微軟透露其安全團隊Redmond正在跟蹤100多個在攻擊期間部署勒索軟件的攻擊者

　　微軟透露其安全團隊 Redmond 正在跟蹤 100 多個在攻擊期間部署勒索軟件的攻擊者，總共監控到 50 多個在去年被頻繁使用的勒索軟件系列。

　　微軟例舉了一些最突出的勒索軟件有效負載，包括 Lockbit Black、BlackCat(又名 ALPHV)、Play、Vice Society、Black Basta 和 Royal。但微軟表示“防御策略應該更少地關注有效負載，而更多地關注導致其部署的活動鏈”，因為勒索軟件仍在針對那些不常見漏洞或最近正需要修補漏洞的設備進行攻擊。

圖片來自網絡/侵刪

　　攻擊策略

　　雖然一直有新的勒索軟件系列出現，但大多攻擊者在破壞網絡和通過網絡傳播時都使用相同的策略，對此類行為進行檢測將有助于阻止他們的攻擊。

　　微軟也提到，攻擊者越來越依賴網絡釣魚以外的策略來進行攻擊，比如利用 Exchange Server 的 DEV-0671 和 DEV-0882 漏洞部署 Cuba 和 Play 勒索軟件。就在不久前，Exchange 團隊敦促客戶通過應用最新支持的累積更新 (CU) 來為本地 Exchange 服務器打補丁，讓他們隨時準備部署緊急安全更新。據報道，超過 60000 臺暴露在 Internet 上的 Exchange 服務器容易受到利用 ProxyNotShell RCE 漏洞的攻擊。與此同時， 也有數千臺服務器正受到利用 ProxyShell 和 ProxyLogon 漏洞攻擊的風險，這是 2021 年最常被利用的兩個安全漏洞。

　　其他攻擊者也正在轉向或使用惡意廣告來提供惡意軟件加載器和下載器，以傳播勒索軟件和各種其他惡意軟件變種，如信息竊取程序。例如，一個被追蹤為 DEV-0569 的攻擊者被認為是勒索軟件團伙的初始訪問代理，在廣告活動中濫用 Google Ads 來分發惡意軟件，從受感染的設備中竊取密碼，并最終獲得對企業網絡的訪問權限，并將權限出售給其他攻擊者，如 Royal 勒索軟件組織。

　　近期活動趨勢

　　在具體的勒索軟件活動趨勢中，2022 年的一起標志性事件是 Conti 勒索軟件組織在執法行動的壓力下迎來終結，但基于勒索軟件即服務 (Raas) 的勒索行為正在興起，包括 LockBit、Hive、Cuba、BlackCat 和 Ragnar 在內的勒索軟件組織在去年頻繁作案。

　　盡管如此， 根據區塊鏈分析公司 Chainalysis 的數據，勒索軟件組織去年的勒索收入大幅下降了 40% 左右，為 4.568 億美元，而前年的收入達到了創紀錄的 7.65 億美元。但這種下降趨勢并不是因為攻擊次數減少，而是因為越來越多的受害者開始拒絕支付勒索贖金。

　　最近，在美國司法部、聯邦調查局、特勤局和歐洲刑警組織的國際執法行動的打擊下，Hive 勒索軟件數據泄露和 Tor 支付暗網被查封，FBI 向受害者分發了 1300 多個解密密鑰，并獲得了對 Hive 通信記錄、惡意軟件文件哈希值和 250 個 Hive 分支機構詳細信息的訪問權限，美國國務院也懸賞 1000 萬美元，尋求 Hive 勒索軟件組織或其他攻擊者與外國政府存在聯系的線索。

　　某種程度上說，在打擊勒索軟件領域，2023 年似乎迎來了開門紅。
　　（碼上科技）