年第一季度,勒索软件团伙继续保持其核心威胁地位,他们与各种网络犯罪分子合作,如初始访问代理(IAB),对全球范围内的公司进行攻击。KELA网络犯罪情报分析了第一季度勒索软件团伙活动,得出以下结论:
1.金融部门进入勒索软件目标部门前五名。40%的攻击与网络犯罪团伙LockBit相关。
2.勒索软件团伙的新套路:发布受害者时隐匿公司名
尽管相较于年第四季度,勒索软件攻击数量有所减少,但每月的勒索软件攻击数量仍然呈现显著的上升趋势。
01主流勒索软件团伙
Q1最活跃的勒索软件组织分别是LockBit、Conti、Alphv、Hive和Karakurt(最近发现是Conti的附属组织)。
LockBit取代Conti成为最活跃的团伙,在第一季度就披露了名受害者。该团伙针对的行业范围广泛,受害者最多,涉及到制造业、技术、教育和公共部门等。
今年2月,Conti内部成员泄露了部分勒索软件源代码和数据,人们得以窥见其组织活动和结构。泄密后,Conti在3月的受害者人数自2月以来翻了一番。其中大多数受害者来自制造业、工业产品、专业服务和医疗保健行业。再加上Karakurt这个与Conti相关的数据勒索组织,Conti在年第一季度仍然是第二活跃的组织。
Alphv又名Blackcat,年12月开始活跃,主要针对专业服务、消费和零售以及制造业。调查显示该组织的开发人员和洗钱者与DarkSide以及Blackmattter勒索软件组织有联系。
这些组织还被发现互相攻击对方的受害者,目前尚不清楚是合作还是巧合。近期研究人员也发现Conti团伙正在创建小型自主勒索软件组织,并且与Aophv、AvosLocker、Hive和HelloKitty团伙合作。
02主要目标行业
勒索软件攻击者的首要目标行业是制造业、工业产品、专业服务和技术。同时,金融行业在今年第一季度也跻身前5名目标行业,受害者数量增加了40%。金融业也是前10名中唯一一个受害者数量增加的行业,该领域40%的攻击由LockBit发起。
在第一季度,仍然有41家医疗机构遭到勒索软件团伙攻击,其中34%的攻击与Conti和Karakurt相关。
03新的恐吓套路
一些勒索软件团伙使用了新的恐吓方式,包括在不提及公司名称的情况下发布受害者。例如,Midas在其网站上声称“一家新公司”成为他们的受害者,如果受害者不付款,Midas将会在帖子上曝光其公司名。
其他勒索软件诸如Lorenz、Everest都采取了相同的方式。相比之下,Conti则发布了隐藏博客文章,只能通过特定URL访问,攻击者向受害者分享此文章链接进行恐吓,若受害者同意付款,则帖子永不发布,如果协商失败,则会将其信息公开。
由第一季度的情况来看,年勒索软件组织仍然来势汹汹。对于企业来说,应当努力在早期阶段捕获勒索软件攻击,才能提前部署,加快响应速度,将其影响降至最低。
塞讯验证能够快速、大规模地模拟勒索软件部署之前的入侵,还原超过种勒索软件攻击手段,在确保安全的前提下,既能够模拟勒索软件的传输,也能够模拟勒索软件的执行,帮助您检验防御体系是否能对这些攻击手段产生正确的响应。
参考来源: