2023勒索軟件年中報(bào)告-2023.09

2023勒索軟件年中報(bào)告2023-07雙子座實(shí)驗(yàn)室2023

勒索軟件年中報(bào)告目錄contentsP3P4P5P7P8P8概述TOP

勒索軟件攻擊統(tǒng)計(jì)TOP3

勒索軟件攻擊活動(dòng)2023

年上半年活躍勒索軟件特點(diǎn)總結(jié)附錄概述2022

年統(tǒng)計(jì)數(shù)據(jù)顯示，勒索軟件的攻擊事件較之前年增長(zhǎng)了

20%

以上，勒索軟件已然成為網(wǎng)絡(luò)安全領(lǐng)域當(dāng)之無(wú)愧的頭號(hào)威脅。放眼

2023

年上半年，勒索軟件活動(dòng)雖然有所減少，但其攻擊卻變得更加復(fù)雜并具有針對(duì)性。與此同時(shí)，包括

Revil、Conti

在內(nèi)的知名勒索軟件雖已逐漸退出舞臺(tái)，但其源代碼至今仍被許多新型勒索軟件沿用并加以改進(jìn)。勒索團(tuán)伙不斷推陳出新，勒索市場(chǎng)也愈發(fā)顯現(xiàn)出百家爭(zhēng)鳴的景象。盡管如此，2023

年上半年最為活躍的勒索軟件依然是Lockbit，其通過(guò)不斷進(jìn)行版本更新、完善運(yùn)營(yíng)機(jī)制，牢牢地占據(jù)著勒索軟件市場(chǎng)的半壁江山。而后起之秀

BianLian

和

BlackCat

也不甘示弱，成功擠進(jìn)了2023

上半年的排名前五。綜合來(lái)說(shuō)，上半年勒索軟件的發(fā)展具有如下特點(diǎn)：1.

勒索軟件生態(tài)系統(tǒng)不斷進(jìn)行優(yōu)化，運(yùn)營(yíng)體系更加完善，逐步向工業(yè)化發(fā)展；2.

勒索軟件攻擊平臺(tái)更加多樣化，針對(duì)各類(lèi)系統(tǒng)開(kāi)發(fā)新版本，使其具有更廣泛的適用性；3.

附屬公司活躍，積極參與

TTP

改進(jìn)，采用多種方式進(jìn)行滲入（如釣魚(yú)攻擊、漏洞利用等）；4.

目標(biāo)行業(yè)廣泛，即使有小部分勒索軟件有一定的政治傾向，但其目標(biāo)仍以獲取經(jīng)濟(jì)利益為主。32023

勒索軟件年中報(bào)告TOP

勒索軟件攻擊統(tǒng)計(jì)01天際友盟雙子座實(shí)驗(yàn)室追蹤了

2023

年上半年活躍勒索軟件組織的攻擊活動(dòng)，并根據(jù)勒索軟件暗網(wǎng)數(shù)據(jù)泄露站點(diǎn)統(tǒng)計(jì)出了

TOP7

勒索軟件的受害者數(shù)量（如圖

1）。從圖

1

可以看勒索組織，BlackCat

和

CL0P

緊隨其后，2022

年新出現(xiàn)的勒索組織BianLian

則在經(jīng)歷了去年年底的短暫寂靜后再次發(fā)力，順利躍居第四位。出，LockBit

以

806

名受害者數(shù)量遙遙領(lǐng)先于其它9008007006008065004003002001000213144109664526LockbitBlackCatCL0PBianLianBlackBastaViceSocietyAvoslocker圖1

暗網(wǎng)最為活躍的

TOP7

勒索軟件受害者數(shù)量根據(jù)上半年的活躍勒索軟件攻擊事件，我們統(tǒng)計(jì)了

10

個(gè)易受勒索攻擊的目標(biāo)國(guó)家，如圖

2

所示：伊朗巴基斯坦中國(guó)美國(guó)澳大利亞法國(guó)加拿大德國(guó)韓國(guó)英國(guó)圖2TOP10

目標(biāo)國(guó)家4可以看出，歐美地區(qū)尤其是美國(guó)是勒索組織的首選目標(biāo)國(guó)家，這些國(guó)家的經(jīng)濟(jì)相對(duì)發(fā)達(dá)，擁有大量具有豐厚

