2022勒索软件态势分析报告

2022勒索软件态势分析报告 2R0E2P2ORATSONMWARETRENDSANALYSIS 深盾终端实验室 录 目 概述01 年度勒索攻击态势02 2022年勒索攻击的行业分布TOP1002 2022年勒索攻击受害客户行业咨询TOP1002 勒索攻击的中国省份区域分布TOP1003 勒索利用的漏洞规模进一步扩大03 勒索病毒活跃感染数据TOP1004 年度流行勒索家族TOP榜05 Phobos：四年如一日的RDP爆破老手05 Mallox：暴力破解入侵后伴随AnyDesk远程控制07 Tellyouthepass：热点高危漏洞“爱好者”，08 勒索行业现状19 勒索攻击目标向中端产业市场的转变19 勒索软件推动了网络保险的发展19 勒索活动方式现状20 DDOS活动增加20 针对物联网及关键基础设施的勒索软件攻击会增加21 勒索软件攻击更具组织性21 勒索软件攻击潜伏期长21 勒索攻击未来趋势22 数据完整性受到威胁22 通过立法阻止勒索付款22 勒索攻击防御技术23 Lockbit： 导致国内多企业大面积业务停摆 勒索防护难在哪？23 全球勒索活跃度最高的勒索团伙之一09 Magniber:少年老成，隐蔽性极强的“新生代”家族10 Sodinokibi：“著名”勒索团伙GandCrab接班人12 Coffee：真正的钓鱼高手都是标题党13 Robaj：初出茅庐，即被解密14 年度勒索攻击大事件15 年度重要政策和举措17 勒索软件发展趋势18 勒索技术现状18 加密方式更多的转向“间歇性加密”，加密速度更快18 编程语言更多的转向Rust，实现跨平台勒索18 勒索防护重点技术突破24 多智能体模型推荐架构，末知病毒高检出25 可拔插式AI架构，活跃勒索精准查25 动态行为AI检测，勒索加密防绕过26 勒索诱饵防护26 精准识别白+黑勒索病毒27 黑客工具防护27 服务器可信进程加固防护28 无文件攻击的高级防护28 基于Web后门入侵攻击的主动检测28 云网端安全托管打造全生命周期勒索防护体系29 总结31 附：深信服千里目安全技术中心32 深盾终端实验室 年度勒索攻击态势 2022年勒索攻击的行业分布TOP10 概述 2022年以来，随着全球数字化转型程度加深，越来越多重要的数据被存入计算机系统，很多攻击者对这些数据虎视眈眈。 IBM的《2022年数据泄露成本报告》调查结果显示，勒索软件攻击占关键基础设施泄露事件的12%，这一数据表明勒索攻击事件发生频率正呈上升。 RaaS（勒索软件即服务）成为了提升勒索攻击成功率的重要推手，该模式降低了部署攻击所需的技能水平，并大幅度扩展了勒索攻击的范围。 勒索攻击的成功率也在逐渐升高，数据能够通过分析解密还原的情况越来越少。而且，攻击者不再单纯加密数据，更多的勒索攻击开始窃取受害者敏感数据，挂到自己的“官网”上进行双重勒索。 可怕的是，由于缺乏安全意识，很少有企业单位能够提前做好对于勒索攻击的防御。 预计明年，全球勒索攻击总量将创造新高，勒索金额也会越来越高。但随着安全意识的提升，支付赎金的受害者数量可能会逐渐减少，勒索对于具有安全意识的受害者的业务影响也会越来越小。 勒索攻击的行业范围广且带有明显的趋向性，其中，实体产业不仅由于具有繁多的攻击面、分布于世界各地的办事处及远程工作人员、多层次和广度的的服务范围等特点，更因这些行业的数据多为客户的敏感数据，其业务本身具有重要意义，成为是勒索攻击的重灾区。 2022年勒索攻击受害客户行业咨询TOP10 2022年，除科技、制造业、医卫、政府、教育等行业仍然是主要受害者外，能源、地产、物流等行业由于处于业务数字化转型时期，安全建设落后于数字化转型的进程，更多的脆弱性问题逐渐暴漏出来，也逐渐成为勒索病毒攻击的目标。 