Chainalysis:易部署与难获利——勒索软件攻击趋势探析
链分析公司指出,2023年,勒索软件事件和支付总额创下历史性激增,但这并非没有受到阻力。针对勒索软件参与者的重大行动,包括针对Qakbot恶意软件以及LockBit和ALPHV-BlackCat勒索软件的破坏,对其产生了影响。
Chain analysis company pointed out that ransomware incidents and total payments hit a historic surge in, but it was not without resistance. Major actions against ransomware participants, including malicious software and the destruction of ransomware, had an impact on it. 比特币今日价格行情网_okx交易所app_永续合约_比特币怎么买卖交易_虚拟币交易所平台
与此同时,恶意软件品种和服务的多样化、对未来攻击的再投资,以及在逆境中快速适应和重塑品牌的能力,都凸显了勒索软件生态系统中威胁行为者的弹性动态本质。
尽管破坏具有影响力,但勒索软件附属机构的持续存在对这些措施的持久有效性提出了挑战。为了应对这一问题,公共部门和私营部门的共同努力至关重要。通过关注这些影响,可以提高针对勒索软件威胁的长期效果。
勒索软件:更容易部署,更难获利
勒索软件活动仍在逐年增加。根据网络安全公司Recorded Future对专用泄密网站(DLS)的分析,2023年赎金支付总额创下历史新高,受害者人数增加了70%。
勒索软件攻击数量激增,支付赎金下降
根据 Recorded Future 的方法,对受害者总数进行了更全面的估计,为评估全球攻击规模提供了有价值的参考。威胁情报分析师 Allan Liska 表示:“需要指出的重要一点是,仅仅因为受害者出现在勒索网站上,并不意味着他们实际上是受害者——许多勒索网站因对受害者撒谎以在社交媒体上产生恶名而臭名昭著。新团体经常使用这种策略来吸引更多附属机构使用其 RaaS 产品,但即使是一些经验丰富的团体也会这样做。” 此外,并非所有勒索软件受害者都会发布到 DLS。
根据我们的数据,尽管 2023 年攻击数量激增,但涉及支付的勒索软件攻击却下降了 46%。从本质上讲,虽然由于地下犯罪分子的专业化和进入门槛的降低,部署勒索软件变得更加容易,但从这些活动中获利可能更困难。 Coveware 等事件响应公司证实了这一趋势,在上个季度所涉及的事件中,该公司仅支付了 28% 的赎金。 我们将付款下降的部分原因归因于组织之间网络弹性的增强,使他们能够更好地准备、防御事件并从事件中恢复。
此外,公共和私营部门提供的未公开解密器(例如 Rhysida 病毒的解密器)以及 Hive 干预等重大执法行动减少了某些情况下支付赎金的需求,凸显了向执法机构报告事件的价值。
Qakbot 的垮台:虽然影响很大,但运营商通过转向新的恶意软件来适应现状
Qakbot(也称为 Qbot 或 Pinkslipbot)自 2008 年左右开始活跃,最初是一种银行木马,具有键盘记录和复杂的网络钓鱼技术,旨在窃取财务凭证。 多年来,它已经显著发展并扩展了其恶意功能,通常由 TA570 和 TA577 等组织精心策划。
这种通过用于主要命令和控制通信的广泛僵尸网络实现的广泛影响力,随着美国司法部 (DOJ) 于 2023 年 8 月宣布的具有里程碑意义的基础设施盘查而面临重大挫折。“猎鸭行动”成功根除了与该僵尸网络相关的恶意软件。 Qakbot 僵尸网络来自超过 700,000 个系统,并追回了数百万被勒索的加密货币。 该行动由联邦调查局(FBI)与国际执法机构合作并得到私营部门合作伙伴的支持。
据观察,Conti、Black Basta 和 REvil 等几个备受瞩目的勒索软件组织通过初始访问代理 (IAB) 使用 Qakbot 作为初步感染途径。 这些活动造成了广泛的损害,影响到从企业、医疗保健系统到政府机构等实体。
在下图中,我们看到 Qakbot 管理员钱包直接和间接收到勒索软件收益的削减。
