微軟透露其安全團隊 Redmond 正在跟蹤 100 多個(gè)在攻擊期間部署勒索軟件的攻擊者�����,總共監控到 50 多個(gè)在去年被頻繁使用的勒索軟件系列����。
微軟例舉了一些最突出的勒索軟件有效負載����,包括 Lockbit Black��、BlackCat(又名 ALPHV)�����、Play���、Vice Society�����、Black Basta 和 Royal�。但微軟表示“防御策略應該更少地關(guān)注有效負載���,而更多地關(guān)注導致其部署的活動(dòng)鏈”���,因為勒索軟件仍在針對那些不常見(jiàn)漏洞或最近正需要修補漏洞的設備進(jìn)行攻擊���。
圖片來(lái)自網(wǎng)絡(luò )/侵刪
攻擊策略
雖然一直有新的勒索軟件系列出現��,但大多攻擊者在破壞網(wǎng)絡(luò )和通過(guò)網(wǎng)絡(luò )傳播時(shí)都使用相同的策略���,對此類(lèi)行為進(jìn)行檢測將有助于阻止他們的攻擊��。
微軟也提到��,攻擊者越來(lái)越依賴(lài)網(wǎng)絡(luò )釣魚(yú)以外的策略來(lái)進(jìn)行攻擊�,比如利用 Exchange Server 的 DEV-0671 和 DEV-0882 漏洞部署 Cuba 和 Play 勒索軟件����。就在不久前�����,Exchange 團隊敦促客戶(hù)通過(guò)應用最新支持的累積更新 (CU) 來(lái)為本地 Exchange 服務(wù)器打補丁�����,讓他們隨時(shí)準備部署緊急安全更新��。據報道����,超過(guò) 60000 臺暴露在 Internet 上的 Exchange 服務(wù)器容易受到利用 ProxyNotShell RCE 漏洞的攻擊��。與此同時(shí)���, 也有數千臺服務(wù)器正受到利用 ProxyShell 和 ProxyLogon 漏洞攻擊的風(fēng)險�����,這是 2021 年最常被利用的兩個(gè)安全漏洞�。
其他攻擊者也正在轉向或使用惡意廣告來(lái)提供惡意軟件加載器和下載器�,以傳播勒索軟件和各種其他惡意軟件變種����,如信息竊取程序�。例如�,一個(gè)被追蹤為 DEV-0569 的攻擊者被認為是勒索軟件團伙的初始訪(fǎng)問(wèn)代理���,在廣告活動(dòng)中濫用 Google Ads 來(lái)分發(fā)惡意軟件����,從受感染的設備中竊取密碼�����,并最終獲得對企業(yè)網(wǎng)絡(luò )的訪(fǎng)問(wèn)權限��,并將權限出售給其他攻擊者���,如 Royal 勒索軟件組織��。
近期活動(dòng)趨勢
在具體的勒索軟件活動(dòng)趨勢中����,2022 年的一起標志性事件是 Conti 勒索軟件組織在執法行動(dòng)的壓力下迎來(lái)終結�����,但基于勒索軟件即服務(wù) (Raas) 的勒索行為正在興起�����,包括 LockBit��、Hive��、Cuba����、BlackCat 和 Ragnar 在內的勒索軟件組織在去年頻繁作案���。
盡管如此��, 根據區塊鏈分析公司 Chainalysis 的數據�,勒索軟件組織去年的勒索收入大幅下降了 40% 左右��,為 4.568 億美元����,而前年的收入達到了創(chuàng )紀錄的 7.65 億美元�。但這種下降趨勢并不是因為攻擊次數減少�����,而是因為越來(lái)越多的受害者開(kāi)始拒絕支付勒索贖金�����。
最近���,在美國司法部���、聯(lián)邦調查局����、特勤局和歐洲刑警組織的國際執法行動(dòng)的打擊下�,Hive 勒索軟件數據泄露和 Tor 支付暗網(wǎng)被查封���,FBI 向受害者分發(fā)了 1300 多個(gè)解密密鑰�����,并獲得了對 Hive 通信記錄���、惡意軟件文件哈希值和 250 個(gè) Hive 分支機構詳細信息的訪(fǎng)問(wèn)權限�����,美國國務(wù)院也懸賞 1000 萬(wàn)美元�����,尋求 Hive 勒索軟件組織或其他攻擊者與外國政府存在聯(lián)系的線(xiàn)索����。
某種程度上說(shuō)����,在打擊勒索軟件領(lǐng)域����,2023 年似乎迎來(lái)了開(kāi)門(mén)紅�����。
?。?a href="http://www.chemdevice.net">碼上科技)
