1??????? 概述

勒索軟件（Ransomware）是一類(lèi)極具破壞性的計(jì)算機(jī)木馬程序。近年來(lái)，勒索軟件已經(jīng)成為全球企業(yè)和組織面臨的主要網(wǎng)絡(luò)安全威脅之一，是攻擊者用作牟取非法經(jīng)濟(jì)利益的犯罪工具。一旦被勒索軟件攻擊，企業(yè)和組織的正常運(yùn)營(yíng)將受到嚴(yán)重影響，往往會(huì)導(dǎo)致業(yè)務(wù)中斷、數(shù)據(jù)被加密和被竊取。攻擊者以數(shù)據(jù)恢復(fù)、數(shù)據(jù)曝光等形式要挾受害企業(yè)和組織并勒索贖金。數(shù)據(jù)形式包括文檔、郵件、數(shù)據(jù)庫(kù)和源代碼等多種格式文件；贖金形式包括真實(shí)貨幣、比特幣等虛擬貨幣。攻擊者通常會(huì)設(shè)定贖金支付的時(shí)限，贖金金額也會(huì)隨著時(shí)間的推移而提高。有時(shí)，即使受害企業(yè)和組織向攻擊者支付了贖金，被加密的文件也無(wú)法得到恢復(fù)。2022年全球制造業(yè)、醫(yī)療、建筑、能源、金融和政府機(jī)構(gòu)等頻遭勒索攻擊，這使全球產(chǎn)業(yè)產(chǎn)值受到嚴(yán)重?fù)p失。

安天CERT針對(duì)2022年流行的勒索軟件進(jìn)行了梳理，形成家族概覽信息表，如表1所示：

表1 2022年活躍勒索軟件家族及其有關(guān)攻擊事件

2??????? 勒索軟件行為分類(lèi)

2022年活躍的勒索軟件行為主要有以下四類(lèi)：

l? 影響用戶系統(tǒng)

此類(lèi)勒索軟件通過(guò)修改磁盤(pán)MBR或設(shè)置鎖屏程序?qū)е掠脩魺o(wú)法正常使用計(jì)算機(jī)。（例如MBR Locker和WhisperGate）

l? 破壞數(shù)據(jù)

此類(lèi)勒索軟件不對(duì)文件進(jìn)行加密，而是用字符覆寫(xiě)文件或用其他方式對(duì)文件進(jìn)行損壞，永久性的破壞用戶數(shù)據(jù)，部分在破壞數(shù)據(jù)之后它還會(huì)索要贖金。（例如HermeticRansom和Onyx勒索軟件）

l? 加密文件

此類(lèi)勒索軟件通過(guò)特定加密算法（如AES、RSA、ChaCha20和Salsa20等）組合利用對(duì)文件進(jìn)行加密，大多數(shù)受害文件在未得到對(duì)應(yīng)密鑰的解密工具時(shí)，暫時(shí)無(wú)法解密，只有少部分受害文件因勒索軟件存在算法邏輯錯(cuò)誤而得以解密。（例如Coffee[1]和Phobos勒索軟件）

l? 竊取文件+加密文件

此類(lèi)勒索軟件在發(fā)動(dòng)勒索攻擊前，會(huì)在受害系統(tǒng)內(nèi)駐留一段時(shí)間，在此期間竊取數(shù)據(jù)文件，在竊取工作完成后會(huì)發(fā)動(dòng)勒索攻擊，加密系統(tǒng)中的文件，并通知受害者文件被竊取，如不按期支付勒索贖金，則會(huì)公開(kāi)竊取到的數(shù)據(jù)文件，給予受害者壓力，從而迫使受害者盡早支付贖金。（例如Pandora[2]、LockBit和Conti[3]勒索軟件）

3??????? 2022年流行勒索軟件家族盤(pán)點(diǎn)

回顧2022年發(fā)生的勒索軟件攻擊事件，對(duì)流行的勒索軟件家族進(jìn)行盤(pán)點(diǎn)，包括家族基本信息、家族概覽和典型案例，按家族名稱(chēng)首字母排序，排名不分先后。

3.1??????? AvosLocker

AvosLocker勒索軟件被發(fā)現(xiàn)于2021年7月，使用勒索軟件即服務(wù)RaaS（Ransomware-as-a-Service）模式運(yùn)營(yíng)，采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略，擅長(zhǎng)通過(guò)Microsoft Exchange Server和Log4j相關(guān)漏洞利用發(fā)動(dòng)勒索攻擊。2021年10月開(kāi)始使用Linux系統(tǒng)攻擊載荷，具有針對(duì)ESXi平臺(tái)的攻擊能力。在成功入侵至受害系統(tǒng)網(wǎng)絡(luò)環(huán)境后，攻擊者通過(guò)使用遠(yuǎn)程桌面軟件AnyDesk連接受害主機(jī)并實(shí)施后續(xù)惡意行為，安全研究人員發(fā)現(xiàn)該勒索軟件可以在安全模式下運(yùn)行，并且部分技術(shù)特點(diǎn)與REvil（Sodinokibi）勒索軟件存在關(guān)聯(lián)[4]。