302022年攻击咨询行业数据 25 20 15 10 5 0科技制造业医卫政府教育能源其他 数据来源：深信服云端监测 建筑/地产 贸易/物流 食品服饰金融 160000 140000 120000 100000 80000 60000 40000 20000 0 2022年勒索攻击的行业分布TOP10 科技 制造业 医卫 政府 数据来源：深信服云端监测 教育 能源 服务批发和零售金融 建筑 012022年度勒索软件专题报告2022年度勒索软件专题报告02 350 300 250 200 150 100 50 0 勒索软件涉及CVE数据统计 2022 2021 数据来源：深信服云端监测 2020 2019 勒索攻击的中国省份区域分布TOP10 沿海、贸易港口较多的勒索软件攻击较多。从感染地域分布来看，广东、浙江、山东、江苏等沿海和贸易港口较多的地区受勒索攻击最为严重。值得关注的是，河北、湖北等中部地区感染量在今年也呈现增长趋势，可见勒索攻击的目标区域正在扩大范围。 50000 45000 40000 35000 30000 25000 20000 15000 10000 5000 0 2022勒索攻击区域分布 广东 浙江 山东 江苏 数据来源：深信服云端监测 北京 河北 上海 湖北 福建 四川 勒索病毒活跃感染数据TOP10 今年统计的勒索事件中共涉及45个勒索家族，较过去相比，针对国内的勒索事件逐渐增多。随着勒索软件即服务（RaaS）模式的日渐成熟，勒索攻击的门槛越来越低，越来越多的无技术者均可以加入到勒索攻击行业中，并且攻击成功的概率越来越高。数据是大多数企事业单位的命脉，因而这种由金钱驱使并最终可获取极大利益的攻击方式越发流行。 400000 350000 300000 250000 200000 150000 100000 50000 0 2022年勒索家族分布 Phobos MalloxTellyouthepassMakopBeijingcrypt 数据来源：深信服云端监测 Buran LockbitBlackcatStopMagniber 勒索利用的漏洞规模进一步扩大 根据Ivanti与认证编号机构(CNA)CyberSecurityWorks共同编写的2022年Q2-Q3勒索软件指数报告》显示，该报告显示了截止至第3季度，勒索软件已利用的漏洞总数增至323个CVE，较去年相比增加了13个新的CVE，其中有10个是具有严重级别。目前仍然有159个CVE正在勒索软件中流行，使用的漏洞利用包如Magnitude增加至31个。 钓鱼技术实现勒索软件的初始访问功能。 报告通过分析323个当前的勒索软件漏洞并将其映射至MITREATT&CK框架，发现了勒索软件的战术、技术和程序可组成杀伤链来危害组织安全，并发现其中57个漏洞能导致从初始访问到数据外泄的完整系统劫持。勒索软件犯罪分子不断利用软件漏洞发动致命攻击。其中有101个CVE可用于网络钓鱼攻击，目前越来越多的勒索软件攻击者依靠鱼叉式网络 2022年勒索病毒涉及的CVE数量。 报告还发现了两个新的勒索软件漏洞CVE-2021-40539和CVE-2022-26134，这两个漏洞在被添加到国家漏洞数据库(NVD)之前或当天就已被勒索软件团伙（AvosLocker和Cerber）利用。这些统计数据强调，如果组织仅根据国家漏洞数据库(NVD)所披露的数据来修补漏洞，那么很容易受到攻击。用户需要建立漏洞管理机制，关注业务系统使用的各类组件，及时替换过时产品；同时第一时间跟进安全机构、厂商发布的安全通告,及时打补丁或采取规避措施。下图为2019年到 03 2022年度勒索软件专题报告 2022年度勒索软件专题报告 04 黑客 互联网 弱点名称：终端A ：弱口令+映射端口 弱点：弱口令+相同口令 名称：其他终端 年度流行勒索家族TOP榜 Phobos：四年如一日的RDP爆破老手 攻击手法RDP爆破，手动投毒 典型特征进入内网后使用多密码提取工具，多扫描器，多ARK对抗工具 活跃时长2019年开始活跃 Phobos自从2019年出现以来，一直保持着很高的活跃度。