勒索软件的全世界进攻变化趋势(一)
手机勒索软件
与全部设施上的勒索软件一样,手机勒索软件再次下降。 2019年,碰到勒索软件的唯一诺顿杀毒软件用户数量为72258。到2020年,这一数据为33502,下降了54%。
可是,在遭遇一切种类的恶意程序的总人数中,碰到勒索软件的手机用户的占比长期保持在0.56%。此外,检验到的手机勒索软件数量也有一定的下降,从2019年的333878起下降到2020年的290372起。
2019年至2020年检验到的手机勒索软件总数
有意思的是,尽管2019年7月以后检查到的手机勒索软件总数比较稳定下降,仅在2019年7月和2020年2月发生了几回小最高值,但它在2020年后半年再度逐渐明显升高,在上年9月做到3.5千次检验。怪异的是,这也是因为勒索软件伺服电机(ransomware Encoder),它事实上是为Windows工作平台设计方案的,对手机机器设备并不风险。殊不知,在2020年9月,Encoder根据Telegram散播起来,Telegram与此同时有着手机和桌面应用。网络攻击最有可能对于的是Windows用户,当Telegram的手机版本号与桌面上手机客户端同歩免费下载时,手机用户的手机上偶然地安裝了Encoder。
最活泼的手机勒索软件大家族
2019年最活泼的手机勒索软件大家族遍布
在2019年,近45%的碰到手机勒索软件的用户遇到了Svpeng,该大家族最开始是短消息木马病毒,随后继而盗取金融机构凭证和银行信用卡数据信息,最后演化为勒索软件。略低于19%的用户遇到过Rkor和Small。 Rkor是一个非常典型的locker,它根据情色內容散播,它应用无阻碍服务项目得到对机器设备的必需操纵,随后锁住机器设备,直到付款花费。Small与Rkor十分类似:它会锁定显示屏,并规定付钱才可以再次看色情片。
排在第四位的是Congur,它是根据WhatsApp等改善后的应用软件散播的。另一个知名的活跃性大家族是富索布(Fusob),她们宣称自身来源于某一权威部门,并表明,总体目标受害人有责任付款处罚。
2020年最活泼的手机勒索软件大家族的遍布
2020年,Small是最多见的手机勒索软件大家族,占有率26%,次之是Rkor和Congur。Svpeng是第四大最多见的大家族,有14%的用户遇到过它。
黑客攻击用户的地区遍布
2019年,在移动存储上遭遇勒索软件的用户占比最多的我国如下所示:
在全部遭遇恶意程序的用户中,被勒索软件进攻的用户所占的占比
遭遇手机勒索软件用户较多的国家在全世界范畴内相对性分散化,在其中英国所占比率最大。白俄罗斯略逊一筹,为13.24%。排名前十的其他国家遭遇手机勒索软件的用户占比要小得多,澳大利亚是第三大市场份额,仅占2.71%。
2020年,遭遇手机勒索软件用户占比最多的我国如下所示:
在全部遭遇恶意程序的用户中,被勒索软件进攻的用户所占的占比
到2020年,白俄罗斯碰到手机勒索软件的用户占比最大,为23.80%,次之是英国,为10.32%。匈牙利、意大利和澳大利亚被新加坡、印尼和印度所替代。总体来说,受影响用户的百分数下降了,这也是可以意料的,由于受手机勒索软件危害的用户数量下降了50%以上。
有目的性进攻的勒索软件的盛行
尽管检验到勒索软件的初始数量一直在下降,但这种数据只有表明问题的一部分。当勒索软件初次变成新闻头条时,是由于WannaCry、Petya和CryptoLocker等主题活动:这种规模性主题活动有兴趣的是进攻尽量多的用户,并从每一个用户勒索相对性较少的额度。例如,在“WannaCry”事情中,网络攻击只索取了300美金之后又将保释金提升到了600美金。
殊不知,因为好多个不确定性的缘故,这类进攻的营运能力已经下降。由于大家对勒索软件的了解愈来愈多,电脑安全软件很有可能早已在阻拦勒索软件危害层面变的更强了,大家被一再被文化教育不必付款保释金。除此之外,在许多我国,大家压根负担不起那么高的保释金。因而,网络攻击把这些人的专注力转换到那种能给钱的人的身上,例如企业。2019年,勒索软件近三分之一的受害人是公司。
自然,感柒企业要更繁杂、更有目的性的方式,有专业制定的勒索软件大家族便是为了更好地实现这一点。