3.1.1???????? 家族概覽

3.1.2???????? 典型案例

l? 美國(guó)密歇根州McKenzie Health醫(yī)療機(jī)構(gòu)遭受AvosLocker攻擊

2022年3月10日美國(guó)密歇根州McKenzie Health醫(yī)療機(jī)構(gòu)遭受網(wǎng)絡(luò)攻擊[5]，此次攻擊事件導(dǎo)致部分IT系統(tǒng)無(wú)法運(yùn)行，部分患者信息被刪除，隨后，AvosLocker勒索軟件背后的攻擊組織聲稱(chēng)對(duì)本次事件負(fù)責(zé)，并且竊取部分?jǐn)?shù)據(jù)。

l? 美國(guó)得克薩斯州非營(yíng)利性衛(wèi)生系統(tǒng)Christus Health遭受AvosLocker攻擊

美國(guó)得克薩斯州非營(yíng)利性衛(wèi)生系統(tǒng)Christus Health于5月遭受AvosLocker勒索軟件攻擊[6]。隨后，AvosLocker勒索軟件背后的攻擊組織聲稱(chēng)對(duì)本次事件負(fù)責(zé)，并且竊取部分?jǐn)?shù)據(jù)。

3.2??????? Black Basta

Black Basta勒索軟件被發(fā)現(xiàn)于2022年4月，使用勒索軟件即服務(wù)模式運(yùn)營(yíng)，采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略，具有Windows和Linux系統(tǒng)攻擊載荷，主要通過(guò)第三方獲取訪問(wèn)憑證、漏洞利用和搭載其他惡意軟件等方式進(jìn)行傳播，在入侵至受害者網(wǎng)絡(luò)環(huán)境中任意一臺(tái)主機(jī)后，組合利用多種工具實(shí)現(xiàn)內(nèi)網(wǎng)橫向移動(dòng)。該勒索軟件背后的攻擊組織曾在地下論壇上發(fā)帖尋求企業(yè)網(wǎng)絡(luò)訪問(wèn)憑據(jù)，并許諾提供從攻擊中獲得的一部分利潤(rùn)作為報(bào)酬。安全研究人員猜測(cè)，Black Basta可能是Conti勒索軟件組織的分支或更名后的組織[7]。

3.2.1???????? 家族概覽

3.2.2???????? 典型案例

l? 美國(guó)牙科協(xié)會(huì)遭受Black Basta攻擊

2022年4月，美國(guó)牙科協(xié)會(huì)（ADA）遭受Black Basta勒索軟件攻擊[8]，此次攻擊事件導(dǎo)致多個(gè)在線服務(wù)、電話系統(tǒng)和電子郵件系統(tǒng)遭到了破壞，多個(gè)地區(qū)的線上服務(wù)系統(tǒng)也都受到了影響，例如紐約、弗吉尼亞和佛羅里達(dá)等。隨后，Black Basta勒索軟件背后的攻擊組織聲稱(chēng)對(duì)本次事件負(fù)責(zé)，在其數(shù)據(jù)泄露平臺(tái)公開(kāi)了約2.8GB從受害系統(tǒng)中竊取到的數(shù)據(jù)，并表明這只是全部被竊數(shù)據(jù)的30%。

l? 德國(guó)風(fēng)力渦輪機(jī)提供商Deutsche Windtechnik遭受Black Basta攻擊

德國(guó)風(fēng)力渦輪機(jī)服務(wù)提供商Deutsche Windtechnik于4月11日左右遭受網(wǎng)絡(luò)攻擊[9]，此次攻擊迫使該公司關(guān)閉了與風(fēng)力渦輪機(jī)的遠(yuǎn)程數(shù)據(jù)監(jiān)控連接，隨后，Black Basta勒索軟件背后的攻擊組織聲稱(chēng)對(duì)本次事件負(fù)責(zé)。

l? 美國(guó)國(guó)防企業(yè)Elbit遭受Black Basta攻擊

以色列國(guó)防企業(yè)Elbit Systems位于美國(guó)的子公司于6月8日遭受網(wǎng)絡(luò)攻擊[10]，該公司可以提供國(guó)防、商業(yè)航空、國(guó)土安全和醫(yī)療儀器相關(guān)解決方案，此次事件影響369人，該公司為受到影響的客戶提供12個(gè)月的免費(fèi)身份保護(hù)和信用監(jiān)控服務(wù)。隨后，Black Basta勒索軟件背后的攻擊組織于9月在其數(shù)據(jù)泄露平臺(tái)發(fā)布了Elbit公司的相關(guān)信息及竊取到的數(shù)據(jù)，包括工資單、審計(jì)報(bào)告和保密協(xié)議等。

