您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[深信服]:2022勒索软件态势分析报告 - 发现报告
当前位置:首页/行业研究/报告详情/

2022勒索软件态势分析报告

信息技术2023-02-21深信服「***
2022勒索软件态势分析报告

2022勒索软件态势分析报告 2R0E2P2ORATSONMWARETRENDSANALYSIS 深盾终端实验室 录 目 概述01 年度勒索攻击态势02 2022年勒索攻击的行业分布TOP1002 2022年勒索攻击受害客户行业咨询TOP1002 勒索攻击的中国省份区域分布TOP1003 勒索利用的漏洞规模进一步扩大03 勒索病毒活跃感染数据TOP1004 年度流行勒索家族TOP榜05 Phobos:四年如一日的RDP爆破老手05 Mallox:暴力破解入侵后伴随AnyDesk远程控制07 Tellyouthepass:热点高危漏洞“爱好者”,08 勒索行业现状19 勒索攻击目标向中端产业市场的转变19 勒索软件推动了网络保险的发展19 勒索活动方式现状20 DDOS活动增加20 针对物联网及关键基础设施的勒索软件攻击会增加21 勒索软件攻击更具组织性21 勒索软件攻击潜伏期长21 勒索攻击未来趋势22 数据完整性受到威胁22 通过立法阻止勒索付款22 勒索攻击防御技术23 Lockbit: 导致国内多企业大面积业务停摆 勒索防护难在哪?23 全球勒索活跃度最高的勒索团伙之一09 Magniber:少年老成,隐蔽性极强的“新生代”家族10 Sodinokibi:“著名”勒索团伙GandCrab接班人12 Coffee:真正的钓鱼高手都是标题党13 Robaj:初出茅庐,即被解密14 年度勒索攻击大事件15 年度重要政策和举措17 勒索软件发展趋势18 勒索技术现状18 加密方式更多的转向“间歇性加密”,加密速度更快18 编程语言更多的转向Rust,实现跨平台勒索18 勒索防护重点技术突破24 多智能体模型推荐架构,末知病毒高检出25 可拔插式AI架构,活跃勒索精准查25 动态行为AI检测,勒索加密防绕过26 勒索诱饵防护26 精准识别白+黑勒索病毒27 黑客工具防护27 服务器可信进程加固防护28 无文件攻击的高级防护28 基于Web后门入侵攻击的主动检测28 云网端安全托管打造全生命周期勒索防护体系29 总结31 附:深信服千里目安全技术中心32 深盾终端实验室 年度勒索攻击态势 2022年勒索攻击的行业分布TOP10 概述 2022年以来,随着全球数字化转型程度加深,越来越多重要的数据被存入计算机系统,很多攻击者对这些数据虎视眈眈。 IBM的《2022年数据泄露成本报告》调查结果显示,勒索软件攻击占关键基础设施泄露事件的12%,这一数据表明勒索攻击事件发生频率正呈上升。 RaaS(勒索软件即服务)成为了提升勒索攻击成功率的重要推手,该模式降低了部署攻击所需的技能水平,并大幅度扩展了勒索攻击的范围。 勒索攻击的成功率也在逐渐升高,数据能够通过分析解密还原的情况越来越少。而且,攻击者不再单纯加密数据,更多的勒索攻击开始窃取受害者敏感数据,挂到自己的“官网”上进行双重勒索。 可怕的是,由于缺乏安全意识,很少有企业单位能够提前做好对于勒索攻击的防御。 预计明年,全球勒索攻击总量将创造新高,勒索金额也会越来越高。但随着安全意识的提升,支付赎金的受害者数量可能会逐渐减少,勒索对于具有安全意识的受害者的业务影响也会越来越小。 勒索攻击的行业范围广且带有明显的趋向性,其中,实体产业不仅由于具有繁多的攻击面、分布于世界各地的办事处及远程工作人员、多层次和广度的的服务范围等特点,更因这些行业的数据多为客户的敏感数据,其业务本身具有重要意义,成为是勒索攻击的重灾区。 2022年勒索攻击受害客户行业咨询TOP10 2022年,除科技、制造业、医卫、政府、教育等行业仍然是主要受害者外,能源、地产、物流等行业由于处于业务数字化转型时期,安全建设落后于数字化转型的进程,更多的脆弱性问题逐渐暴漏出来,也逐渐成为勒索病毒攻击的目标。 