有目的性的勒索软件(也称之为“big game hunting”)由用以敲诈勒索特殊受害人资产的勒索软件大家族构成。这种受害人通常是知名人物,如大企业、政府部门和市政建设组织及其保健医疗机构,规定的保释金远远高于对独立用户的规定。通常,她们的进攻包含下列一个或好几个环节:
- 黑客攻击
- 侦查与坚持不懈
- 横着健身运动
- 材料泄露
- 数据库加密
- 敲诈勒索
最开始的感柒通常是利用运用服务端手机软件(VPN,Citrix,WebLogic,Tomcat,Exchange等)、RDP暴力行为进攻/凭证添充,供应链管理进攻或僵尸网络来产生的。
诺顿杀毒软件依据选定的受害人,及其是不是应用比较复杂的方式 开展进攻,例如毁坏互联网或横着挪动,将一个相应的勒索软件集团公司分类为“总体目标”。到现在为止,诺顿杀毒软件早已确认了这其中的28个总体目标家中,主要包括灭绝人性的哈迪斯(Hades)勒索软件,此软件对于的是最少使用价值10亿美金的企业。
Hades 勒索软件于 2020 年 12 月第一次被发觉,以正确引导受害人浏览的 Tor 网站取名。它是 WastedLocker 的 64 位编译程序的变异,二者在编码上面有很多重合,除开做附加的代码加密和小特点的变更外,与 WastedLocker 绝大多数作用基本一致,包含受 ISFB 启迪的静态数据配备、多环节持续性 / 安裝全过程、文档 / 文件目录枚举类型和数据加密作用,差别地区取决于,Hades 删除了 INDRIK SPIDER 在过去的勒索软件大家族(WastedLocker 和 BitPaymer)中一些独特的作用,包含:
Hades 现在是具备额外代码加密作用的 64 位编译程序可执行程序,目的是为了更好地躲避了签字检验和阻拦逆向分析。
大部分标准文件和注册表文件 Windows API 启用已被其相应的系统进程取代(即从 NTDLL 导出来的用户方式远程服务器 API)。
Hades 应用的用户账号操纵(UAC)绕开方法与 WastedLocker 应用的不一样,但这二种完成都立即来源于开源系统 UACME 新项目 https [ : ] //github [ . ] com/hfiref0x/UACME。
Hades 会将名叫 HOW-TO-DECRYPT- [ extension ] .txt 的保释金单据载入解析xml的文件目录,而 WastedLocker 和 BitPaymer 则是为每一个加密文件建立单据。
Hades 将密匙信息内容存放在每一个加密文件中, WastedLocker 和 BitPaymer 都将编号和数据加密的密匙信息内容存放在特殊于文档的保释金单据中。
Hades 仍将本身拷贝到 Application Data 中转化成根目录中,但不会再应用 :bin 互换数据流分析(ADS),对 :bin ADS 途径的运用是 WastedLocker 和 BitPaymer 的特点。
Hades 还展现了一种战术上的变化,即不会再应用电子邮箱通讯,也不会再应用从受害人那边盗取商业秘密数据获取酬劳的概率。Hades 保释金单据将受害人定项到 Tor 网站,根据保释金单据无法识别被害企业,这一点在 WastedLocker 和 BitPaymer 中也常常见到。
从2019年到2020年,受总体目标勒索软件(致力于危害特殊用户的勒索软件)危害的唯一用户总数从985人提升到了8538人,提高了767%。
2019 - 2020年间,受总体目标勒索软件危害的唯一诺顿杀毒软件用户总数
在REvil勒索软件大家族的促进下,该勒索软件在2020年7月发生了一个大高峰期,该勒索软件取得成功地使用了外汇公司Travelex,敲诈勒索了230万美金。有着诸多知名人士顾客的纽约市法律事务所Grubman Shire Meiselas & Sacks也在5月份变成了REvil的受害人。别的具备相对高度目的性的勒索软件大家族也发生在2019年和2020年,在其中最引人注意的是Maze。Maze初次发生于2019年,它采用了各种各样体制来开展基本进攻。在某种情形下,她们应用鱼叉式钓鱼攻击主题活动来安裝Cobalt Strike RAT,而别的进攻则涉及到运用敏感的朝向Internet的服务项目(例如Citrix ADC / NetScaler或Pulse Secure VPN)或弱RDP凭证毁坏互联网。Maze关键对于公司和大中型机构。她们最广为人知的进攻是对于LG和加利福尼亚州的彭萨科拉市。