l? 德國(guó)建材企業(yè)可耐福集團(tuán)遭受Black Basta攻擊

6月29日，可耐福集團(tuán)發(fā)布聲明稱(chēng)其遭受網(wǎng)絡(luò)攻擊[11]，該攻擊擾亂了其業(yè)務(wù)運(yùn)營(yíng)，迫使其全球IT團(tuán)隊(duì)關(guān)閉所有IT系統(tǒng)以隔離負(fù)面影響?？赡透Ｊ且患铱偛课挥诘聡?guó)的建筑系統(tǒng)與建筑材料的跨國(guó)制造商，占據(jù)全球墻板市場(chǎng)約81%的份額。隨后，Black Basta勒索軟件背后的攻擊組織于7月16日在其數(shù)據(jù)泄露平臺(tái)發(fā)布了關(guān)于可耐福集團(tuán)的相關(guān)數(shù)據(jù)，包括電子郵件、內(nèi)部生產(chǎn)資料和員工信息等。

3.3??????? BlackCat

BlackCat勒索軟件又名ALPHV或Noberus，被發(fā)現(xiàn)于2021年11月，使用勒索軟件即服務(wù)模式運(yùn)營(yíng)，利用Exmatter作為數(shù)據(jù)竊取工具，采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略，在此基礎(chǔ)上增加DDoS攻擊威脅，構(gòu)成三重勒索。是第一個(gè)用Rust語(yǔ)言編寫(xiě)勒索執(zhí)行體的勒索軟件組織，具有Windows和Linux系統(tǒng)攻擊載荷，主要通過(guò)第三方獲取訪問(wèn)憑證、漏洞利用和搭載其他惡意軟件等方式進(jìn)行傳播，利用PsExec工具實(shí)現(xiàn)在受害者內(nèi)網(wǎng)系統(tǒng)中傳播。

3.3.1???????? 家族概覽

3.3.2???????? 典型案例

l? 瑞士國(guó)際空港服務(wù)有限公司遭受BlackCat攻擊

2022年2月，瑞士國(guó)際空港服務(wù)有限公司Swissport遭受勒索軟件攻擊[12]，此次攻擊導(dǎo)致22架次航班延誤、大量網(wǎng)絡(luò)服務(wù)中斷，隨后，BlackCat勒索軟件背后的攻擊組織聲稱(chēng)對(duì)本次事件負(fù)責(zé)，并泄露了部分從本次事件中竊取到的數(shù)據(jù)。

l? 盧森堡大公國(guó)天然氣管道和電力網(wǎng)絡(luò)運(yùn)營(yíng)商遭受BlackCat攻擊

盧森堡天然氣管道和電力網(wǎng)絡(luò)運(yùn)營(yíng)商Creos Luxembourg SA發(fā)布聲明稱(chēng)其在7月22日至23日遭受網(wǎng)絡(luò)攻擊[13]，此次攻擊導(dǎo)致部分門(mén)戶網(wǎng)站無(wú)法使用，受害系統(tǒng)被竊取部分?jǐn)?shù)據(jù)，隨后，BlackCat勒索軟件背后的攻擊組織聲稱(chēng)對(duì)本次事件負(fù)責(zé)，并威脅要發(fā)布18萬(wàn)個(gè)總計(jì)150GB大小的被竊文件，包括合同、護(hù)照、賬單和電子郵件等。

l? 哥倫比亞能源公司EPM遭受BlackCat攻擊

哥倫比亞能源公司EPM遭受BlackCat勒索軟件攻擊[14]，該公司隸屬哥倫比亞麥德林市政府。此次事件導(dǎo)致公司運(yùn)營(yíng)及在線服務(wù)中斷，4000多名員工無(wú)法到現(xiàn)場(chǎng)工作，攻擊者在受害系統(tǒng)中竊取大量數(shù)據(jù)。

3.4??????? Clop

Clop勒索軟件又名Cl0p，被發(fā)現(xiàn)于2019年2月，由CryptoMix勒索軟件演變而來(lái)，使用勒索軟件即服務(wù)模式運(yùn)營(yíng)。2020年3月，Clop勒索軟件組織首次在暗網(wǎng)中啟用泄露數(shù)據(jù)站點(diǎn)，采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略。被該勒索軟件攻擊后，會(huì)在受害系統(tǒng)中部署橫向滲透和遠(yuǎn)控等工具，對(duì)目標(biāo)內(nèi)網(wǎng)進(jìn)行滲透，并感染更多的機(jī)器，主要通過(guò)網(wǎng)絡(luò)釣魚(yú)、漏洞利用或遠(yuǎn)程桌面協(xié)議（RDP）暴力破解等方式進(jìn)行傳播。據(jù)安全研究人員發(fā)現(xiàn)，黑客組織TA505和FIN11曾使用Clop勒索軟件用于網(wǎng)絡(luò)攻擊[15]。

