进化中的勒索软件：不断发展的漏洞利用技术和对零日漏洞的积极追求

微信钓友群钓友圈2023-09-27 11:08:38A⁺A^-

根据 Akamai 发布的《互联网状态（SOTI）报告》显示，在不断发展的勒索软件环境中，攻击者正试图突破受害者的防御能力。勒索软件组织正在将他们的攻击技术从网络钓鱼转移到更加强调零日漏洞的滥用。总体而言，漏洞滥用的范围和复杂性都有了很大的增长。

此外，勒索软件组织在勒索和利用漏洞的方法上变得更加激进，例如通过内部开发零日攻击和漏洞赏金计划。勒索软件组织愿意为获得经济利益的机会付费，无论是付钱给其他黑客，让他们找到软件中的漏洞，还是通过初始访问代理（IAB）获得对目标的访问权限。

重点发现

在过去的六个月里，随着零日漏洞和 1day 漏洞的猖獗滥用，勒索软件威胁领域的攻击技术发生了令人担忧的变化，导致受害者从 2022 年第一季度到 2023 年第一季度增加了 143%。

【图 1：由于零日漏洞的活跃利用，从 2022 年第一季度到 2023 年第一季度，所有勒索软件组织的总体受害者数量增长了 143%】

勒索软件组织现在越来越多地以文件泄露为目标，这已经成为勒索的主要来源，正如最近对 GoAnywhere 和 MOVEit 的漏洞利用所证实的那样。

研究发现，多个勒索软件组织的受害者在首次攻击的前三个月内，遭受后续攻击的可能性几乎高出 6 倍。

像 CL0P 这样的勒索软件组织，正在积极寻求获得和开发内部零日漏洞。事实证明，这是一个成功的策略，从 2022 年第一季度到 2023 年第一季度，CL0P 的受害者数量增加了 9 倍。

LockBit 在勒索软件领域仍占据主导地位，占受害者总数的 39%（1,091 名受害者），是排名第二的勒索软件家族（ALPHV）的三倍多。在之前的领先者 "Conti" 缺席的情况下，LockBit 的受害者数量大幅增加，从 2022 年第四季度到 2023 年第一季度，其受害者数量增加了 92%。

针对特定垂直行业的攻击有所增长，制造业受害者数量在 2022 年第四季度至 2021 年第四季度之间增长了 42%，医疗保健受害者数量在 2022 年第四季度至 2021 年第四季度之间增长了 39%。

分析突出了两大趋势：首先，勒索软件组织的持续活动可能取决于组织规模和资源等变量；其次，当关键的零日漏洞被利用时，活动显著增加，例如 CL0P 对高度针对性的安全漏洞的积极利用。

攻击者正在改变策略以获得优势

研究人员发现，攻击者也在改变策略，寻找能够产生更有利可图的价值途径。当他们不再采用最初的勒索策略（加密），而是将精力更多地集中在数据窃取上，以获得比依赖备份的组织更大的优势时，他们正在取得更大的成功。

【图 2：勒索软件杀伤链概述，包括勒索策略的一些更新】

初始访问方法剖析

1. 网络钓鱼

2023 年，攻击者在发送网络钓鱼邮件时不得不调整策略。多年来，攻击者在引诱用户下载含有宏的微软 Office 附件后，利用这些附件来运行恶意代码。这种方法非常普遍，最终迫使微软实施了一项政策变更，阻止从互联网下载的 Office 文件中的所有宏。

这一变化迫使威胁行为者放弃使用宏，转而使用新的方法来破坏他们的目标。今年，我们看到各种文件格式（包括 ISO 文件）的使用激增。嵌入恶意文件的 One Note 文档也被发现用于传播多个恶意软件家族。

此外，据报道，一个 LockBit 附属机构使用安装 Amadey Bot 恶意软件的网络钓鱼邮件来加密设备并控制设备，而 CL0P 攻击者一直在向员工发送大量鱼叉式网络钓鱼邮件，以获得进入组织的初始权限。还有一种名为 "BazarCall" 的攻击正在兴起，这种攻击将受害者引入一个威胁组织控制的呼叫中心，说服受害者开始远程屏幕共享会话，并在攻击者秘密建立的一个进入受害者机器的点上保持通话。我们预计这种不断发展的网络钓鱼诱饵的趋势将继续下去；随着检测的不断改进，攻击者将会提高他们的战术。

2. 1day 和 0day 漏洞利用

零日漏洞和旧漏洞是下一个主要的攻击媒介，勒索软件组织越来越多地利用软件安全漏洞作为进入网络的初始接入点。意识到代码漏洞的潜在影响，以及它们更容易渗透到预定目标的事实，攻击者已经相应地调整了他们的盈利策略。事实上，攻击者获得初始访问权限的最常见方法是利用面向互联网的应用程序，通常是通过滥用未打补丁的系统上的 1day 漏洞。这些组织非常迅速地采用了已发布的漏洞，以及滥用零日漏洞。对组织来说，修补和更新软件或系统是一场与时间的赛跑。