Conti、Prolock、Quantum、Sodinokibi/REvil 和 Black Basta 等勒索软件利用该加载程序进行了成功的勒索软件攻击。
虽然 Black Basta 勒索软件在 2023 年获得了超过 1.5 亿美元的勒索软件付款,但如果没有 Qakbot 的破坏,损失肯定会大得多。 如下图所示,继 4 月和 5 月的高峰期之后,2023 年 6 月 Black Basta 勒索软件付款急剧下降。
``` ```html几个月过去了,黑客勒索软件活动似乎再次上升。尽管损失被避免,但是不可否认的。自从在8月份宣布关闭Qakbot以来,与2022年的勒索活动相比大幅下降。
尽管Qakbot被取缔,但证据表明Black Basta已转向新的恶意软件,并且正在卷土重来。实际上,与Black Basta相关的案件数量正创下历史新高。
网络安全与合规公司Proofpoint的威胁研究员凯尔西·梅里曼(Kelsey Merriman)表示:“TA577在电子犯罪领域的突出地位不仅仅是偶然的问题,而且证明了威胁行为者的适应能力。”“凭借活动规模、规避技术、TTP变化、坚定不移的持久性以及勒索软件的快速周转,它仍然是该领域最大的威胁之一。Qakbot的破坏总体上是积极的,但它只影响了恶意软件——一些最大规模和迭代活动背后的多产参与者的操作仍在继续,只是有新的恶意软件。”
此外,Qakbot恶意软件并没有完全消失。自2023年11月下旬以来,Proofpoint已经观察到十多个极少量传播Qakbot恶意软件的活动。这些活动中的大多数并不归因于被跟踪的威胁参与者,并且似乎正在测试未来可能使用的交付技术。值得注意的是,虽然TA577在最近的活动中偏向Pikabot,但Proofpoint观察到TA577在1月份仅进行了一次Qakbot活动,然后又返回其他有效负载。
即使在恶意软件遭受重大破坏之后,勒索软件组织最终也适应并找到了替代方案,但对相关勒索软件组织的活动并非没有重大的操作摩擦。Qakbot背后的威胁参与者花了几个月的时间才重新组建。尽管“猎鸭行动”取得了显著成功,但重要的是要承认恶意软件即服务市场的丰富性。
LockBit颠覆:深度渗透让附属机构陷入混乱
LockBit于2020年首次被观察到,作为勒索软件即服务(RaaS)运行,允许不良行为者使用其恶意软件发起攻击,加密并可能泄露受害者数据,除非支付赎金。根据Recorded Future的数据,由于门槛较低,Lockbit被认为是最多产的勒索软件,其占2023年数据泄露网站帖子的21%。
2024年2月,国家犯罪局(NCA)和多国执法机构在私营部门情报的支持下开展了“克罗诺斯行动”,成功夺取了暗网上LockBit网站及其黑客基础设施的控制权。此次行动还导致他们的源代码和加密货币账户被没收。此外,NCA还恢复了1000多个解密密钥,以帮助受害者恢复加密数据。两人被捕,俄罗斯LockBit附属公司也受到制裁。
据FBI称,LockBit与2000多次攻击有关,从2020年1月到2023年5月收到至少1.2亿美元的赎金。受害者包括地方政府、公立学校和紧急服务部门。在中断之前,向LockBit支付的款项占勒索软件支付总额的15%以上。
在下图中,我们可以看到这种中断大大减少了对LockBit的付款。
``` 这个HTML代码将你的中文文本重新组织成了新闻稿的形式,并以HTML文本输出。```html针对 LockBit 和 BlackCat 的黑客攻击行动
近日,对 LockBit 和 BlackCat 的黑客攻击行动取得了重大进展。英国国家犯罪局(NCA)及时采取行动关闭了涉案网站,但此举不仅仅是简单的关闭网站:它是一次经过精心策划的渗透行动,严重损害了 LockBit 社区内的基本信任,严重破坏了 LockBit 的运营并使其附属机构陷入混乱。
尽管遭遇了挫折,LockBit 的所谓领导人仍表示并未结束,承诺将继续进行黑客攻击。威胁情报平台 Analyst1 首席安全策略师乔恩·迪马吉奥(Jon DiMaggio)指出:“LockBit 宣称已发布了新的受害者名单,并声称推出了新的勒索软件变种用于勒索活动。”虽然取缔行动可能无法永久结束 LockBit 团伙的运作,但它肯定会减缓他们的步伐,增加他们的成本。更重要的是,这会削弱他们招募顶尖附属公司的能力,至少在短期内是这样。”