3.4.1???????? 家族概覽

3.4.2???????? 典型案例

l? 英國(guó)供水商South Staffordshire Water遭受Clop攻擊

2022年8月，英國(guó)供水商South Staffordshire Water遭受Clop勒索軟件攻擊[16]，此次攻擊事件導(dǎo)致該公司部分IT系統(tǒng)中斷服務(wù)，攻擊者從受害系統(tǒng)中竊取了5TB數(shù)據(jù)并在其數(shù)據(jù)泄露平臺(tái)公開(kāi)了一部分，其中包括SCADA系統(tǒng)文件、身份證等個(gè)人信息。

l? 美國(guó)IT服務(wù)公司Softeq遭受Clop攻擊

11月5日，Clop在其數(shù)據(jù)泄露平臺(tái)上將Softeq列為受害者[17]。Softeq為許多大型組織提供IT服務(wù)，包括Microsoft、HP、Lenovo、Coca-Cola、Samsung、NVIDIA和Disney等。

3.5??????? Conti

Conti勒索軟件家族被發(fā)現(xiàn)于2019年12月，使用勒索軟件即服務(wù)模式運(yùn)營(yíng)，自2020年5月開(kāi)始，攻擊活動(dòng)逐漸增多，2020年7月利用匿名化Tor建立贖金支付與數(shù)據(jù)泄露平臺(tái)，采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略，主要通過(guò)搭載其他惡意軟件、漏洞利用和RDP暴力破解等方式進(jìn)行傳播，組合利用多種工具實(shí)現(xiàn)內(nèi)網(wǎng)橫向移動(dòng)，2021年12月Log4j被曝漏洞（CVE-2021-44228）后，Conti勒索軟件運(yùn)營(yíng)者開(kāi)始利用存在Log4j漏洞的VMware vCenter進(jìn)行橫向移動(dòng)。Conti勒索軟件組織是在俄烏沖突時(shí)期第一個(gè)表明政治立場(chǎng)的勒索軟件相關(guān)攻擊組織，但此舉遭到了其團(tuán)伙內(nèi)部部分成員的不滿，一名據(jù)稱(chēng)是烏克蘭籍的成員在網(wǎng)上公開(kāi)了該組織內(nèi)部聊天記錄和勒索軟件構(gòu)建器等資料。Conti于2022年5月宣布停止運(yùn)營(yíng)，6月關(guān)閉了所有公開(kāi)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，包括數(shù)據(jù)泄露平臺(tái)和贖金談判平臺(tái)，猜測(cè)該組織可能結(jié)束勒索軟件生涯或更名為其他勒索軟件從而躲避政府的追蹤[18]。

3.5.1???????? 家族概覽

3.5.2???????? 典型案例

l? 中國(guó)臺(tái)達(dá)電子公司遭受Conti攻擊

2022年1月18日，中國(guó)臺(tái)達(dá)電子公司遭受Conti勒索軟件攻擊[19]，根據(jù)Conti勒索軟件組織和臺(tái)達(dá)之間的談判，該攻擊組織聲稱(chēng)已經(jīng)對(duì)臺(tái)達(dá)網(wǎng)絡(luò)環(huán)境內(nèi)大約1500臺(tái)服務(wù)器和12000臺(tái)計(jì)算機(jī)進(jìn)行了加密，并要求支付1500萬(wàn)美元的贖金。

l? 風(fēng)力渦輪機(jī)集團(tuán)Nordex遭受Conti攻擊

3月31日，風(fēng)力渦輪機(jī)集團(tuán)Nordex遭受Conti勒索軟件攻擊[20]，Nordex集團(tuán)IT安全檢測(cè)到該公司受到網(wǎng)絡(luò)安全事件的影響。作為一項(xiàng)預(yù)防措施，該公司決定關(guān)閉多個(gè)地點(diǎn)和業(yè)務(wù)部門(mén)的IT系統(tǒng)。隨后，Conti勒索軟件組織聲稱(chēng)對(duì)本次事件負(fù)責(zé)。

l? 哥斯達(dá)黎加政府遭受Conti攻擊

哥斯達(dá)黎加政府4月遭受Conti勒索軟件攻擊[21]，攻擊入口點(diǎn)是一個(gè)屬于哥斯達(dá)黎加財(cái)政部的系統(tǒng)，攻擊者由此入侵后實(shí)施后續(xù)攻擊行為，本次事件影響到了哥斯達(dá)黎加的多個(gè)政府機(jī)構(gòu)。隨后，Conti勒索軟件組織聲稱(chēng)對(duì)本次事件負(fù)責(zé)，從受害系統(tǒng)中竊取約700GB數(shù)據(jù)，起初要求支付1000萬(wàn)美元贖金，在超出規(guī)定支付贖金的限時(shí)后，贖金增加到了2000萬(wàn)美元。