该家族不断推出新变种，并频繁通过RDP暴破、钓鱼邮件等方式对企业单位及个人用户进行攻击，使受害者遭受数据财产的严重损失，影响十分恶劣。下图是该家族在国内常用的典型攻击流程：黑客通过攻击暴漏在外网的RDP服务拿下内网终端A，随后将终端A被作为跳板机进一步爆破内网其它终端的RDP服务，最终获取内网多台终端的登录权限并统一下放运行勒索病毒，使得内网机器上的文件遭到加密。 该家族目前没有公开的免费解密方法，Phobos本身也是一个活跃了很多年的勒索家族，有着成熟的加密流程，其变种较多，加密使用RSA+AES加密算法。 05 2022年度勒索软件专题报告 2022年度勒索软件专题报告 06 T导e致lly国ou内t多he企pa业ss大：热面点积高业危务漏停洞摆“爱好者”， Mallox：暴力破解入侵后伴随AnyDesk远程控制 攻击手法MSSQL暴力破解 典型特征入侵成功后常安装AnyDesk持续控制主机 攻击手法永恒之蓝漏洞，Log4j2漏洞，OA漏洞（包含0day攻击） 典型特征频繁利用多漏洞进行大面积扫描扩散传播，该家族多次活跃直接导致国内多企业大面积业务停摆 活跃时长2021年开始活跃 活跃时长2020年开始活跃 Mallox家族勒索病毒在国外又称为TargetCompany勒索，常见的加密扩展名有：".artiis",".brg",".mallox",".architek",".tohnichi",".herrco",".consultransom",".avast"等。 从去年开始直到现在，该家族的攻击方式基本都是使用MS-SQL的暴力破解，然后利用MSSQL的执行权限后可能会通过两种不同的方式在服务器上进行非法操作，一种是直接运行会导致服务器上数据被加密的powershell命令: 另一种是安装anydesk服务端，用于远程控制后手动在内网进行横向扩散，试图让更多的机器遭到加密： 对服务器加密过后会留下此类勒索信，RECOVERYINFOMATION.txt： Tellyouthepass勒索病毒从20年开始活跃，早期利用永恒之蓝漏洞攻击套件扩散传播。 21年12月Tellyouthpeass勒索病毒开始利用ApacheLog4j2漏洞进行攻击，同时该勒索病毒开始针对Windows和Linux双平台进行加密。 22年3月，Tellyouthepass勒索病毒开始利用某OA的远程命令执行漏洞进行大面积攻击，在受害者主机上执行恶意指令下载病毒执行。同年5月，Tellyouthepass勒索病毒继续利用某OA的漏洞进行攻击，不同的是此次利用了该OA的反序列化执行漏洞，在受害者主机上同样会执行恶意指令下载病毒执行。同年7月，Tellyouthepass勒索病毒再次爆发。让人震惊的是，虽然此次仍然利用的是某OA的漏洞进行攻击，但利用的却是未经发布的0day，导致大量搭建有该业务系统的服务器沦陷。 07 2022年度勒索软件专题报告 2022年度勒索软件专题报告 08 Lockbit：全球勒索活跃度最高的勒索团伙之一Magniber：少年老成，隐蔽性极强的“新生代”家族 攻击手法高危漏洞，暴力破解，花重金购买0day漏洞 典型特征常针对单一目标展开持久化的针对性攻击，擅长展开大型狩猎活动，全球勒索活跃度最高的勒索团伙之一 攻击手法IE漏洞利用，伪装windows更新程序供应链劫持 典型特征病毒会使用代码注入白进程，同时自身代码做混淆进行防御规避 活跃时长2019年开始活跃 活跃时长2021年3月开始活跃 LockBit勒索病毒首次攻击于2019年9月被发现，最开始被称作为ABCD勒索病毒，因为它加密后的文件后缀名为abcd，随后它加密后的文件后缀修改为lockbit,并被更名为LockBit勒索病毒，与大多数主流勒