財(cái)務(wù)資源的大中型公司，因此成為了旨在獲取經(jīng)濟(jì)利益的勒索團(tuán)伙的優(yōu)先攻擊對(duì)象。TOP3

勒索軟件攻擊活動(dòng)022.1LockBit截止目前，LockBit

一方面常稱(chēng)為“附屬公司”）出售其勒索軟件及相關(guān)變體的訪問(wèn)權(quán)限，并支持附屬公司部署勒索軟件以換取預(yù)付款、訂閱費(fèi)、利潤(rùn)分成或三者的組合。Lockbit

還允許附屬公司在向其發(fā)送分成之前從受害者收取贖金，這種做法使其得到快速發(fā)展和壯大。另一方面，LockBit

也是最為活躍的勒索軟件之一，其上半年在暗網(wǎng)的數(shù)據(jù)泄露主頁(yè)上發(fā)布了

806

名受害者，利用的軟件版本包括LockBit2.0、LockBit

3.0、LockBit

Green和LockBitLinux-ESXiLocker，其中LockBit3.0最為活躍，LockBit2.0

緊隨其后。LockBit

通過(guò)創(chuàng)新技術(shù)、持續(xù)開(kāi)發(fā)其控制面附屬公司也在不斷修改用于部署和執(zhí)行勒索軟件的

TTPs。2023

年

1

月，新變種

LockBit

Green

被發(fā)現(xiàn)結(jié)合了來(lái)自Conti

勒索軟件的源代碼。2023

的

4

月，針對(duì)

macOS

的

LockBit

勒索軟件加密程序在

VirusTotal

上出現(xiàn)。此外，LockBit

在攻擊過(guò)程中還利用了很多漏洞，主要漏洞列表如下：是全球部署最為廣泛的勒索軟件組織和

RaaS提供商。該組織可向個(gè)人或運(yùn)營(yíng)商團(tuán)體（通板和

RaaS

支持功能取得了巨大成功。與此同時(shí)，LockBit

的各個(gè)CVE

漏洞漏洞名稱(chēng)CVE-2023-0669CVE-2023-27350CVE-2021-44228CVE-2021-22986CVE-2020-1472CVE-2019-0708CVE-2018-13379FortraGoAnyhare托管文件傳輸（MFT）遠(yuǎn)程執(zhí)行代碼漏洞PaperCutMF/NG

訪問(wèn)控制不當(dāng)漏洞ApacheLog4j2

遠(yuǎn)程執(zhí)行代碼漏洞F5BIG-IP/BIG-IQiControlREST未授權(quán)遠(yuǎn)程代碼執(zhí)行漏洞網(wǎng)絡(luò)登錄權(quán)限提升漏洞Microsoft

遠(yuǎn)程桌面服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞FortinetFortiOS安全套接字層（SSL）VPN

路徑遍歷漏洞表1

LockBit

勒索軟件主要利用漏洞LockBit

的主要攻擊目標(biāo)位于歐美國(guó)家，但在最近的半年活動(dòng)中，也披露過(guò)針對(duì)亞洲國(guó)家的攻擊活動(dòng)。?

活動(dòng)一：LockBit

針對(duì)韓國(guó)個(gè)人傳播惡意軟件實(shí)行勒索此次活動(dòng)中，LockBit

使用O?ce

Open

XML

的

docx

文件作為感染鏈源頭，文件使用韓語(yǔ)編寫(xiě)。LockBit

將托52023

勒索軟件年中報(bào)告管惡意模板文件

(.dotm)

的

URL

注入到

settings.xml.rels

文件中，使文檔能夠從遠(yuǎn)程服務(wù)器下載惡意

dotm

文件。受害主機(jī)一旦與遠(yuǎn)程服務(wù)器成功建立連接，就會(huì)下載并執(zhí)行惡意模板文件。下載的模板文件包含混淆的VBA

宏，攻擊者使用這種技術(shù)來(lái)繞過(guò)檢測(cè)機(jī)制，最終

VBA

腳本會(huì)通過(guò)

