新成立的RansomHub團隊超越LockBit,成為最活躍的勒索軟體組織。
2024年第三季,勒索軟體攻擊次數仍接近高峰,同時,剛成立不久的RansomHub團隊已超越資深的LockBit組織,成為目前最主要的勒索軟體威脅。
根據勒索軟體洩漏網站上的數據分析,勒索軟體攻擊者聲稱在2024年第三季度共發動了1,255次攻擊,略低於第二季度的1,325次,但總體攻擊次數仍呈現上升趨勢。
LockBit攻擊次數下降
第三季度最大的變化是LockBit的勢力減弱,這個原本在勒索軟體生態系統中占主導地位的組織,第二季度的攻擊次數是其主要競爭對手Qilin的三倍多。然而,LockBit在第三季度聲稱的攻擊次數為188次,明顯少於第二季度的353次。2024年2月,LockBit成為國際執法行動的目標,這可能對其活動水準產生影響。雖然它在第二季度似乎完全恢復,但這次行動可能導致其合作夥伴對組織失去信任,特別是當局表示他們已獲得可能識別合作夥伴的相關信息。
RansomHub迅速崛起
LockBit的衰退為RansomHub帶來了最大好處。這個僅在2024年2月開始活躍的組織,現在已成為勒索軟體攻擊數量最多的團隊。RansomHub在第三季度聲稱發動了191次攻擊,遠高於第二季度的75次。這個團隊的迅速崛起可能歸因於其成功招募了有經驗的合作夥伴,並提供比競爭對手更具吸引力的條件,從而吸引了許多勒索軟體即服務(RaaS)模式的合作夥伴。
另一個增加攻擊活動的團隊是Qilin(又稱Agenda),他們在第三季度聲稱發動了140次攻擊,較第二季度的97次有顯著增加。
LockBit與RansomHub的攻擊對比
在Symantec調查的勒索軟體活動與公開聲稱的攻擊活動之間,再次顯現了明顯的差異。儘管LockBit在公開聲稱的攻擊數量中仍占據重要地位,但在Symantec調查的第三季度攻擊中,LockBit只占7%。相較之下,雖然RansomHub在公開聲稱的攻擊中占15%,但它負責的攻擊占Symantec調查的攻擊總數的三分之一,這支持了該團隊正在從競爭對手那裡招募有經驗的合作夥伴的報告。
勒索軟體攻擊的複雜性
當今的勒索軟體攻擊通常是多階段的複雜入侵,攻擊者會部署多種工具,並進行大量的手動操作。
分析顯示,勒索軟體攻擊者目前偏好使用以下四類工具:
利用系統內建工具:如PsExec和WMI這些Windows環境中的工具,攻擊者可利用它們在網路中進行橫向移動並執行遠端命令。而PowerShell則是一個強大的腳本工具,可以用來執行命令、下載惡意載荷、進行橫向移動和進行偵察。
削弱防禦能力:越來越多的攻擊者使用「自帶漏洞驅動程式」(BYOD)技術,攻擊者部署一個已簽署的漏洞驅動程式,並利用它來關閉安全軟體。由於驅動程式擁有內核存取權限,它們可以用來終止進程。
遠端桌面/管理工具:儘管這些軟體合法用於遠端管理或技術支援,攻擊者也經常使用它們來開啟後門存取。例如RDP、AnyDesk、Splashtop和ScreenConnect經常被勒索軟體攻擊者部署。
數據滲透工具:大多數勒索軟體團隊在加密數據之前,會先竊取數據,並以洩露數據的威脅作為額外的施壓手段。Rclone是最常見的數據滲透工具,許多遠端管理軟體也具備數據滲透的功能。
Comments