2023 勒索软件年中报告 2023-07 双子座实验室 2023勒索软件年中报告 目录 contents P3概述 P4TOP勒索软件攻击统计 P5TOP3勒索软件攻击活动 P72023年上半年活跃勒索软件特点P8总结 P8附录 3 概述 1.勒索软件生态系统不断进行优化,运营体系更加完善,逐步向工业化发展; 2.勒索软件攻击平台更加多样化,针对各类系统开发新版本,使其具有更广泛的适用性; 3.附属公司活跃,积极参与TTP改进,采用多种方式进行渗入(如钓鱼攻击、漏洞利用等); 4.目标行业广泛,即使有小部分勒索软件有一定的政治倾向,但其目标仍以获取经济利益为主。 2022年统计数据显示,勒索软件的攻击事件较之前年增长了20%以上,勒索软件已然成为网络安全领域当之无愧的头号威胁。放眼2023年上半年,勒索软件活动虽然有所减少,但其攻击却变得更加复杂并具有针对性。与此同时,包括Revil、Conti在内的知名勒索软件虽已逐渐退出舞台,但其源代码至今仍被许多新型勒索软件沿用并加以改进。勒索团伙不断推陈出新,勒索市场也愈发显现出百家争鸣的景象。尽管如此,2023年上半年最为活跃的勒索软件依然是Lockbit,其通过不断进行版本更新、完善运营机制,牢牢地占据着勒索软件市场的半壁江山。而后起之秀BianLian和BlackCat也不甘示弱,成功挤进了2023上半年的排名前五。综合来说,上半年勒索软件的发展具有如下特点: 01TOP勒索软件攻击统计 天际友盟双子座实验室追踪了2023年上半年活跃勒索软件组织的攻击活动,并根据勒索软件暗网数据泄露站点统计出了TOP7勒索软件的受害者数量(如图1)。从图1可以看出,LockBit以806名受害者数量遥遥领先于其它勒索组织,BlackCat和CL0P紧随其后,2022年新出现的勒索组织BianLian则在经历了去年年底的短暂寂静后再次发力,顺利跃居第四位。 806 900 700600500400300200100 800 213 144109 664526 0LockbitBlackCatCL0PBianLianBlackBastaViceSocietyAvoslocker 图1暗网最为活跃的TOP7勒索软件受害者数量 根据上半年的活跃勒索软件攻击事件,我们统计了10个易受勒索攻击的目标国家,如图2所示: 伊朗巴基斯坦 中国 澳大利亚美国 法国 加拿大 韩国 德国 英国 图2TOP10目标国家 02TOP3勒索软件攻击活动 可以看出,欧美地区尤其是美国是勒索组织的首选目标国家,这些国家的经济相对发达,拥有大量具有丰厚财务资源的大中型公司,因此成为了旨在获取经济利益的勒索团伙的优先攻击对象。 2.1LockBit 截止目前,LockBit一方面是全球部署最为广泛的勒索软件组织和RaaS提供商。该组织可向个人或运营商团体(通常称为“附属公司”)出售其勒索软件及相关变体的访问权限,并支持附属公司部署勒索软件以换取预付款、订阅费、利润分成或三者的组合。Lockbit还允许附属公司在向其发送分成之前从受害者收取赎金,这种做法使其得到快速发展和壮大。另一方面,LockBit也是最为活跃的勒索软件之一,其上半年在暗网的数据泄露主页上发布了806名受害者,利用的软件版本包括LockBit2.0、LockBit3.0、LockBitGreen和LockBitLinux-ESXiLocker,其中LockBit3.0最为活跃,LockBit2.0紧随其后。 LockBit通过创新技术、持续开发其控制面板和RaaS支持功能取得了巨大成功。与此同时,LockBit的各个附属公司也在不断修改用于部署和执行勒索软件的TTPs。2023年1月,新变种LockBitGreen被发现结合了来自Conti勒索软件的源代码。2023的4月,针对macOS的LockBit勒索软件加密程序在VirusTotal上出现。