PowerShell

命令下載

LockBit

程序相關(guān)內(nèi)容?；顒?dòng)二：基國(guó)內(nèi)安全廠商近期發(fā)現(xiàn)，基于

2022

年

9

月泄露的

LockBit3.0

勒索軟件構(gòu)建器開(kāi)發(fā)的新加密器正在國(guó)內(nèi)傳播，且該加密器只在原有的基礎(chǔ)上修改了一些細(xì)節(jié)部分，如加密完成后僅修改擴(kuò)展名、勒索信文件名及內(nèi)容等。此外，本次勒索活動(dòng)發(fā)現(xiàn)的樣本使用

Salsa-20算法加密文件，樣本執(zhí)行后，被加密的文件默認(rèn)添加后綴名變化為“.xNimqxKZh”，于

LockBit3.0

勒索軟件構(gòu)建器的新加密器在國(guó)內(nèi)傳播贖金提示信息文件名則改為“xNimqxKZh.README.txt”。2.2BlackCatBlackCat（又名

AlphaVM、AlphaV

或

ALPHV）于

2021

年

11

月首次被觀察到，是索軟件即服務(wù)（RaaS）組織，其攻擊目標(biāo)遍布全球多個(gè)國(guó)家和組織。該組織的附屬公司可以獲取高達(dá)

90%

的贖金分成，因此迅速吸引了眾多參與者，其攻擊手段包括利用網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)設(shè)備（如

VPN

網(wǎng)關(guān)）中的常見(jiàn)漏洞，以及通過(guò)

RDP協(xié)議嘗試遠(yuǎn)程登錄。成功入侵后會(huì)使用

PowerShell

修改整個(gè)受害者網(wǎng)絡(luò)中的

WindowsDefender

安全設(shè)置，并使用PsExec

在多個(gè)主機(jī)上啟動(dòng)勒索軟件。除了使用常見(jiàn)的雙重

勒索策略外，如果勒索組織的贖金要求得不到滿(mǎn)足，攻擊一個(gè)使用三重

勒索策略的勒者還會(huì)發(fā)動(dòng)分布式拒絕服務(wù)（DDoS）攻擊進(jìn)行三重

勒索。2023

年上半年，BlackCat

在其暗網(wǎng)主頁(yè)上披露了

213

名受害者，這些受害者分布在澳大利亞、巴哈馬、法國(guó)、德國(guó)、意大利、荷蘭、菲律賓、西班牙、英國(guó)和美國(guó)等國(guó)家，目標(biāo)行業(yè)涉及商造、制藥、零售和

IT

技術(shù)等行業(yè)。2023

年

4

月，Mandiant

披露了BlackCat

勒索組織的一個(gè)新的附屬機(jī)構(gòu)公開(kāi)暴露的Veritas

Backup

Exec

服務(wù)器備份軟件，其易受CVE-2021-27876、CVE-2021-27877、CVE-2021-27878的漏洞攻擊，主要被攻擊者用于獲取初始訪問(wèn)權(quán)限。BlackCat

組織此前的初始入侵方法主要依靠所竊取的憑據(jù)，此次活動(dòng)則表明其開(kāi)始轉(zhuǎn)向采用借助已知漏洞實(shí)施攻擊的策略。在獲得

Veritas

Backup

Exec

服

務(wù)器

的

訪

問(wèn)

權(quán)限

后，UNC4466

會(huì)使用

IE

瀏覽器從其網(wǎng)站下載

Advanced

IPScanner

工具。該工具能夠掃描單個(gè)

IP

地址或

IP

地址范圍以查找開(kāi)放端口，并返回主機(jī)名、操作系統(tǒng)和硬件制造商信息。此外，UNC4466

還會(huì)利用

ADRecon

收集受害者環(huán)境中的網(wǎng)絡(luò)、帳戶(hù)和主機(jī)信息。最后，UNC4466

將使用后業(yè)服務(wù)、建筑、能源、金融、物流、制臺(tái)智能傳輸服務(wù)

(BITS)

來(lái)下載其它惡意工具，包括

LAZAGNE、LIGOLO、WINSW、RCLONE，以及BlackCat

勒索軟件。2.3CL0PCL0P

于

2019

年以勒索軟件即服務(wù)

(RaaS)

的運(yùn)營(yíng)形式首次出現(xiàn)，經(jīng)常被黑客組織

(

如

FIN11、TA505)

