微軟透露其安全團隊Redmond正在追蹤 100 多個在攻擊期間部署勒索軟體的攻擊者,總共監控到 50 多個在去年被頻繁使用的勒索軟體系列。
微軟列舉了幾個勒索惡意軟體的有效負載,包括Lockbit Black、BlackCat(又名 ALPHV)、Play、Vice Society、Black Basta 和 Royal。但微軟表示,「防禦策略不應只關注在有效負載,而更多應該了解這些惡意程式的攻擊鏈,因為勒索軟體仍針對那些不常見漏洞或最近正需要修補漏洞的設備進行攻擊。」
攻擊策略
雖然一直有新的勒索軟體系列出現,但大多攻擊者在破壞網路和傳播時都使用相同的策略,針對此類行檢測有助於阻止攻擊。
微軟提到,攻擊者越來越依賴網路釣魚以外的策略來進行攻擊,比如利用 Exchange Server 的DEV-0671 和 DEV-0882漏洞部署 Cuba 和 Play 勒索軟體。就在不久前,
Exchange 團隊敦促客戶透過最新更新為本地端 Exchange 伺服器修補。
據報導,超過 60,000 台暴露在網上的 Exchange 伺服器容易受到利用ProxyNotShell RCE 漏洞的攻擊。同時,也有數千台伺服器正受到利用ProxyShell 和 ProxyLogon 漏洞攻擊的風險,這是2021年最常被利用的兩個安全性漏洞。
其他攻擊者也正在轉向或使用惡意廣告來提供惡意軟體載入器和下載器,以傳播勒索軟體和各種其他惡意軟體變種,如資訊竊取程式。例如,一個被追蹤為 DEV-0569 的攻擊者被認為是勒索軟體組織的初始存取代理,在廣告活動中濫用 Google Ads來分發惡意軟體,從受感染的設備中竊取密碼,獲得對目標網路的存取權限,並將許可權出售給其他攻擊者,如Royal 勒索軟體組織。
打擊勒索行動發酵
根據區塊鏈分析公司 Chainalysis 的資料,勒索軟體組織去年的勒索收入大幅下降了 40% 左右,為4.568 億美元,而前年的收入達到了創紀錄的 7.65 億美元。但這種下降趨勢並不是因為攻擊次數減少,而是因為越來越多的受害者開始拒絕支付勒索贖金。
最近,在美國司法部、聯邦調查局、特勤局和歐洲刑警組織的國際執法行動的打擊下,Hive 勒索軟體資料洩露和 Tor 支付暗網被查封,FBI向受害者分發了 1300 多個解密金鑰,並取得 Hive 通聯記錄、惡意軟體檔和 250 個 Hive 分支機搆詳細資訊的存取權限,美國國務院也懸賞1000萬美元,尋求 Hive 勒索軟體組織或其他攻擊者與外國政府聯繫的線索。
本文轉載自BleepingComputer。