302022年攻击咨询行业数据 25 20 15 10 5 0科技制造业医卫政府教育能源其他 数据来源:深信服云端监测 建筑/地产 贸易/物流 食品服饰金融 160000 140000 120000 100000 80000 60000 40000 20000 0 2022年勒索攻击的行业分布TOP10 科技 制造业 医卫 政府 数据来源:深信服云端监测 教育 能源 服务批发和零售金融 建筑 012022年度勒索软件专题报告2022年度勒索软件专题报告02 350 300 250 200 150 100 50 0 勒索软件涉及CVE数据统计 2022 2021 数据来源:深信服云端监测 2020 2019 勒索攻击的中国省份区域分布TOP10 沿海、贸易港口较多的勒索软件攻击较多。从感染地域分布来看,广东、浙江、山东、江苏等沿海和贸易港口较多的地区受勒索攻击最为严重。值得关注的是,河北、湖北等中部地区感染量在今年也呈现增长趋势,可见勒索攻击的目标区域正在扩大范围。 50000 45000 40000 35000 30000 25000 20000 15000 10000 5000 0 2022勒索攻击区域分布 广东 浙江 山东 江苏 数据来源:深信服云端监测 北京 河北 上海 湖北 福建 四川 勒索病毒活跃感染数据TOP10 今年统计的勒索事件中共涉及45个勒索家族,较过去相比,针对国内的勒索事件逐渐增多。随着勒索软件即服务(RaaS)模式的日渐成熟,勒索攻击的门槛越来越低,越来越多的无技术者均可以加入到勒索攻击行业中,并且攻击成功的概率越来越高。数据是大多数企事业单位的命脉,因而这种由金钱驱使并最终可获取极大利益的攻击方式越发流行。 400000 350000 300000 250000 200000 150000 100000 50000 0 2022年勒索家族分布 Phobos MalloxTellyouthepassMakopBeijingcrypt 数据来源:深信服云端监测 Buran LockbitBlackcatStopMagniber 勒索利用的漏洞规模进一步扩大 根据Ivanti与认证编号机构(CNA)CyberSecurityWorks共同编写的2022年Q2-Q3勒索软件指数报告》显示,该报告显示了截止至第3季度,勒索软件已利用的漏洞总数增至323个CVE,较去年相比增加了13个新的CVE,其中有10个是具有严重级别。目前仍然有159个CVE正在勒索软件中流行,使用的漏洞利用包如Magnitude增加至31个。 钓鱼技术实现勒索软件的初始访问功能。 报告通过分析323个当前的勒索软件漏洞并将其映射至MITREATT&CK框架,发现了勒索软件的战术、技术和程序可组成杀伤链来危害组织安全,并发现其中57个漏洞能导致从初始访问到数据外泄的完整系统劫持。勒索软件犯罪分子不断利用软件漏洞发动致命攻击。其中有101个CVE可用于网络钓鱼攻击,目前越来越多的勒索软件攻击者依靠鱼叉式网络 2022年勒索病毒涉及的CVE数量。 报告还发现了两个新的勒索软件漏洞CVE-2021-40539和CVE-2022-26134,这两个漏洞在被添加到国家漏洞数据库(NVD)之前或当天就已被勒索软件团伙(AvosLocker和Cerber)利用。这些统计数据强调,如果组织仅根据国家漏洞数据库(NVD)所披露的数据来修补漏洞,那么很容易受到攻击。用户需要建立漏洞管理机制,关注业务系统使用的各类组件,及时替换过时产品;同时第一时间跟进安全机构、厂商发布的安全通告,及时打补丁或采取规避措施。下图为2019年到 03 2022年度勒索软件专题报告 2022年度勒索软件专题报告 04 黑客 互联网 弱点名称:终端A :弱口令+映射端口 弱点:弱口令+相同口令 名称:其他终端 年度流行勒索家族TOP榜 Phobos:四年如一日的RDP爆破老手 攻击手法RDP爆破,手动投毒 典型特征进入内网后使用多密码提取工具,多扫描器,多ARK对抗工具 活跃时长2019年开始活跃 Phobos自从2019年出现以来,一直保持着很高的活跃度。