當前,勒索軟體攻擊正在以多種方式持續演進。例如:越來越多的新玩家“入場”,許多傳統玩家偶爾會“退場”;一些團伙正在運行復雜的“勒索軟體即服務”(RaaS)操作,並挖角網路滲透、談判、惡意軟體開發等方面的專家;有些團伙由於缺乏足夠的預算和人手,只能繼續在外圍運作等。隨著勒索軟體攻擊的持續演進,其生態系統呈現出以下7種趨勢。
01
參與者整體維持平衡
勒索軟體攻擊領域的參與者整體維持平衡——老牌玩家退場,往往伴隨著新玩家入場。以今年第三季度為例,走向衰落的群體有 Avaddon、Noname等,而相對較新的玩家有 Prometheus、REvil(又名Sodinokibi)、CryptBD、Grief、Hive、Karma、Thanos 以及 Vice Society 等。不過,9月份重新迴歸的 REvil,上個月再度消失,這可能與執法部門的取締活動有關。
02
結構重組愈發普遍
一些所謂的“新玩家”很可能只是改頭換面的老牌玩家。例如,在2021年第三季度,SynAck 勒索軟體組織託管了一個名為“File Leaks”的資料洩露網站,並將自己更名為“El_Cometa”。此外,DoppelPaymer 可能已更名為“Grief”勒索軟體組織,Karma 很有可能是 Nemty 勒索團伙的新名稱。
03
攻擊活動的參與群體日益增多
Cisco Talos研究人員表示,不管名稱如何變,2021年第三季度似乎有更多玩家參與了更多攻擊活動。特別是在Cisco Talos開展的事件響應活動中,只有Vice Society和REvil出現在多起攻擊活動中,這表明新興勒索軟體團伙更加“民主化”,攻擊活動的參與群體日益增多。
不過奇怪的是,之前多產的Ryuk並未出現在Cisco Talos視線中。許多研究人員認為Conti勒索軟體家族是Ryuk的繼任者,這可能正是Ryuk活動量下降的原因所在。勒索軟體事件響應公司Coveware證實了這一結論,該公司稱在其第三季度協助處理的數千個案例中,Conti攻擊量急劇增加而Ryuk攻擊量大幅減少。
2021年第三季度攻擊中出現的Top10勒索軟體名稱及市場份額(來源:Coveware)
04
並非所有勒索軟體運營商都賺得“盆滿缽滿”
目前,似乎仍然有大量勒索軟體組織十分活躍。例如,以色列威脅情報公司Kela報告稱,自10月25日以來,已有11個組織——Avos Locker、BlackByte、BlackMatter、Clop、Conti、Grief、LockBit、Marketo、Midas、Pysa和Xing等在其資料洩露入口網站列出了受害者資訊。有些勒索軟體組織正賺得“盆滿缽滿”,Coveware釋出的資料顯示,在2021年第三季度,企業、政府機構或其他受害組織平均支付了140,000美元贖金。
但 McAfee 研究員 Thibault Seret 指出,並非每個勒索軟體即服務操作都能得到六位數或更多贖金回報。他表示,“根據最近的頭條新聞,您可能會認為所有勒索軟體運營商每年都能從其邪惡活動中攫取數百萬美元。不過事實是,在大型犯罪團伙的陰影之下,還有許多較小的參與者,他們無法獲取最新的勒索軟體樣本,沒能力成為‘後DarkSide RaaS世界’中的附屬公司,也沒有快速發展的金融影響力。”
05
惡意軟體洩露養活了小型玩家
小型玩家可以在其他方面發揮創新能力。例如,今年6月份洩露的Babuk勒索軟體構建器就被一些小型玩家使用,構建其更高階的加密鎖定惡意軟體。在另一案例中,攻擊者只是簡單地調整了Babuk贖金記錄——插入其控制的比特幣錢包地址,用它瞄準受害者,並索要數千美元贖金。
06
洩露被盜資料也充滿挑戰
雖然“從受害者那裡竊取資料,並威脅其洩露資料以達到目的”是勒索團伙廣泛採用的策略,但它並非萬無一失。關鍵挑戰在於,受害者可能還是會選擇不付款,如果攻擊者並未竊取敏感資料,可能情況更是如此。
第三季度勒索軟體組織在其資料洩露站點上列出的受害者數量(來源:Digital Shadows)
由於暗網是隻能透過匿名Tor瀏覽器訪問的網站,它優先考慮的是隱私而非效能,因此,想在暗網中下載洩露的資料就會變得比較困難。XSS俄語網路犯罪論壇的許多使用者就曾報告稱,當他們嘗試下載Clop竊取的資料時,就遭遇了下載速度緩慢的問題。有些使用者聲稱花了將近一週的時間才下載完成第一個資料集,有些使用者甚至直接放棄了下載。
託管資料洩漏站點和支付門戶也會使它們更易成為執法機構的目標。REvil勒索軟體運營商就遇到了這種情況。當管理員重新啟動其基於Tor的站點時,卻發現其他人(可能是前管理員,也可能是執法官員,也許兩者兼有)也有安裝檔案的副本,允許他們劫持REvil的Tor站點。
07
運營商風險暴露
一些勒索團伙的收入似乎格外高,部分原因是受害者支付了價值數百萬美元的加密貨幣贖金,執法機構按圖索驥,很有可能找到勒索團伙的成員。
據德國週報Die Zeit報道稱,德國警方已經確定了REvil團伙的一名疑似領導人——一名自稱“Nikolay K。”(非真名)的比特幣企業家。據瞭解,警方在追蹤GandCrab受害者之一斯圖加特國家劇院(於2019年向GandCrab支付了價值17,000美元的加密貨幣)時,發現加密貨幣與Nikolay K。使用的電子郵件帳戶存在關聯,便成功鎖定了他。
勒索軟體驅動的生活方式和試圖保持匿名的模式也可能對從業者造成傷害。例如,一些勒索軟體的頭目傾向於透過在俄語網路犯罪論壇上發帖來發洩情緒,而非簡單地獲取收益後悄然離場。這表明為了保持運營節奏和匿名性,他們確實承擔著越來越大的壓力。這種情緒已經瀕臨崩潰,如果執法部門持續打擊,未來一定會出現更多情緒的大爆發。