所使用，與大部分勒索組織一樣，CL0P

旨在獲取經(jīng)濟(jì)利益，并通過(guò)雙重

勒索策略實(shí)現(xiàn)這一目標(biāo)。CL0P

勒索軟件通過(guò)多種方式傳播，例如包含惡意附件或鏈接的釣魚(yú)郵件、RDP

和漏洞計(jì)算機(jī)，它就會(huì)立即開(kāi)始加密文件并釋放贖金票據(jù)。自

2023

年

1

月以來(lái)，CL0P

勒索軟件全球受害者已達(dá)

144

名，其目標(biāo)廣泛，受影響行業(yè)包括

IT、醫(yī)療、專(zhuān)業(yè)服務(wù)和政府組織等，主要攻擊國(guó)家為美國(guó)。2023

上半年，CL0P組織主要通過(guò)文件傳輸服務(wù)中的多個(gè)漏洞進(jìn)行廣泛攻擊，其上半年活動(dòng)如下：利用工具包等。一旦感染62023

年

1

月下旬，CL0P

勒索組織利用零日漏洞活動(dòng)。該組織聲稱(chēng)從GoAnywhereMFT平臺(tái)竊取了數(shù)據(jù)，這些數(shù)據(jù)在10天內(nèi)影響了大約130名受害者。從

2023

年

5

月

27

日開(kāi)始，CL0P

勒索軟件團(tuán)伙開(kāi)始利用

Progress

Software

的托管文件傳輸（MFT）解決方案MOVEit中的一個(gè)未知的SQL注入漏洞（CVE-2023-34362）進(jìn)行攻擊。目標(biāo)的

MOVEitTransfer

Web應(yīng)用程序感染（CVE-2023-0669）發(fā)起了一場(chǎng)針對(duì)

GoAnywhere

MFT

平臺(tái)的了名為L(zhǎng)EMURLOOT的Webshell，該shell隨后被用來(lái)從底層MOVEitTransfer

數(shù)據(jù)庫(kù)竊取數(shù)據(jù)。2023

年

2

月，Sentinelone

觀察到了

CL0P

第一個(gè)針對(duì)

Linux

系統(tǒng)的

CL0P

勒索軟件的

ELF

變種。新變種與Windows

變種類(lèi)似，使用相同如

API

調(diào)用。此外，研究人員還在針對(duì)

Linux

系統(tǒng)的

ELF

變種中發(fā)現(xiàn)了一個(gè)有缺陷的勒索軟件加密邏輯，它可以在不支付贖金的情況下解密鎖定的文件。證明此變種還在開(kāi)發(fā)完善過(guò)程中。2023

年

6

月

27

日，CL0P

勒索軟件團(tuán)伙宣布攻擊了西門(mén)子能源公司、施耐德電氣等

5

個(gè)組織，引起了巨大震動(dòng)，這也從側(cè)面說(shuō)明

CL0P

開(kāi)始瞄準(zhǔn)能源礎(chǔ)設(shè)施進(jìn)行攻擊。下圖為

6

月份攻擊的

5

個(gè)具體組織的名稱(chēng)：的加密方法和類(lèi)似的過(guò)程邏輯，但它包含一些小差異，主要?dú)w因于操作系統(tǒng)差異，例基UPDATESWERUM.COMPAGE

PUBLISHEDSE.COMPAGE

PUBLISHEDSIEMENS-ENERGY.COMPAGE

PUBLISHEDUCLA.EDUPAGE

PUBLISHEDABBVIE.COMPAGE

PUBLISHED圖3CL0P

勒索軟件攻擊目標(biāo)2023

年上半年活躍勒索軟件特點(diǎn)032023

年上半年勒索軟件產(chǎn)業(yè)依舊蓬勃發(fā)展，除了上述

TOP3

勒索軟件以外，其它勒索軟件也有著期間，涌現(xiàn)出的各類(lèi)新型勒索軟件大多數(shù)還繼承了一些源碼泄露的知名勒索軟件的特點(diǎn)，并且加入新功能進(jìn)行完善升。以下是我們從編程語(yǔ)言、攻擊平臺(tái)、加密算法、攻擊手段等方面總結(jié)出上半年活躍的勒索軟件的特點(diǎn)。不俗的表現(xiàn)。提序號(hào)勒索軟件特點(diǎn)1WannaCry-Imitator針對(duì)

windows

平臺(tái)，基于

Crypter

修改，使用

Python

語(yǔ)言編寫(xiě)，加密文件后綴為

.wncry。2DarkRace與

Lockbit

有相似之處，使用

C、C++

語(yǔ)言編寫(xiě)，專(zhuān)門(mén)針對(duì)