此外,LockBit在攻击过程中还利用了很多漏洞,主要漏洞列表如下: CVE漏洞 漏洞名称 CVE-2023-0669 FortraGoAnyhare托管文件传输(MFT)远程执行代码漏洞 CVE-2023-27350 PaperCutMF/NG访问控制不当漏洞 CVE-2021-44228 ApacheLog4j2远程执行代码漏洞 CVE-2021-22986 F5BIG-IP/BIG-IQiControlREST未授权远程代码执行漏洞 CVE-2020-1472 网络登录权限提升漏洞 CVE-2019-0708 Microsoft远程桌面服务远程代码执行漏洞 CVE-2018-13379 FortinetFortiOS安全套接字层(SSL)VPN路径遍历漏洞 表1LockBit勒索软件主要利用漏洞 LockBit的主要攻击目标位于欧美国家,但在最近的半年活动中,也披露过针对亚洲国家的攻击活动。 •活动一:LockBit针对韩国个人传播恶意软件实行勒索 此次活动中,LockBit使用OfficeOpenXML的docx文件作为感染链源头,文件使用韩语编写。LockBit将托 管恶意模板文件(.dotm)的URL注入到settings.xml.rels文件中,使文档能够从远程服务器下载恶意dotm文件。受害主机一旦与远程服务器成功建立连接,就会下载并执行恶意模板文件。下载的模板文件包含混淆的VBA宏,攻击者使用这种技术来绕过检测机制,最终VBA脚本会通过PowerShell命令下载LockBit程序相关内容。 活动二:基于LockBit3.0勒索软件构建器的新加密器在国内传播 国内安全厂商近期发现,基于2022年9月泄露的LockBit3.0勒索软件构建器开发的新加密器正在国内传播,且该加密器只在原有的基础上修改了一些细节部分,如加密完成后仅修改扩展名、勒索信文件名及内容等。此外,本次勒索活动发现的样本使用Salsa-20算法加密文件,样本执行后,被加密的文件默认添加后缀名变化为“.xNimqxKZh”,赎金提示信息文件名则改为“xNimqxKZh.README.txt”。 2.2BlackCat BlackCat(又名AlphaVM、AlphaV或ALPHV)于2021年11月首次被观察到,是一个使用三重勒索策略的勒索软件即服务(RaaS)组织,其攻击目标遍布全球多个国家和组织。该组织的附属公司可以获取高达90%的赎金分成,因此迅速吸引了众多参与者,其攻击手段包括利用网络基础结构设备(如VPN网关)中的常见漏洞,以及通过RDP协议尝试远程登录。成功入侵后会使用PowerShell修改整个受害者网络中的WindowsDefender安全设置,并使用PsExec在多个主机上启动勒索软件。除了使用常见的双重勒索策略外,如果勒索组织的赎金要求得不到满足,攻击者还会发动分布式拒绝服务(DDoS)攻击进行三重勒索。 2023年上半年,BlackCat在其暗网主页上披露了213名受害者,这些受害者分布在澳大利亚、巴哈马、法国、德国、意大利、荷兰、菲律宾、西班牙、英国和美国等国家,目标行业涉及商业服务、建筑、能源、金融、物流、制造、制药、零售和IT技术等行业。 2023年4月,Mandiant披露了BlackCat勒索组织的一个新的附属机构——UNC4466。该附属机构的目标是公开暴露的VeritasBackupExec服务器备份软件,其易受CVE-2021-27876、CVE-2021-27877、CVE-2021-27878的漏洞攻击,主要被攻击者用于获取初始访问权限。BlackCat组织此前的初始入侵方法主要依靠所窃取的凭据,此次活动则表明其开始转向采用借助已知漏洞实施攻击的策略。 在获得VeritasBackupExec服务器的访问权限后,UNC4466会使用IE浏览器从其网站下载AdvancedIPScanner工具。