除开对于总体目标的勒索软件的盛行之外,大家不但将核心放到数据库加密上,也更为关心信息的渗漏状况,由于网络攻击会检索相对高度商业秘密的信息,并要挟称,假如赎金无法得到达到,就将其公之于众,为此做为逼迫机构支付赎金的一种方式。要是没有支付赎金,Maze是第一个公布这种失窃数据信息的勒索软件工作组。除此之外,这种信息可以在以后的网络拍卖中售卖,在2020年夏季,很多农业公司的数据库查询都成為了REvil的受害人。
最后,Maze与另一个著名的,高度目的性的勒索软件家族RagnarLocker联合,该家族于2020年初次发生。和Maze一样,RagnarLocker关键以大中型机构为总体目标,并在“羞耻感之墙”上发布这些回绝支付赎金的人的商业秘密信息。该家族的目的十分确立,因而每一个恶意程序样版都针对其所进攻的机构。
WastedLocker也发生在2020年,并快速成为了全世界新闻头条,由于该企业关掉了著名运动健身和GPS技术企业Garmin最火爆的服务项目,因为它拥有该公司使用价值1000万美金赎金的数据信息,进攻中应用的恶意程序是致力于Garmin设计方案的。WastedLocker是一种新式勒索软件,在2020年5月初次发觉,此后一直不断发觉该勒索软件的各种变异,其版本号变动通常与Evil Corp故意机构的别的恶意程序版本号变动同时进行。
有目的性的勒索软件并不限于一个相应的领域,它危害了从保健医疗组织到体育文化和运动健身企业的各个方面。
2019-2020年按行业分类的总体目标勒索软件进攻遍布状况
目前为止,工程项目和加工制造业是最有象征性的领域,从2019年到2020年,有25.63%的总体目标勒索软件进攻危害了该领域。由于其数据信息的高度比较敏感特性及其该类企业通常具备很高的使用价值,这不奇怪。假如系统软件无网,这也将很大程度地毁坏该领域的业务流程。有7.60%的总体目标勒索软件进攻危害了专业和顾客服务中心,有7.09%的总体目标是金融投资公司。别的火爆的总体目标是建筑物与房地产业,商业服务与零售及其IT与电信网。
汇总
全球正在进入一个勒索软件的新时期,一切一种对于一般本地用户的规模性主题活动都很可能会很少。自然,这并不是说勒索软件只对大企业造成威胁。就在上年12月,有一个团队期待根据发售仿冒的手机版本手机游戏来运用Cyberpunk 2077的公布,该版本号会对客户免费下载的资料实现数据加密。这代表着勒索软件网络攻击将再次布署更专业的新技术来渗入互联网和数据加密数据信息。像Lazarus那样的APT机构早已逐渐在其专用工具集中化加上勒索软件。假如别的高級进攻参加者也仿效,也就不奇怪了。
较大的获得是,企业无论尺寸,不但要考虑到备份数据她们的数据信息。她们也必须采用全方位的办法来保护自己的安全性,包含按时修复漏洞、系统更新和互联网安全意识培训。一些对于公司的进攻包含在系统软件中得到最开始的出发点,在所有互联网中横着挪动,直到良好控制,随后开展几个月的侦查,随后在导致最好危害的时时刻刻开展进攻。在应用REvil勒索软件进攻Travelex的历程中,互联网犯罪分子在具体数据加密数据信息并规定敲诈勒索以前六个月就已渗入企业的互联网。
减轻对策
1.常常升级你采用的任何设施的手机软件,以避免勒索软件运用系统漏洞。
2.将你的防御力对策汇集在检验横着挪动和数据泄漏到网络上。要需注意排出的总流量,以检测网络犯罪分子的联接。
3.按时备份资料,保证在必须的紧急状况下可以快速访问它。
4.应用例如诺顿杀毒软件关键检验和回应及其诺顿杀毒软件代管检验和回应之类的解决方法,这种解决方法有利于在网络攻击完成终极目标以前尽快鉴别并阻拦进攻。
文中翻譯自:https://securelist.com/ransomware-by-the-numbers-reassessing-the-threats-global-impact/101965/倘若转截,请标明全文详细地址。