3.6??????? Cuba

Cuba勒索軟件于2019年12月首次被發(fā)現(xiàn)，使用勒索軟件即服務(wù)模式運(yùn)營(yíng)，采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略，主要通過(guò)網(wǎng)絡(luò)釣魚(yú)、漏洞利用和搭載其他惡意軟件等方式進(jìn)行傳播，常利用Microsoft Exchange Server相關(guān)漏洞實(shí)現(xiàn)勒索攻擊，在入侵至受害者網(wǎng)絡(luò)環(huán)境中一臺(tái)主機(jī)后，組合利用多種工具實(shí)現(xiàn)內(nèi)網(wǎng)橫向移動(dòng)。參考美國(guó)聯(lián)邦調(diào)查局（FBI）和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）于2022年12月發(fā)布的一份聯(lián)合報(bào)告，截至2022年8月，Cuba勒索軟件組織已經(jīng)在全球范圍內(nèi)破壞了100多個(gè)實(shí)體，索要贖金超過(guò)1.45億美元，并收到超過(guò)6000萬(wàn)美元的贖金[22]。

3.6.1???????? 家族概覽

3.6.2???????? 典型案例

l? 黑山國(guó)家政府遭受Cuba攻擊

黑山國(guó)家政府在2022年8月19日遭受網(wǎng)絡(luò)攻擊[23]，此次攻擊導(dǎo)致10個(gè)政府機(jī)構(gòu)的約150個(gè)工作站被惡意軟件感染，隨后Cuba勒索軟件組織聲稱(chēng)對(duì)此次事件負(fù)責(zé)，并聲稱(chēng)竊取了財(cái)務(wù)文件、與銀行的往來(lái)信件、資產(chǎn)負(fù)債表、稅務(wù)文件、賠償金和源代碼等數(shù)據(jù)，要求支付1000萬(wàn)美元贖金來(lái)贖回這些被竊取的文件。

l? 烏克蘭國(guó)家組織遭受Cuba攻擊

10月，烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT-UA）發(fā)布了Cuba勒索軟件針對(duì)該國(guó)家發(fā)起攻擊活動(dòng)的警告[24]。攻擊者投放偽裝成來(lái)自烏克蘭武裝部隊(duì)相關(guān)內(nèi)容的釣魚(yú)郵件，從而誘使受害者查看并下載勒索攻擊載荷。

3.7??????? Hive

Hive勒索軟件被發(fā)現(xiàn)于2021年6月，使用勒索軟件即服務(wù)模式運(yùn)營(yíng)，采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略，主要通過(guò)第三方獲取訪問(wèn)憑證、漏洞利用和RDP暴力破解等方式進(jìn)行傳播，具有內(nèi)網(wǎng)傳播功能，常利用Microsoft Exchange Server相關(guān)漏洞實(shí)現(xiàn)勒索攻擊，具有Windows和Linux系統(tǒng)攻擊載荷，2022年3月開(kāi)始使用Rust語(yǔ)言編寫(xiě)勒索執(zhí)行體，并將數(shù)據(jù)泄露平臺(tái)設(shè)置為賬號(hào)密碼登錄方式，意圖限制安全研究人員對(duì)其實(shí)施分析。美國(guó)司法部于2023年1月26日發(fā)布聲明，稱(chēng)其聯(lián)合德國(guó)、荷蘭和歐洲相關(guān)執(zhí)法單位，針對(duì)Hive勒索軟件組織開(kāi)展的打擊活動(dòng)取得成效，已經(jīng)控制Hive勒索軟件組織用于攻擊的服務(wù)器和網(wǎng)站，并將解密密鑰發(fā)送給受害者[25]。

3.7.1???????? 家族概覽

3.7.2???????? 典型案例

l? 哥斯達(dá)黎加公共衛(wèi)生機(jī)構(gòu)遭受Hive攻擊

哥斯達(dá)黎加的公共衛(wèi)生服務(wù)機(jī)構(gòu)–哥斯達(dá)黎加社會(huì)保障基金（CCSS）在2022年5月31日遭受Hive勒索軟件攻擊[26]，此次攻擊事件導(dǎo)致該機(jī)構(gòu)網(wǎng)絡(luò)環(huán)境中的大量計(jì)算機(jī)系統(tǒng)無(wú)法正常工作，攻擊者在受害系統(tǒng)中竊取部分?jǐn)?shù)據(jù)。

l? 阿根廷多媒體公司Artear遭受Hive攻擊

阿根廷多媒體公司Artear在6月1日遭受Hive勒索軟件攻擊[27]，攻擊者從受害系統(tǒng)中竊取超過(guò)1.4TB的數(shù)據(jù)文件，包括合同、保密協(xié)議、員工個(gè)人信息等。

l? 印度電力公司Tata Power遭受Hive攻擊

Tata Power是跨國(guó)企業(yè)Tata集團(tuán)的子公司，是印度最大的綜合電力公司，于10月3日遭受Hive勒索軟件攻擊[28]，10月25日Hive勒索軟件組織在其數(shù)據(jù)泄露平臺(tái)公開(kāi)了從Tata Power公司竊取到的數(shù)據(jù)文件。

