2023年恶意软件趋势预测

近年来，勒索软件持续占据新闻头条。为了谋取利益，攻击者开始以各种类型的组织为目标 —— 从医疗保健和教育机构到服务提供商和工业组织 —— 几乎影响到我们生活的方方面面。2022 年，卡巴斯基解决方案检测到超过 7420 万次勒索软件攻击尝试，比 2021 年（6170 万）增加了 20%。尽管 2023 年初勒索软件攻击数量略有下降，但它们却表现得更加复杂，且更具针对性。

时值全球反勒索软件日（5 月 12 日），卡巴斯基回顾了 2022 年影响勒索软件格局的事件以及去年预测的趋势，讨论了新兴趋势，并对不久的将来进行了预测。

2022 年勒索软件报告回顾

去年，卡巴斯基详细讨论了三个趋势：

威胁行为者试图开发跨平台勒索软件，使其尽可能具有适应性；

勒索软件生态系统正在进化，变得更加 “工业化”；

勒索软件团伙在地缘政治冲突中战队；

这些趋势一直持续至今。去年的报告发布后，研究人员还偶然发现了一个新的多平台勒索软件家族 RedAlert/N13V，它主要针对非 Windows 平台，支持在 ESXi 环境中阻止虚拟机，清楚地表明了攻击者的目标。

另一个勒索软件家族 LockBit 显然更为先进。安全研究人员发现了一个档案，其中包含了针对一些不太常见的平台（包括 macOS 和 FreeBSD）以及各种非标准处理器架构（如 MIPS 和 SPARC）的恶意软件测试版本。

至于第二种趋势，研究人员看到 BlackCat 在年中调整了 TTP。他们用看起来像被入侵组织的名称注册了域名，建立了类似 “Have I Been Pwned-like” 这样的网站。受害组织的员工可以使用这些网站来检查他们的名字是否出现在被盗数据中，从而增加了受影响组织支付赎金的压力。

尽管研究人员去年发现的第三个趋势是勒索软件组织在地缘政治冲突中有意偏袒一方，但这并不只适用于他们。有一个特殊的样本：一个名为 “Eternity” 的恶意软件。其开发者声称该恶意软件被用于地缘政治冲突后，研究人员的研究表明，围绕 Eternity 存在一个完整的恶意软件生态系统，包括一个勒索软件变体。文章发表后，开发者确保该恶意软件不会影响乌克兰用户，并在该恶意软件中包含一条亲乌克兰的消息。

【恶意软件开发者警告不要在乌克兰使用他们的恶意软件】

【恶意软件代码里存在亲乌克兰的信息】

影响 2022 年勒索软件格局的因素

勒索软件生生灭灭，其中一些在去年停止运行，而另一些又出现了，这不足为奇。例如，研究人员报道了 RedAlert/N13V、Luna、Sugar、Monster 等勒索软件的出现。然而，在 2022 年看到的最活跃的家族是 BlackBasta。当研究人员在 2022 年 4 月发布关于 BlackBasta 的初步报告时，只提到了一名受害者，但此后，受害者数量开始急剧增加。同时，该恶意软件本身也在迭代，增加了一种基于 LDAP 的自我传播机制。后来，研究人员还发现了一个针对 ESXi 环境的 BlackBasta 版本，最近的版本甚至支持 x64 架构。

如上所述，当所有这些新团体出现时，其他一些团体（如 REvil 和 Conti）就消失了。Conti 是其中最臭名昭著的，自从他们的档案被泄露到网上并被许多安全研究人员分析以来，他们一直备受关注。

最后，Clop 等其他组织在去年加大了攻击力度，并在 2023 年初达到了顶峰，他们声称使用一个零日漏洞攻击了 130 个组织。

有趣的是，在过去一年中，最具影响力和最多产的五大勒索软件组织（根据其数据泄露网站上列出的受害者数量）发生了巨大变化。现已解散的 REvil 和 Conti 在 2022 年上半年的攻击次数分别排在第二和第三位，在 2023 年第一季度被 Vice Society 和 BlackCat 所取代。2023 年第一季度排名前五的其他勒索软件组织是 Clop 和 Royal。

【按公布的受害者数量排名前五的勒索软件组织】

从事件响应的角度来看勒索软件

去年，全球应急响应小组（GERT）处理了许多勒索软件事件。事实上，这是他们面临的头号挑战，尽管 2022 年勒索软件的份额比 2021 年略有下降，从 51.9% 降至 39.8%。

就初始访问而言，GERT 调查的案例中有近一半（42.9%）涉及利用面向公众的设备和应用程序中的漏洞，例如未打补丁的路由器、Log4j 日志实用程序的易受攻击版本等。第二大类示例包括被盗帐户和恶意电子邮件。

勒索软件组织使用的最流行的工具几乎每年都保持不变。攻击者习惯使用 PowerShell 来收集数据，使用 Mimikatz 来升级权限，使用 PsExec 来远程执行命令，或者使用 Cobalt Strike 等框架来进行所有攻击阶段。