Windows

操作系統(tǒng)，采用雙重

勒索策略。72023

勒索軟件年中報(bào)告序號(hào)勒索軟件特點(diǎn)基于

C++

開(kāi)發(fā)，使用

ChaCha20

和

RSA算法加密文件，支持多種平臺(tái)，包括

Windows、3NoEscapeLinux、VmwareESXi

服務(wù)器等，利用反射式

DLL

注入技術(shù)。使用AES

和

RSA算法加密，加密文件后綴為.akira，攻擊針對(duì)

Windows

系統(tǒng)。采用"

竊取數(shù)456Akira據(jù)

+

加密文件

"

的模式運(yùn)營(yíng)。通過(guò)VPN

設(shè)備的已知漏洞獲得初始訪問(wèn)權(quán)限。采用AES-256-CBC算法加密文件，加密文件添Cactus加擴(kuò)展

".cts0"

或

".cts1"。編程語(yǔ)言第一個(gè)版本由

C#

編寫(xiě)，第二個(gè)版本則基于

Golang

語(yǔ)言，并且集成特權(quán)提升技術(shù)，可BlackByte利用目標(biāo)系統(tǒng)的驅(qū)動(dòng)程序

(BYOVD)

漏洞。第三個(gè)版本

BlackByteNT基于

C++

編寫(xiě)。7RAGroup使用

C++

語(yǔ)言編寫(xiě)，利用

curve25519、cipherhc-128算法加密。8Bl00dy基于

LockBit、Babuk

和

Conti

泄露源代碼，主要利用

PaperCut

漏洞(CVE-2023-27350)。9BabLockBlackBitRTMLockerCrossLockRorschachMoney主要利用漏洞CVE-2022-41352，常使用白進(jìn)程注入、DLL

側(cè)載繞過(guò)殺軟等技術(shù)。1011121314具有權(quán)限維持、防御規(guī)避和自動(dòng)恢復(fù)的功能，加密文件后綴為

.BlackBit。針對(duì)

Linux

系統(tǒng)，利用

ChaCha20算法進(jìn)行對(duì)稱(chēng)加密，ECDH

進(jìn)行非對(duì)稱(chēng)加密。基于

GoLang

編程語(yǔ)言，使用

Curve25519

和

ChaCha20算法。加密速度快，惡意側(cè)載

DLL，文件加密之后填充隨機(jī)數(shù)字。使用

ECDH

和

ChaCha20算法，使用

json

配置文件靈活設(shè)置加密策略，不更改文件名和擴(kuò)展名。基于

C

語(yǔ)言編寫(xiě)，針對(duì)

Windows

系統(tǒng)，利用

Windows

的零日漏洞攻擊，并使用帶有“–15Nokoyawaconāg”命令行參數(shù)的加密

json

配置啟動(dòng)。16171920Rcru64針對(duì)

windows

系統(tǒng)，使用

AES+RSA算法。TrigonaDarkPowerIceFire采用

AES

加密算法，加密時(shí)不區(qū)分文件擴(kuò)展名。Nim

編寫(xiě)，版本不同加密方法不同。利用漏洞CVE-2022-47986，針對(duì)

Windows

和

Linux

雙系統(tǒng)。針對(duì)

VMwareESXi

服務(wù)器，利用

ESXi服務(wù)器中的已知漏洞進(jìn)行攻擊，使用

RSA

和

sosemanuk212223ESXiArgsTrigonaMimic算法加密。使用加密算法

AES-256

和

RSA-4096。利用搜索工具

Everything

的接口進(jìn)行攻擊，與Conti

代碼相似，加密文件使用.QUIETPLACE作為擴(kuò)展名。BlackCat

的附屬組織，利用CVE-2021-27876、CVE-2021-27877、CVE-2021-27878

漏洞，使25UNC4466用

Rust

語(yǔ)言編寫(xiě)。26Rhysida針對(duì)

