微軟透露其安全團(tuán)隊 Redmond 正在跟蹤 100 多個在攻擊期間部署勒索軟件的攻擊者,總共監(jiān)控到 50 多個在去年被頻繁使用的勒索軟件系列����。
微軟例舉了一些最突出的勒索軟件有效負(fù)載,包括 Lockbit Black���、BlackCat(又名 ALPHV)��、Play����、Vice Society�、Black Basta 和 Royal。但微軟表示“防御策略應(yīng)該更少地關(guān)注有效負(fù)載���,而更多地關(guān)注導(dǎo)致其部署的活動鏈”�,因為勒索軟件仍在針對那些不常見漏洞或最近正需要修補(bǔ)漏洞的設(shè)備進(jìn)行攻擊����。
圖片來自網(wǎng)絡(luò)/侵刪
攻擊策略
雖然一直有新的勒索軟件系列出現(xiàn),但大多攻擊者在破壞網(wǎng)絡(luò)和通過網(wǎng)絡(luò)傳播時都使用相同的策略�����,對此類行為進(jìn)行檢測將有助于阻止他們的攻擊。
微軟也提到���,攻擊者越來越依賴網(wǎng)絡(luò)釣魚以外的策略來進(jìn)行攻擊���,比如利用 Exchange Server 的 DEV-0671 和 DEV-0882 漏洞部署 Cuba 和 Play 勒索軟件。就在不久前���,Exchange 團(tuán)隊敦促客戶通過應(yīng)用最新支持的累積更新 (CU) 來為本地 Exchange 服務(wù)器打補(bǔ)丁�,讓他們隨時準(zhǔn)備部署緊急安全更新�����。據(jù)報道�,超過 60000 臺暴露在 Internet 上的 Exchange 服務(wù)器容易受到利用 ProxyNotShell RCE 漏洞的攻擊。與此同時�����, 也有數(shù)千臺服務(wù)器正受到利用 ProxyShell 和 ProxyLogon 漏洞攻擊的風(fēng)險��,這是 2021 年最常被利用的兩個安全漏洞�����。
其他攻擊者也正在轉(zhuǎn)向或使用惡意廣告來提供惡意軟件加載器和下載器����,以傳播勒索軟件和各種其他惡意軟件變種,如信息竊取程序�。例如,一個被追蹤為 DEV-0569 的攻擊者被認(rèn)為是勒索軟件團(tuán)伙的初始訪問代理�,在廣告活動中濫用 Google Ads 來分發(fā)惡意軟件,從受感染的設(shè)備中竊取密碼�,并最終獲得對企業(yè)網(wǎng)絡(luò)的訪問權(quán)限,并將權(quán)限出售給其他攻擊者��,如 Royal 勒索軟件組織�����。
近期活動趨勢
在具體的勒索軟件活動趨勢中���,2022 年的一起標(biāo)志性事件是 Conti 勒索軟件組織在執(zhí)法行動的壓力下迎來終結(jié)�����,但基于勒索軟件即服務(wù) (Raas) 的勒索行為正在興起�����,包括 LockBit����、Hive、Cuba�����、BlackCat 和 Ragnar 在內(nèi)的勒索軟件組織在去年頻繁作案�����。
盡管如此����, 根據(jù)區(qū)塊鏈分析公司 Chainalysis 的數(shù)據(jù),勒索軟件組織去年的勒索收入大幅下降了 40% 左右����,為 4.568 億美元,而前年的收入達(dá)到了創(chuàng)紀(jì)錄的 7.65 億美元�����。但這種下降趨勢并不是因為攻擊次數(shù)減少��,而是因為越來越多的受害者開始拒絕支付勒索贖金�。
最近,在美國司法部�����、聯(lián)邦調(diào)查局����、特勤局和歐洲刑警組織的國際執(zhí)法行動的打擊下,Hive 勒索軟件數(shù)據(jù)泄露和 Tor 支付暗網(wǎng)被查封�,F(xiàn)BI 向受害者分發(fā)了 1300 多個解密密鑰,并獲得了對 Hive 通信記錄����、惡意軟件文件哈希值和 250 個 Hive 分支機(jī)構(gòu)詳細(xì)信息的訪問權(quán)限,美國國務(wù)院也懸賞 1000 萬美元�,尋求 Hive 勒索軟件組織或其他攻擊者與外國政府存在聯(lián)系的線索。
某種程度上說��,在打擊勒索軟件領(lǐng)域�,2023 年似乎迎來了開門紅。
?�。?a href="http://m.jinteng090.cn">碼上科技)