旧漏洞，如 Log4Shell （CVE-2021-44228）和 ProxyLogon（CVE-2021-26855）仍然被利用来破坏网络和部署勒索软件。这方面的证据已经出现，因为 LockBit 已经使用 Log4Shell 攻击 VMware 实例。此外，一些受害者报告称，BlackByte 通过一个已知的微软 Exchange 服务器漏洞获得了访问权限。

今年，研究发现攻击者从传统的 " 以任意服务器和端点为目标 " 的勒索软件案例，转向滥用包含敏感数据的应用程序，这些应用程序可以用来对付被勒索的公司。值得注意的例子包括：

ESXiArgs 勒索软件活动，它利用 VMWare ESXi 服务器上的 1day 漏洞来攻击服务器上托管的虚拟机，对它们进行加密，从而使它们无法使用；

CL0P 和 Bl00dy 勒索软件等，利用 PaperCut MF/NG 不当访问控制漏洞，允许未经身份验证的远程攻击者绕过身份验证，在设备上执行任意代码；

CL0P，针对多个托管文件传输（MFT）服务器中的大量零日漏洞。在 2023 年 3 月的攻击之后，MOVEit 漏洞也很快被利用。在这两起案件中，漏洞都被用来窃取敏感文件并勒索受害者。

虽然利用零日漏洞并不是什么新鲜事，但值得注意的是，像 CL0P 这样的勒索软件组织正在积极寻找或研究漏洞，并大规模地滥用它们来危害数百甚至数千个组织。在利用零日漏洞后的几周内，CL0P 受害者数量激增，这表明这种技术可以产生更大的收益，而且这种趋势可能会在不久的将来继续下去。

3. 被盗凭据

有效的被盗凭据还可能允许通过面向互联网的应用程序或公开的服务，实现初始访问。这正是 Vice Society 和 ALPHV 等组织的攻击媒介。有效的凭据可以从暗网供应商或通过网络钓鱼、暴力破解或密码猜测来获取。在收到有效凭据后，攻击者可以利用外部远程服务（如 VPN 或 RDP）来破坏网络。2022 年 11 月，攻击者利用 Fortinet VPN 服务器的一个漏洞获得了初始访问权限，然后将勒索软件传播到整个网络。据报道，LockBit 附属机构 ALPHV 和 Vice Society 一直在通过凭据滥用进行攻击。

4. Drive-by 妥协

攻击者也有可能通过 Drive-by 妥协获得初始访问权限。这是指攻击者通过浏览恶意或合法网站的用户获得系统访问权限。这可以通过授予攻击者的应用程序访问令牌来利用用户的 web 浏览器来实现。像 LockBit 和 REvil 这样的勒索软件组织已经被发现使用这种技术，来获得对受害者系统的初始访问权限。

顶级勒索软件组织的攻击现状

此次季度分析显示了顶级勒索软件的显著变化（图 3）。在 Conti 消失后，LockBit 占据了榜首，成为最多产和活跃的组织之一。数据显示，LockBit 占受影响组织的 39%（1,091 名受害者），是排名第二的 ALPHV 勒索软件受害者数量的四倍多。由于 LockBit 的猖獗活动和受害人数的增加，它引起了执法部门和安全防御者的大量关注。所有人的目光都集中在 LockBit 上，它是否会踏上 Conti 的 " 老路 " ——停止运营后，贴上规模较小的勒索软件名号重整旗鼓——还有待观察。

LockBit 的持续成功主要归功于它的改进，包括在最新的 3.0 版本中引入了新技术——比如漏洞赏金计划（邀请所有安全研究人员、道德黑客和黑帽黑客提交他们软件中的漏洞报告，奖励从 1000 美元到 100 万美元不等）——以及使用 Zcash 加密货币作为支付模式，这进一步放大了这种威胁的普遍性。虽然漏洞赏金计划的使用主要是防御性的，但目前尚不清楚这是否也会被用于寻找漏洞和 LockBit 利用受害者的新途径。

此外，他们的分支机构部署这些攻击目标可以赚取高达 75% 的赎金。为了对受害者施加更大的压力，LockBit 背后的攻击者已经开始联系受害者的客户，通知他们事件，并采用三重勒索策略，包括分布式拒绝服务（DDoS）攻击。为了遏制 LockBit 在全球的流行，美国网络安全和基础设施安全局（CISA）与其国际合作伙伴一起发布了一份网络安全咨询报告，强调了 LockBit 的技术，以帮助安全防御者保护他们的组织。

ALPHV，也被称为 BlackCat，其受害者人数仅次于 LockBit。这个勒索软件的与众不同之处在于它使用了 Rust 编程语言，使其能够感染 windows 和 Linux 系统。Microsoft Exchange 服务器中的几个漏洞（其中一个 CVE-2021-34473，CVSS 得分为 10）被滥用以渗透预定目标。在去年发生的一起 ALPHV 攻击中，攻击者复制了受害者的网站（使用输入的域名）作为一种新的勒索技术；他们在网站上公布窃取的文件，并向目标施加压力，要求其支付赎金。分支机构可以赚取高达 90% 的利润，这使得它们相对于其他集团对新的分支机构更具吸引力。