Windows

系統(tǒng)，使用

4096

位

RSA

密鑰和

ChaCha20算法，以

.rhysida

作為擴(kuò)展名。表22023

年上半年主要勒索軟件特點(diǎn)8綜上所述，2023

年上半年勒索軟件特點(diǎn)如下：1)

編程語(yǔ)言上：編程語(yǔ)言趨向多樣化，雖然使用

C、C++

語(yǔ)言編寫(xiě)的軟件依舊很多，但攻擊者也已逐漸轉(zhuǎn)向使用移植性更好、更為便捷的語(yǔ)言進(jìn)行開(kāi)發(fā)；2)

攻擊平臺(tái)上：絕大部分只針對(duì)

Windows

系統(tǒng)，一部分可針對(duì)雙系統(tǒng)或

Linux

系統(tǒng)，還有專(zhuān)門(mén)針對(duì)其它系統(tǒng)或設(shè)備（如

VPN

等）開(kāi)發(fā)的新版本；3)

攻擊手段上：利用已知或

0day

漏洞4)

加密算法上：采用對(duì)稱(chēng)加密、非對(duì)稱(chēng)加密或兩者相結(jié)合，對(duì)稱(chēng)加密算法采用

ChaCha20

居多，非對(duì)稱(chēng)通常采用

4096

位

RSA

密鑰算法。、進(jìn)程注入、DLL

側(cè)加載等技術(shù)；總結(jié)04總體來(lái)說(shuō)，2023

年上半年各勒索軟件組織依舊表現(xiàn)活躍，TOP

勒索組織的運(yùn)營(yíng)也更加完善息來(lái)看，各勒索軟件的目標(biāo)范圍不斷擴(kuò)大，其中不乏有很多大型企業(yè)或公司，影響日益嚴(yán)重

。除了臭名昭著的勒索軟件家族，其它軟件亦呈現(xiàn)百花齊放的姿態(tài)，可以預(yù)測(cè)，未來(lái)勒索攻擊的門(mén)檻將不斷降低。但隨著競(jìng)爭(zhēng)的逐漸激烈，能夠留下來(lái)的勒索軟件或組織必然會(huì)更加集中，優(yōu)勝劣汰趨勢(shì)會(huì)更加明顯。對(duì)于企業(yè)或者公司而言，如何保護(hù)自身的重資產(chǎn)不被加密或者竊取，除了擁有完善的預(yù)防措施，還必須具有主動(dòng)防御的能力，否則等到“亡羊補(bǔ)牢”，為時(shí)晚矣！。從披露的受害者信要附錄052023

年上半年主要勒索軟件攻擊事件匯總勒索軟件攻擊事件攻擊時(shí)間受害者新勒索軟件

Mimic

利用

Everything

搜索工具瞄準(zhǔn)英俄用戶(hù)2023.1英國(guó)、俄羅斯基于

Lockbit3.0

勒索軟件構(gòu)建器的新加密器在國(guó)內(nèi)傳播

2023.1

中國(guó)BlackByte

勒索軟件以基于

C++

語(yǔ)言的

(NT)

版本回歸

2023.2

美國(guó)Trigona

勒索病毒正廣泛傳播2023.2德國(guó)92023

勒索軟件年中報(bào)告勒索軟件攻擊事件攻擊時(shí)間受害者ESXiArgs

勒索病毒已感染全球

1800

余臺(tái)主機(jī)2023.2美國(guó)、加拿大、澳大利亞Cactus

勒索病毒正通過(guò)

FortinetVPN

設(shè)備漏洞傳播

2023.3

新勒索軟件

DarkPower

聲稱(chēng)第

1

個(gè)月攻陷

10

個(gè)目標(biāo)2023.3美國(guó)、法國(guó)、以色列、土耳其等IceFire

勒索軟件回歸，正瞄準(zhǔn)

Linux

企業(yè)網(wǎng)絡(luò)2023.32023.42023.4土耳其、伊朗、巴基斯坦Akira

勒索軟件分析

RTMLocker

勒索軟件瞄準(zhǔn)

Linux

系統(tǒng)

基于

GoLang

的

CrossLock

勒索軟件追蹤現(xiàn)今最快的勒索軟件

Rorschach

剖析雙重

勒索軟件組織

Mo