研究人员对 2023 年趋势的预测

当回顾 2022 年和 2023 年初发生的事件，并分析各种勒索软件家族时，研究人员试图找出这个领域的下一个大事件可能是什么。这些观察得出了三个潜在趋势，研究人员认为这些趋势将影响 2023 年接下来的威胁格局。

趋势 1：更多嵌入式功能

研究人员发现了一些勒索软件组织在 2022 年扩展了其恶意软件的功能。其中，最值得注意的新增功能是自我传播，无论是真的还是假的。如上所述，BlackBasta 通过使用 LDAP 库获取网络上可用计算机的列表来开始自我传播。

LockBit 在 2022 年增加了所谓的 “自扩展” 功能，为运营商节省了手动运行 PsExec 等工具的工作量。尽管研究人员证实，这只不过是一个凭证转储功能，并且在后来的版本中被删除了。

不过，Play 勒索软件确实有一种自我传播机制。它收集启用了 SMB 的不同 IP，建立与这些 IP 的连接，挂载 SMB 资源，然后自我复制并在目标计算机上运行。

最近，许多臭名昭著的勒索软件组织都采用了自我传播机制，这表明这种趋势将持续下去。

趋势 2：驱动器滥用

滥用易受攻击的驱动程序达到恶意目的可能是老把戏了，但它仍然有效，特别是在杀毒（AV）驱动程序上。Avast Anti-Rootkit 内核驱动程序包含某些以前曾被 AvosLocker 利用过的漏洞。2022 年 5 月，SentinelLabs 详细描述了驱动程序中的两个新漏洞（CVE-2022-26522 和 CVE-2022-206523）。这些漏洞后来被 AvosLocker 和 Cuba 勒索软件家族利用。

杀毒驱动程序并不是唯一被攻击者滥用的驱动程序。研究人员最近还发现了一个被勒索软件攻击者滥用的 Genshin Impact 反作弊驱动程序，用于终止目标设备上的端点保护。

驱动器滥用趋势还在继续演变。卡巴斯基报告的最新案例相当奇怪，因为它不符合前两个类别中的任何一类。合法的代码签名证书（如英伟达泄露的证书和科威特电信公司的证书）被用来签署恶意驱动程序，该驱动程序随后被用于针对阿尔巴尼亚组织的 wiper 攻击。wiper 使用 rawdisk 驱动程序直接访问硬盘。

趋势 3：采用其他家族的代码以吸引更多的附属机构

主流勒索软件组织正在从泄露的代码或从其他攻击者处购买的代码中借用功能，这可能会改善他们自己的恶意软件功能。

研究人员最近发现 LockBit 组织采用了至少 25% 的泄露的 Conti 代码，并在此基础上发布了一个新版本。像这样的举措使附属机构能够使用熟悉的代码，而恶意软件运营商则有机会提高他们的攻击能力。

勒索软件团伙之间的合作也导致了更高级的攻击。各团伙正在合作开发尖端战略，以规避安全措施并改进攻击。

这一趋势导致了勒索软件业务的兴起，从而催生出更多更高质量的黑客工具，进一步降低了勒索软件攻击的准入门槛，同时提高了勒索攻击的复杂度和成功率。

结语

勒索软件已经存在了很多年，并逐渐演变成复杂多变的网络犯罪行业。威胁行为者一直在尝试新的攻击策略和程序，并不断改进任何可行的策略。勒索软件现在可以被认为是一个成熟的行业，我们预计短期内不会有突破性的发现或游戏颠覆者。

勒索软件组织将继续通过支持更多平台来最大化攻击面。虽然对 ESXi 和 Linux 服务器的攻击现在已经司空见惯，但顶级勒索软件组织正在努力瞄准更多可能包含关键任务数据的平台。这一趋势的一个很好的例证是最近发现了一个示例，其中包含针对 macOS、FreeBSD 和非传统 CPU 架构（如 MIPS、SPARC 等）的 LockBit 勒索软件的测试版本。

除此之外，攻击者在其操作中使用的 TTP 将继续发展，上述的驱动程序滥用技术就是一个很好的例子。为了有效地应对勒索软件参与者不断变化的策略，安全专家建议组织：

及时更新他们的软件，以防止通过漏洞利用感染，这是勒索软件参与者最常使用的初始感染媒介之一。

使用量身定制的安全解决方案来保护其基础设施免受各种威胁，包括反勒索软件工具、目标攻击保护、EDR 等。

通过使用威胁情报服务，保持他们的 SOC 或信息安全团队对勒索软件战术和技术的了解是最新的。

————————————————

原文作者：安全圈

转自链接：https://www.wangan.com/p/11v759c92cc60b0c

版权声明：著作权归作者所有。商业转载请联系作者获得授权，非商业转载请保留以上作者信息和原文链接。