虽然行动已经结束,但调查仍在继续。据报道,NCA 已经识别并分析了数百个活跃钱包,并确定了价值近 1.1 亿美元的 2200 个比特币尚未被洗清。
BlackCat:勒索软件 rugpull 剖析
ALPHV/BlackCat RaaS 是 2021 年 11 月出现的高度活跃的勒索软件家族。该组织采用常见的 RaaS 模型进行操作,向附属机构提供恶意软件,同时收取一定比例的赎金。
BlackCat 因其通过窃取凭证获得初始访问权限的方法而臭名昭著,并对包括石油公司、学校和医院在内的众多全球组织发起了攻击。他们的策略非常激进,通常涉及双重或三重勒索方法,包括分布式拒绝服务(DDoS)威胁,并且他们引入了创新策略,例如建立公共数据泄露网站,以加大对受害者的付款压力。
2023 年 12 月,司法部宣布中断了 BlackCat,向受害者提供了 300 个解密密钥,节省了约 6800 万美元的赎金,但 BlackCat 得以重组。
据报道,2024 年 3 月,UnitedHealth 旗下 Change Healthcare 部门支付了 2200 万美元的赎金后,BlackCat 勒索软件组织在一场退出骗局后消失了。在收到所谓的付款后,BlackCat 在其暗网网站上展示了执法部门扣押通知,表明其业务已被强行终止。这被管理员揭穿为一个诡计,目的是为了在不给联营公司 80-85% 的应得份额的情况下将数百万美元的付款装进自己的口袋。
BlackCat 的退出标志着勒索软件支付生态系统的重大破坏,因为该组织在退出骗局之前捕获了所有勒索软件支付的 30% 以上,如下图所示。截至 2023 年底,BlackCat 是收入最高的 RaaS。
适应、多样化:勒索软件攻击者如何应对破坏
尽管勒索软件支付和活动的减少表明,中断会导致勒索软件团体的运营摩擦和混乱,但勒索软件模型固有的灵活性允许勒索软件供应链的附属机构和成员转向新的策略,包括将以前受害者的被盗数据货币化。
我们注意到一个趋势:附属机构使用的病毒数量似乎一直在增加。这表明需要一段时间的实验和适应,旨在规避未来的干扰。
``````html新闻稿:勒索软件战争持续,尽管受挑战,胜利信号不断积累
2024年第一季度,虽然多种病毒用于获取收入的附属公司数量有所下降,但仍保持较高水平。这可能表明面临颠覆的附属公司正在试验新的病毒,以摆脱已被破坏的病毒。
然而,勒索软件参与者的适应性仍然是一个持久的挑战。对附属公司而言,改变病毒相对成本较低,且他们能够灵活应对。然而,这种行为可能增加了附属公司的感知风险、不信任以及运营停机时间,对其活动可能产生持久影响。
我们之前在2024年的加密货币犯罪报告中引用了参与勒索软件活动的新威胁行为者的数据。到2024年,我们将继续监控附属公司和前附属公司的行为,以及最近发生的事件对其风险评估和继续参与勒索软件的决定所产生的影响。
胜利不断积累,但针对勒索软件的战争仍在继续
打击勒索软件的斗争标志着公共和私营部门之间的重大破坏和具有历史意义的合作,突显了犯罪网络的直接影响与长期适应性之间的复杂关系。
尽管据报道,攻击数量有所增加,但赎金金额持续减少,反映出受害者越来越不愿意遵守网络犯罪分子的要求。对资助犯罪活动的组织的制裁和更广泛的厌恶反映了一种不断变化的情绪,即支付赎金越来越被认为是不可接受或不必要的。
创新的破坏战略涉及针对网络犯罪生态系统各个部分的整体政府方法——从基础设施到洗钱机制,再到逮捕、制裁和资产扣押,以及区块链情报工具的使用,对于理解网络犯罪生态系统并抵消附属公司的适应机制至关重要。持续的受害者报告以及与执法部门的合作可以提供有价值的情报,正如我们在去年所看到的那样,并可能为受害者提供阻止他们支付赎金的解密器。为此,Chainalysis网络威胁情报主管杰奎琳·伯恩斯·科文(Jacqueline Burns Koven)在美国众议院金融服务委员会关于勒索软件的听证会上作证。在作证期间,科文不仅谈到了所需的创新颠覆战略,还谈到了公私伙伴关系和双向信息共享的重要性。
```
注册有任何问题请添加 微信:MVIP619 拉你进入群
打开微信扫一扫
添加客服
进入交流群
1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。
