间,从全球1300多家公司勒索了一亿多美元。

美国的这些安全机构指出:“众所周知,Hive团伙会使用勒索软件或另一种勒索软件变体重新感染受害者的网络,而这些受害者在未支付赎金的情况下恢复了网络。”

(3)BlackBasta是Conti的衍生产品

根据思科Talos的观察,2022年第三大勒索软件团伙是Black Basta,该团伙被怀疑是Conti的子公司,在技术上有一些相似之处。Black Basta于今年4月开始运营,不久之后Conti团伙就宣布解散,并迅速开发了自己的工具集。该团伙依靠Qbot木马进行传播,并利用Print Nightmare漏洞进行攻击。

从2022年6月开始,该团伙还为Linux系统推出了一种文件加密器,主要针对VMware ESXi虚拟机进行攻击。这种跨平台扩展也出现在其他勒索软件团伙中,如LockBit和Hive,它们都有Linux加密器,或者是用Rust编写的勒索软件,如ALPHV(BlackCat),这允许它在多个操作系统上运行。Golang是另一种跨平台编程语言和运行时,也被一些规模较小的勒索软件团伙采用,例如HelloKitty(FiveHands)。

(4)Royal发展势头强劲

今年早些时候出现的另一个被怀疑与Conti有联系的勒索软件团伙的名称为Royal。虽然该团伙最初使用了来自其他团伙(包括BlackCat和Zeon)的勒索软件程序,但该团伙开发了自己的文件加密程序,似乎是受到Conti的启发或是采用Conti的程序,并得以迅速发展,在2022年11月攻击的受害者数量超过了LockBit。按照这个发展速度,Royal预计将成为2023年最大的勒索软件威胁之一。

(5)Vice Society以教育部门为目标

Royal并不是唯一一个通过重新利用他人开发的勒索软件程序而获得成功的勒索软件团伙。根据思科Talos在网站上列出的受害者数量,Vice Society勒索软件攻击名列第四。该团伙主要针对教育部门进行攻击,并依赖于现有勒索软件家族的分支,例如HelloKitty和Zeppelin。

更多的勒索软件团伙对网络安全构成挑战

思科Talos的研究人员表示:“勒索软件垄断的终结给网络安全分析人员带来了挑战。”在Talos监控的数据泄露网站上,至少有8个勒索软件团伙发布了75%的帖子。由于对手在多个勒索软件即服务(RaaS)团体工作,了解新出现的勒索软件团伙的归属变得更加困难。”

LockBit等一些勒索软件团伙已经开始引入其他勒索手段,例如DDoS攻击,迫使受害者支付赎金。这种趋势很可能会在2023年持续下去,勒索软件团伙预计会提出新的勒索策略,在部署最终勒索软件之前,对受害者的勒索攻击实现货币化。思科Talos与勒索软件相关的事件响应服务的调查有一半处于勒索软件攻击之前的阶段,这表明企业在检测与勒索软件前活动相关的战术、技术和程序方面正在变得越来越好。