3.8??????? LockBit

LockBit勒索軟件組織被發(fā)現(xiàn)于2019年9月，使用勒索軟件即服務(wù)模式運(yùn)營(yíng)，2021年6月發(fā)布了2.0版本，同時(shí)發(fā)布了專(zhuān)屬數(shù)據(jù)竊取工具StealBit，采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略，在此基礎(chǔ)上，2021年8月增加了DDoS攻擊威脅，構(gòu)成三重勒索；2022年6月LockBit推出了3.0版本，當(dāng)前版本主要通過(guò)第三方獲取訪問(wèn)憑證、漏洞利用和搭載其他惡意軟件等方式進(jìn)行傳播，擁有內(nèi)網(wǎng)傳播能力，具有Windows和Linux系統(tǒng)攻擊載荷，受害者可以選擇通過(guò)BTC、Monero和Zcash支付贖金。該組織同時(shí)推出了漏洞賞金計(jì)劃，成為勒索軟件長(zhǎng)期為害的一種新伎倆，該漏洞賞金計(jì)劃唆使黑客提交漏洞報(bào)告成為其勒索攻擊行動(dòng)的幫兇以換取報(bào)酬，金額從1000美元到100萬(wàn)美元不等[29]。

3.8.1???????? 家族概覽

3.8.2???????? 典型案例

l? 普利司通美洲分公司遭受LockBit攻擊

2022年2月，全球知名輪胎制造廠商普利司通（Bridgestone）在美洲的分公司遭受LockBit勒索軟件攻擊[30]，此次攻擊導(dǎo)致該公司暫停了部分工作運(yùn)營(yíng)，攻擊者從受害系統(tǒng)中竊取了部分重要數(shù)據(jù)。此次事件前后，陸續(xù)出現(xiàn)多起針對(duì)汽車(chē)行業(yè)的勒索軟件攻擊事件，包括瑞士汽車(chē)經(jīng)銷(xiāo)商Emil Frey于1月11日遭受Hive勒索軟件攻擊，Denso（汽車(chē)零部件及系統(tǒng)供應(yīng)商）公司于3月10日遭受Pandora勒索軟件攻擊，Snap-on（汽車(chē)相關(guān)工具制造商）公司和Empire Electronics（汽車(chē)照明組件供應(yīng)商）公司于3月16日遭受Conti勒索軟件攻擊。

l? 美國(guó)安全公司Entrust遭受LockBit攻擊

美國(guó)安全公司Entrust于2022年7月發(fā)布聲明，稱(chēng)其內(nèi)部于6月18日遭受網(wǎng)絡(luò)攻擊，隨后LockBit勒索軟件組織聲稱(chēng)對(duì)本次攻擊事件負(fù)責(zé)[31]，并在其數(shù)據(jù)泄露平臺(tái)發(fā)布關(guān)于Entrust公司的相關(guān)信息。

3.9??????? LV

LV勒索軟件被發(fā)現(xiàn)于2020年12月，使用勒索軟件即服務(wù)模式運(yùn)營(yíng)，采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略，部分代碼段基于REvil勒索軟件開(kāi)發(fā)而來(lái)，主要通過(guò)第三方獲取訪問(wèn)憑證、漏洞利用和搭載其他惡意軟件等方式進(jìn)行傳播，常利用Microsoft Exchange Server相關(guān)漏洞實(shí)現(xiàn)勒索攻擊。在入侵至受害者網(wǎng)絡(luò)環(huán)境中任意一臺(tái)主機(jī)后，組合利用多種工具實(shí)現(xiàn)內(nèi)網(wǎng)橫向移動(dòng)。2021年12月，LV勒索軟件組織在地下論壇上發(fā)帖尋求企業(yè)網(wǎng)絡(luò)訪問(wèn)憑據(jù)，聲稱(chēng)操作LV勒索軟件并尋求網(wǎng)絡(luò)訪問(wèn)代理，表示有興趣獲得加拿大、歐洲和美國(guó)實(shí)體的網(wǎng)絡(luò)訪問(wèn)權(quán)限，然后通過(guò)部署勒索軟件從中獲利[32]。

3.9.1???????? 家族概覽

3.9.2???????? 典型案例

l? 德國(guó)半導(dǎo)體制造商Semikron遭受LV攻擊

德國(guó)半導(dǎo)體制造商Semikron于2022年8月1日發(fā)布聲明稱(chēng)其遭受網(wǎng)絡(luò)攻擊[33]，此次事件導(dǎo)致IT系統(tǒng)和部分文件被加密。隨后LV勒索軟件組織聲稱(chēng)對(duì)本次事件負(fù)責(zé)，并在其數(shù)據(jù)泄露平臺(tái)表示竊取到了2TB文件。

l? 墨西哥汽車(chē)公司UnitedAuto遭受LV攻擊

11月19日，LV將墨西哥汽車(chē)公司UnitedAuto添加到其數(shù)據(jù)泄露平臺(tái)[34]，聲稱(chēng)竊取超過(guò)2TB的個(gè)人信息。攻擊者抨擊受害者UnitedAuto，稱(chēng)“UnitedAuto對(duì)其系統(tǒng)沒(méi)有任何基本保護(hù)，該公司甚至懶得在他們的系統(tǒng)上安裝防病毒軟件，同時(shí)仍在處理客戶的個(gè)人數(shù)據(jù)。此外，UnitedAuto在其網(wǎng)絡(luò)上存在許多漏洞，這使我們能夠下載所有的關(guān)鍵數(shù)據(jù)?！?/p>