该家族不断推出新变种,并频繁通过RDP暴破、钓鱼邮件等方式对企业单位及个人用户进行攻击,使受害者遭受数据财产的严重损失,影响十分恶劣。下图是该家族在国内常用的典型攻击流程:黑客通过攻击暴漏在外网的RDP服务拿下内网终端A,随后将终端A被作为跳板机进一步爆破内网其它终端的RDP服务,最终获取内网多台终端的登录权限并统一下放运行勒索病毒,使得内网机器上的文件遭到加密。 该家族目前没有公开的免费解密方法,Phobos本身也是一个活跃了很多年的勒索家族,有着成熟的加密流程,其变种较多,加密使用RSA+AES加密算法。 05 2022年度勒索软件专题报告 2022年度勒索软件专题报告 06 T导e致lly国ou内t多he企pa业ss大:热面点积高业危务漏停洞摆“爱好者”, Mallox:暴力破解入侵后伴随AnyDesk远程控制 攻击手法MSSQL暴力破解 典型特征入侵成功后常安装AnyDesk持续控制主机 攻击手法永恒之蓝漏洞,Log4j2漏洞,OA漏洞(包含0day攻击) 典型特征频繁利用多漏洞进行大面积扫描扩散传播,该家族多次活跃直接导致国内多企业大面积业务停摆 活跃时长2021年开始活跃 活跃时长2020年开始活跃 Mallox家族勒索病毒在国外又称为TargetCompany勒索,常见的加密扩展名有:".artiis",".brg",".mallox",".architek",".tohnichi",".herrco",".consultransom",".avast"等。 从去年开始直到现在,该家族的攻击方式基本都是使用MS-SQL的暴力破解,然后利用MSSQL的执行权限后可能会通过两种不同的方式在服务器上进行非法操作,一种是直接运行会导致服务器上数据被加密的powershell命令: 另一种是安装anydesk服务端,用于远程控制后手动在内网进行横向扩散,试图让更多的机器遭到加密: 对服务器加密过后会留下此类勒索信,RECOVERYINFOMATION.txt: Tellyouthepass勒索病毒从20年开始活跃,早期利用永恒之蓝漏洞攻击套件扩散传播。 21年12月Tellyouthpeass勒索病毒开始利用ApacheLog4j2漏洞进行攻击,同时该勒索病毒开始针对Windows和Linux双平台进行加密。 22年3月,Tellyouthepass勒索病毒开始利用某OA的远程命令执行漏洞进行大面积攻击,在受害者主机上执行恶意指令下载病毒执行。同年5月,Tellyouthepass勒索病毒继续利用某OA的漏洞进行攻击,不同的是此次利用了该OA的反序列化执行漏洞,在受害者主机上同样会执行恶意指令下载病毒执行。同年7月,Tellyouthepass勒索病毒再次爆发。让人震惊的是,虽然此次仍然利用的是某OA的漏洞进行攻击,但利用的却是未经发布的0day,导致大量搭建有该业务系统的服务器沦陷。 07 2022年度勒索软件专题报告 2022年度勒索软件专题报告 08 Lockbit:全球勒索活跃度最高的勒索团伙之一Magniber:少年老成,隐蔽性极强的“新生代”家族 攻击手法高危漏洞,暴力破解,花重金购买0day漏洞 典型特征常针对单一目标展开持久化的针对性攻击,擅长展开大型狩猎活动,全球勒索活跃度最高的勒索团伙之一 攻击手法IE漏洞利用,伪装windows更新程序供应链劫持 典型特征病毒会使用代码注入白进程,同时自身代码做混淆进行防御规避 活跃时长2019年开始活跃 活跃时长2021年3月开始活跃 LockBit勒索病毒首次攻击于2019年9月被发现,最开始被称作为ABCD勒索病毒,因为它加密后的文件后缀名为abcd,随后它加密后的文件后缀修改为lockbit,并被更名为LockBit勒索病毒,与大多数主流勒

你可能感兴趣

hot

2021年勒索软件攻击态势分析白皮书

信息技术
阿里巴巴2022-10-28
hot

2022 年勒索软件防御报告

信息技术
SpyCloud2024-08-03