该工具能够扫描单个IP地址或IP地址范围以查找开放端口,并返回主机名、操作系统和硬件制造商信息。此外,UNC4466还会利用ADRecon收集受害者环境中的网络、帐户和主机信息。最后,UNC4466将使用后台智能传输服务(BITS)来下载其它恶意工具,包括LAZAGNE、LIGOLO、WINSW、RCLONE,以及BlackCat勒索软件。 2.3CL0P CL0P于2019年以勒索软件即服务(RaaS)的运营形式首次出现,经常被黑客组织(如FIN11、TA505)所使用,与大部分勒索组织一样,CL0P旨在获取经济利益,并通过双重勒索策略实现这一目标。 CL0P勒索软件通过多种方式传播,例如包含恶意附件或链接的钓鱼邮件、RDP和漏洞利用工具包等。一旦感染计算机,它就会立即开始加密文件并释放赎金票据。自2023年1月以来,CL0P勒索软件全球受害者已达144名,其目标广泛,受影响行业包括IT、医疗、专业服务和政府组织等,主要攻击国家为美国。 2023上半年,CL0P组织主要通过文件传输服务中的多个漏洞进行广泛攻击,其上半年活动如下: 2023年1月下旬,CL0P勒索组织利用零日漏洞(CVE-2023-0669)发起了一场针对GoAnywhereMFT平台的活动。该组织声称从GoAnywhereMFT平台窃取了数据,这些数据在10天内影响了大约130名受害者。 从2023年5月27日开始,CL0P勒索软件团伙开始利用ProgressSoftware的托管文件传输(MFT)解决方案MOVEit中的一个未知的SQL注入漏洞(CVE-2023-34362)进行攻击。目标的MOVEitTransferWeb应用程序感染了名为LEMURLOOT的Webshell,该shell随后被用来从底层MOVEitTransfer数据库窃取数据。 2023年2月,Sentinelone观察到了CL0P第一个针对Linux系统的CL0P勒索软件的ELF变种。新变种与Windows变种类似,使用相同的加密方法和类似的过程逻辑,但它包含一些小差异,主要归因于操作系统差异,例如API调用。此外,研究人员还在针对Linux系统的ELF变种中发现了一个有缺陷的勒索软件加密逻辑,它可以在不支付赎金的情况下解密锁定的文件。证明此变种还在开发完善过程中。 2023年6月27日,CL0P勒索软件团伙宣布攻击了西门子能源公司、施耐德电气等5个组织,引起了巨大震动,这也从侧面说明CL0P开始瞄准能源基础设施进行攻击。 下图为6月份攻击的5个具体组织的名称: UPDATESWERUM.COMPAGEPUBLISHEDSE.COMPAGEPUBLISHEDSIEMENS-ENERGY.COMPAGEPUBLISHEDUCLA.EDUPAGEPUBLISHEDABBVIE.COMPAGEPUBLISHED 图3CL0P勒索软件攻击目标 032023年上半年活跃勒索软件特点 2023年上半年勒索软件产业依旧蓬勃发展,除了上述TOP3勒索软件以外,其它勒索软件也有着不俗的表现。期间,涌现出的各类新型勒索软件大多数还继承了一些源码泄露的知名勒索软件的特点,并且加入新功能进行完善提升。以下是我们从编程语言、攻击平台、加密算法、攻击手段等方面总结出上半年活跃的勒索软件的特点。 序号勒索软件特点 1 WannaCry-Imitator 针对windows平台,基于Crypter修改,使用Python语言编写,加密文件后缀为.wncry。 2 DarkRace 与Lockbit有相似之处,使用C、C++语言编写,专门针对Windows操作系统,采用双重勒索策略。 序号勒索软件特点 3 NoEscape 基于C++开发,使用ChaCha20和RSA算法加密文件,支持多种平台,包括Windows、Linux、VmwareESXi服务器等,利用反射式DLL注入技术。 4 Akira 使用AES和RSA算法加密,加密文件后缀为