3.10??? Vice Society

Vice Society勒索軟件組織被發(fā)現(xiàn)于2021年6月，旗下的勒索軟件包括HelloKitty（又名FiveHands）、RedAlert和Zeppelin，使用勒索軟件即服務(wù)模式運(yùn)營(yíng)，采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略，具有Windows和Linux系統(tǒng)攻擊載荷，主要通過(guò)第三方獲取訪問(wèn)憑證和漏洞利用等方式進(jìn)行傳播。

2022年9月，美國(guó)FBI和CISA發(fā)布告警[35]，稱(chēng)Vice Society勒索軟件組織正以教育行業(yè)為目標(biāo)。當(dāng)FBI和CISA發(fā)布告警時(shí)，洛杉磯聯(lián)合學(xué)區(qū)（LAUSD）表明他們?cè)馐躒ice Society勒索軟件組織攻擊[36]，此次攻擊事件嚴(yán)重影響了他們的部分信息系統(tǒng)，該學(xué)區(qū)是美國(guó)第二大學(xué)區(qū)，招收了超過(guò)64萬(wàn)名學(xué)生。

3.10.1????? 家族概覽

3.10.2????? 典型案例

l? 意大利巴勒莫市遭受Vice Society攻擊

意大利巴勒莫市于2022年6月初遭受網(wǎng)絡(luò)攻擊[37]，此次攻擊事件導(dǎo)致大量互聯(lián)網(wǎng)服務(wù)無(wú)法使用，隨后Vice Society勒索軟件組織聲稱(chēng)對(duì)本次事件負(fù)責(zé)，并在其數(shù)據(jù)泄露平臺(tái)公開(kāi)威脅，稱(chēng)如不支付贖金，則公開(kāi)竊取到的所有數(shù)據(jù)。

l? 美國(guó)得克薩斯州醫(yī)療機(jī)構(gòu)FMC Services遭受Vice Society攻擊

美國(guó)得克薩斯州醫(yī)療機(jī)構(gòu)FMC Services于7月26日遭受Vice Society勒索軟件組織攻擊[38]，此次攻擊事件影響超過(guò)23萬(wàn)名患者。

l? 美國(guó)洛杉磯聯(lián)合學(xué)區(qū)遭受Vice Society攻擊

美國(guó)洛杉磯聯(lián)合學(xué)區(qū)9月遭受網(wǎng)絡(luò)攻擊，隨后Vice Society勒索軟件組織聲稱(chēng)對(duì)本次事件負(fù)責(zé)[39]，并表明從受害系統(tǒng)中竊取到500GB數(shù)據(jù)。

參考鏈接

[1]????? Coffee勒索軟件持續(xù)活躍，安天發(fā)布解密工具

https://www.antiy.cn/research/notice&report/research_report/20220222.html

[2]????? Pandora勒索軟件分析報(bào)告

https://www.antiy.cn/research/notice&report/research_report/20220323.html

[3]????? Conti勒索軟件分析報(bào)告

https://www.antiy.cn/research/notice&report/research_report/20211220.html

[4]????? Ransomware Spotlight AvosLocker

https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-avoslocker

[5]????? Notice of Data Security Incident

https://www.mckenziehealth.org/notice-of-data-security-incident/

[6]????? AvosLocker Claims Responsibility For Christus Health Ransomware Attack

https://healthitsecurity.com/news/avoslocker-claims-responsibility-for-christus-health-ransomware-attack

[7]????? Ransomware Spotlight Black Basta

https://www.trendmicro.com/vinfo/be/security/news/ransomware-spotlight/ransomware-spotlight-blackbasta

[8]????? American Dental Association hit by new Black Basta ransomware

https://www.bleepingcomputer.com/news/security/american-dental-association-hit-by-new-black-basta-ransomware/

[9]????? Ransomware attack hits Deutsche Windtechniks

https://securereading.com/ransomware-attack-hits-deutsche-windtechnik/

[10]??? Defense Giant Elbit Confirms Data Breach After Ransomware Gang Claims Hack

https://www.securityweek.com/defense-giant-elbit-confirms-data-breach-after-ransomware-gang-claims-hack

[11]??? Building materials giant Knauf hit by Black Basta ransomware gang

https://www.bleepingcomputer.com/news/security/building-materials-giant-knauf-hit-by-black-basta-ransomware-gang/

[12]??? BlackCat (ALPHV) claims Swissport ransomware attack, leaks data

https://www.bleepingcomputer.com/news/security/blackcat-alphv-claims-swissport-ransomware-attack-leaks-data/

[13]??? BlackCat ransomware claims attack on European gas pipeline

https://www.bleepingcomputer.com/news/security/blackcat-ransomware-claims-attack-on-european-gas-pipeline/

