按公布的受害者数量排名前五的勒索软件组织

从事件响应的角度来看勒索软件

去年，全球应急响应小组(GERT)处理了许多勒索软件事件。事实上，这是他们面临的头号挑战，尽管2022年勒索软件的份额比2021年略有下降，从51.9%降至39.8%。

就初始访问而言，GERT调查的近一半（42.9%）示例涉及利用面向公众的设备和应用程序中的漏洞，如未修补的路由器、Log4j日志实用程序的易受攻击版本等。第二类示例包括被盗帐户和恶意电子邮件。

勒索软件组织使用的最流行的工具每年都保持不变。攻击者使用PowerShell收集数据，使用Mimikatz升级权限，使用PsExec远程执行命令，或使用Cobalt Strike等框架进行所有攻击。

研究人员对2023年趋势的预测

当研究人员回顾2022年和2023年初发生的事件，并分析各种勒索软件家族时，他们试图弄清楚接下来可能会发生什么。通过这些观察研究人员得出了三个潜在趋势，我们认为这些趋势将影响2023年接下来的威胁格局。

趋势1：更多嵌入式功能

研究人员看到一些勒索软件组织在2022年扩展了其恶意软件的功能，最值得注意的新增功能是自我传播，如上所述，BlackBasta通过使用LDAP库获取网络上可用计算机的列表来开始自我传播。

LockBit在2022年增加了所谓的“自扩展”功能，为运营商节省了手动运行PsExec等工具的工作量。至少，这是“自我传播”通常所暗示的。实际上，这只不过是一个凭证转储功能，在后来的版本中被删除了。

例如，Play勒索软件确实有一种自我传播机制。它收集启用了SMB的不同IP，建立与这些IP的连接，挂载SMB资源，然后自我复制并在目标计算机上运行。

最近，许多臭名昭著的勒索软件组织都采用了自我传播，这表明这将会成为一种攻击趋势。

趋势2：驱动器滥用

杀毒驱动程序并不是唯一被攻击者滥用的驱动程序。研究人员最近发现了一名勒索软件攻击者滥用Genshin Impact反作弊驱动程序，使用它来终止目标设备上的终端保护。

驱动器滥用趋势还在继续演变，卡巴斯基报告的最新病例相当奇怪，因为它不符合前两类中的任何一类。合法的代码签名证书，如英伟达泄露的证书和科威特电信公司的证书，被用来签署恶意驱动程序，该驱动程序随后被用于针对阿尔巴尼亚组织的wiper攻击。wiper 使用rawdisk驱动程序直接访问硬盘。

趋势3：采用其他家族的代码以攻击更多目标

主要的勒索软件组织正在从泄露的代码或从其他攻击者那里购买的代码中借用功能，这可能会改善他们自己的恶意软件的功能。

研究人员最近看到LockBit组织采用了至少25%的泄露的Conti代码，并在此基础上发展成了一个新版本。

总结

勒索软件已经存在多年，然后发展成为一个网络犯罪行业。攻击者一直在不断尝试新的攻击战术和程序。勒索软件现在可以被认为是一个成熟的行业，我们预计短期内不会有突破性的技术。

勒索软件组织将继续通过支持更多平台来扩大攻击面。虽然对ESXi和Linux服务器的攻击现在很常见，但顶级勒索软件组织正在努力瞄准更多可能包含关键任务数据的平台。研究人员最近发现了几个示例，其中包含针对macOS、FreeBSD和非传统CPU架构（如MIPS、SPARC等）的LockBit勒索软件的测试版本。

除此之外，攻击者在操作中使用的TTP将继续发展，上述的驱动程序滥用技术就是一个很好的例子。

参考及来源：

原文来源：嘶吼专业版返回搜狐，查看更多