CL0P 紧随 ALPHV 之后，受害者人数排名第三。CL0P 以滥用托管文件传输平台中的几个零日漏洞而闻名，例如 2019 年 1 月的 GoAnywhere MFT 安全漏洞（CVE-2023-0669）；2023 年 4 月的 papercut 漏洞（CVE-2023-27350 和 CVE-2023-27351）；以及最近的一个零日漏洞 moveit Transfer（CVE-2023-34362，这导致了许多公司的数据被盗）。

虽然不清楚 Royal 勒索软件究竟是何时出现的，但已知的是，他们的运营商可能与 Conti Team one 成员有关，或者与 Conti 勒索软件背后的组织有联系。Royal 勒索软件可能是 Zeon 勒索软件的一个品牌，但与其他勒索软件运营商不同，Royal 勒索软件没有任何附属计划，且通常会通过 IAB 购买网络访问权限。赎金要求可能在 25 万美元到 200 万美元之间，并且可以通过回调网络钓鱼作为入口点使用远程桌面协议（RDP）恶意软件来构成威胁。

【图 3：TOP10 勒索软件组织】

总的来说，虽然大多数勒索软件威胁都有一个活动基线，但有两个趋势非常突出：第一个趋势是勒索软件组织的稳定持续活动，这可能取决于组织规模（分支机构的数量）及其资源等变量。LockBit 似乎每月大约有 50 名受害者，而其他勒索软件组织的受害者人数更少。ALPHV 开始时活性较低，但在 2021 年至 2022 年期间出现了几次井喷。

第二个趋势表明，当某些团体滥用关键的零日漏洞时——就像我们观察到的 CL0P 积极整合高度针对性的安全漏洞一样——这种趋势会大幅上升。从 2021 年 10 月到 2023 年 2 月，CL0P 的受害者数量每月低于 35 人，然而，有必要强调的是，CL0P 在 2023 年 3 月出人意料地上升，这可能与该组织利用 GoAnywhere 软件的零日漏洞有关。

初始访问代理被纳入 RaaS 业务模型

攻击中最困难的步骤之一是获得对受害者网络的初始访问权限。IAB 是专门从事这方面工作的恶意组织。他们使用不同的策略来攻破网络，然后将访问权出售给出价最高的人。这些组织使用常见的方法，如网络钓鱼和利用 1day 漏洞，在网络中站稳脚跟，然后收集信息，核实被入侵公司网络的规模和收入，并相应地收取访问权限的价格。现代勒索软件组织倾向于外包他们的许多任务，包括网络的初始访问。

IAB 仍然是勒索软件入侵的主要载体，一些 IAB 与特定的勒索软件组织有很强的联系，比如 Qbot 和 BlackBasta，而其他 IAB 则向各种组织出售访问权限。据报道，lockbit、DarkSide、Conti 和 BlackByte 等勒索软件组织都利用 IAB 作为其运作的一部分。

勒索软件攻击者需要远程访问凭据，不仅是为了渗透受害者的网络，也是为了横向移动、建立持久性和获得访问权限等。勒索软件攻击者和 IAB 之间的这种共生关系进一步加剧了勒索软件攻击数量的上升。因此，对于防御者来说，能够检测到 IAB 使用的恶意软件是非常重要的，因为从最初的感染到整个网络的勒索软件的周期可能非常短。

任何规模的组织都会成为目标

根据 Astra 的一份报告，勒索软件攻击在不同规模的行业和公司中仍然猖獗——针对组织的攻击大约每 19 秒发生一次，每天总共有 170 万次攻击。在过去五年中，这些攻击平均每次造成的损失约为 185 万美元。此外，网络安全风险投资公司预测，到 2030 年，勒索软件将每两秒钟攻击一次组织。

如果你认为，大型组织才是攻击者最青睐的目标，那就大错特错了！当研究人员根据收入规模分析受害者时，结果发现规模较小的组织受到勒索软件攻击的风险较高，超过 60% 的受害者属于收入范围较低的范畴（约 5000 万美元），这表明小型组织也无法幸免遇难，反而会由于防御机制薄弱而更可能沦为攻击受害者。

【图 4：规模较小的组织受到勒索软件攻击的风险较高】

不过，我们也不能忽视这样一个事实，即相当多（12%）的受害组织属于较高的收入类别（5.01 亿美元及以上）。

关键行业面临更高的风险

在行业细分方面，关键行业显示出更高的勒索软件风险（见图 5）。其中，制造业是受勒索软件攻击影响最重的（占比 20%）。商业服务和零售业紧随其后，分别占 11% 和 9%。

这种增加的风险来自于部署在不同制造和供应链站点的大量遗留或老旧商业软件，包括操作设备、传感器和其他连接端点（从联网汽车到化工厂）。

研究数据也清楚地体现了这种风险的增加，其中受影响的制造业公司数量在 2021 年第四季度至 2022 年第四季度之间飙升了 42%。

【图 5：制造业仍然是受勒索软件攻击人数最多的垂直行业】

防御建议

为了有效地缓解勒索软件威胁，组织应该：