勒索软件的全球攻击走向分析

到2020年，哈萨克斯坦遇到手机勒索软件的用户比例最高，为23.80%，其次是美国，为10.32%。波兰、西班牙和加拿大被马来西亚、印度尼西亚和埃及所取代。总的来说，受影响用户的百分比下降了，这是可以预料的，因为受手机勒索软件影响的用户总数下降了50%以上。

有针对性攻击的勒索软件的兴起

虽然检测到勒索软件的原始总数一直在下降，但这些数字只能说明问题的一部分。当勒索软件首次成为头条新闻时，是因为WannaCry、Petya和CryptoLocker等活动：这些大规模活动感兴趣的是攻击尽可能多的用户，并从每个用户敲诈相对较少的金额。例如，在“WannaCry”事件中，攻击者只索要了300美元后来又将赎金提高到了600美元。

然而，由于几个潜在的原因，这类攻击的盈利能力正在下降。鉴于人们对勒索软件的关注越来越多，安全软件可能已经在阻止勒索软件威胁方面变得更好了，人们被一再被教育不要支付赎金。此外，在很多国家，人们根本负担不起这么高的赎金。因此，攻击者把他们的注意力转移到那些能付钱的人身上，比如公司。2019年，勒索软件近三分之一的受害者是企业。

当然，感染公司需要更复杂、更有针对性的方法，有专门设计的勒索软件家族就是为了做到这一点。

有针对性的勒索软件(也称为“big game hunting”)由用于勒索特定受害者资金的勒索软件家族组成。这些受害者往往是知名人士，如大公司、政府和市政机构以及医疗保健组织，要求的赎金远高于对单独用户的要求。通常，他们的攻击包括以下一个或多个阶段：

•  网络攻击
• 侦察与坚持
• 横向运动
• 资料泄漏
• 数据加密
• 勒索

最初的感染通常是通过利用服务器端软件(VPN，Citrix，WebLogic，Tomcat，Exchange等)、RDP暴力攻击/凭据填充，供应链攻击或僵尸网络来发生的。

卡巴斯基根据所选的受害者，以及是否使用复杂的方法进行攻击，比如破坏网络或横向移动，将一个特定的勒索软件集团归类为“目标”。到目前为止，卡巴斯基已经确定了其中的28个目标家庭，其中包括臭名昭著的哈迪斯(Hades)勒索软件，该软件针对的是至少价值10亿美元的公司。

Hades 勒索软件于 2020 年 12 月首次被发现，以引导受害者访问的 Tor 站点命名。它是 WastedLocker 的 64 位编译的变种，两者在代码上有大量重叠，除了做额外的代码混淆和小特性的更改外，与 WastedLocker 大部分功能基本相同，包括受 ISFB 启发的静态配置、多阶段持久性 / 安装过程、文件 / 目录枚举和加密功能，差异地方在于，Hades 删除了 INDRIK SPIDER 在以前的勒索软件家族(WastedLocker 和 BitPaymer)中一些独有的功能，包括：

Hades 现在是具有附加代码混淆功能的 64 位编译可执行文件，目的是为了逃避了签名检测和阻碍逆向分析。

大多数标准文件和注册表 Windows API 调用已被其对应的系统调用替代(即从 NTDLL 导出的用户模式本机 API)。

Hades 使用的用户帐户控制(UAC)绕过方式与 WastedLocker 使用的不同，但这两种实现都直接来自开源 UACME 项目 https [ : ] //github [ . ] com/hfiref0x/UACME。

Hades 会将名为 HOW-TO-DECRYPT- [ extension ] .txt 的赎金票据写入遍历的目录，而 WastedLocker 和 BitPaymer 则是为每个加密文件创建票据。

Hades 将密钥信息存储在每个加密文件中， WastedLocker 和 BitPaymer 都将编码和加密的密钥信息存储在特定于文件的赎金票据中。

Hades 仍将自身复制到 Application Data 中生成子目录中，但不再使用 :bin 交换数据流(ADS)，对 :bin ADS 路径的使用是 WastedLocker 和 BitPaymer 的特征。

Hades 还体现了一种战术上的转变，即不再使用电子邮件通信，也不再使用从受害者那里窃取机密数据获取报酬的可能性。Hades 赎金票据将受害者定向到 Tor 站点，通过赎金票据无法识别受害公司，这点在 WastedLocker 和 BitPaymer 中也经常看到。

从2019年到2020年，受目标勒索软件(旨在影响特定用户的勒索软件)影响的唯一用户数量从985人增加到了8538人，增长了767%。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!