[14]??? Colombian energy supplier EPM hit by BlackCat ransomware attack

https://www.bleepingcomputer.com/news/security/colombian-energy-supplier-epm-hit-by-blackcat-ransomware-attack/

[15]??? Ransomware Spotlight Clop

https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-clop

[16]??? Clop gang targeted UK drinking water supplier South Staffordshire Water

https://securityaffairs.co/134450/cyber-crime/south-staffordshire-water-cyberattack.html

[17]??? Inside the World of Initial Access Broker (IAB): Insights and Trends

https://www.cyfirma.com/outofband/inside-the-world-of-initial-access-broker-iab-insights-and-trends/

[18]??? Conti ransomware shuts down operation, rebrands into smaller units

https://www.bleepingcomputer.com/news/security/conti-ransomware-shuts-down-operation-rebrands-into-smaller-units/

[19]??? Taiwanese Apple and Tesla contractor hit by Conti ransomware

https://www.bleepingcomputer.com/news/security/taiwanese-apple-and-tesla-contractor-hit-by-conti-ransomware/

[20]??? Wind turbine firm Nordex hit by Conti ransomware attack

https://www.bleepingcomputer.com/news/security/wind-turbine-firm-nordex-hit-by-conti-ransomware-attack/

[21]??? Costa Rica declares national emergency after Conti ransomware attacks

https://www.bleepingcomputer.com/news/security/costa-rica-declares-national-emergency-after-conti-ransomware-attacks/

[22]??? Ransomware Spotlight Cuba

https://www.trendmicro.com/vinfo/be/security/news/ransomware-spotlight/ransomware-spotlight-cuba

[23]??? Montenegro hit by ransomware attack, hackers demand $10 million

https://www.bleepingcomputer.com/news/security/montenegro-hit-by-ransomware-attack-hackers-demand-10-million/

[24]??? К?бератака на державн? орган?зац?? Укра?ни з використанням шк?дливо? програми RomCom. Можлива причетн?сть Cuba Ransomware aka Tropical Scorpius aka UNC2596 (CERT-UA#5509)

https://cert.gov.ua/article/2394117

[25]??? U.S. Department of Justice Disrupts Hive Ransomware Variant

https://www.justice.gov/opa/pr/us-department-justice-disrupts-hive-ransomware-variant

[26]??? Costa Rica’s public health agency hit by Hive ransomware

https://www.bleepingcomputer.com/news/security/costa-rica-s-public-health-agency-hit-by-hive-ransomware/

[27]??? SCOOP: Hive claims responsibility for attack on Artear, the Argentinian multimedia giant

https://www.databreaches.net/scoop-hive-claims-responsibility-for-attack-on-artear-the-argentinian-multimedia-giant/

[28]??? Hive claims ransomware attack on Tata Power, begins leaking data

https://www.bleepingcomputer.com/news/security/hive-claims-ransomware-attack-on-tata-power-begins-leaking-data/

[29]??? LockBit 3.0 introduces the first ransomware bug bounty program

https://www.bleepingcomputer.com/news/security/lockbit-30-introduces-the-first-ransomware-bug-bounty-program/

[30]??? Bridgestone Americas confirms ransomware attack, LockBit leaks data

https://www.bleepingcomputer.com/news/security/bridgestone-americas-confirms-ransomware-attack-lockbit-leaks-data/

[31]??? LockBit claims ransomware attack on security giant Entrust, leaks data

https://www.bleepingcomputer.com/news/security/lockbit-claims-ransomware-attack-on-security-giant-entrust-leaks-data/

[32]??? LV Ransomware Exploits ProxyShell in Attack on a Jordan-based Company

https://www.trendmicro.com/en_hk/research/22/j/lv-ransomware-exploits-proxyshell-in-attack.html

[33]??? Semiconductor manufacturer Semikron hit by LV ransomware attack

https://www.bleepingcomputer.com/news/security/semiconductor-manufacturer-semikron-hit-by-lv-ransomware-attack/

[34]??? Bits 'n Pieces (Trozos y Piezas)

https://www.databreaches.net/bits-n-pieces-trozos-y-piezas-17/

[35]??? #StopRansomware: Vice Society

https://www.cisa.gov/uscert/ncas/alerts/aa22-249a

[36]??? AN IN-DEPTH LOOK AT VICE SOCIETY RANSOMWARE

https://www.avertium.com/resources/threat-reports/an-in-depth-look-at-vice-society-ransomware

[37]??? Vice Society ransomware claims attack on Italian city of Palermo

https://www.bleepingcomputer.com/news/security/vice-society-ransomware-claims-attack-on-italian-city-of-palermo/

[38]??? FMC Services, LLC Announces Data Breach Affecting More than 230k People’s Sensitive Information

https://www.jdsupra.com/legalnews/fmc-services-llc-announces-data-breach-6165700/

[39]??? Vice Society claims LAUSD ransomware attack, theft of 500GB of data

https://www.bleepingcomputer.com/news/security/vice-society-claims-lausd-ransomware-attack-theft-of-500gb-of-data/