您所在的位置: 首頁(yè) >
新聞資訊 >
威脅情報(bào) >
揭秘2023年5月全球勒索軟件攻擊趨勢(shì)
一項(xiàng)新的研究顯示,5 月份針對(duì)全球組織的勒索軟件攻擊數(shù)量激增近25%,是今年迄今為止記錄的最高數(shù)量,而這一增長(zhǎng)的部分原因是出現(xiàn)了一個(gè)名為 8BASE 的新團(tuán)伙。
全球最大的網(wǎng)絡(luò)安全咨詢公司之一 NCC 集團(tuán)發(fā)布的新網(wǎng)絡(luò)威脅情報(bào)研究報(bào)告證明,2023年5月是勒索軟件攻擊的典型月份。
與上個(gè)月的勒索軟件統(tǒng)計(jì)數(shù)據(jù)相比,5 月份的激增表明報(bào)告的攻擊數(shù)量增加了56%。
激增的部分原因可歸因于該地區(qū)的一個(gè)新勒索軟件:一個(gè)自稱為 8BASE 的組織。該團(tuán)伙上個(gè)月公布的受害者數(shù)據(jù),占 5 月份所有受害者的 15% 以上。
8BASE泄漏現(xiàn)場(chǎng)
該報(bào)告發(fā)現(xiàn),第二個(gè)勒索軟件組織 Akira 也于今年 5 月在黑客領(lǐng)域掀起了軒然大波,但其在線影響力似乎比其他組織更為有限。
研究發(fā)現(xiàn),該團(tuán)伙在 5 月份實(shí)施了 28 起襲擊,創(chuàng)歷史新高,與 4 月份僅有 6 起受害者相比增加了 250%。Akira在三月份才首次被發(fā)現(xiàn)。
Hull 表示,“8BASE 和 Akira 等新勒索軟件組織的出現(xiàn)引起了同樣的擔(dān)憂并值得關(guān)注”。盡管臭名昭著的 Lockbit 團(tuán)伙仍被認(rèn)為是目前最活躍的威脅行為者。
報(bào)告稱,Lockbit 3.0 取代了 8BASE,占 5 月份攻擊的 18%(78 名受害者),盡管攻擊數(shù)量較 4 月份(107 名受害者)下降了 27%,但到 2023 年,Lockbit 3.0 仍然是最活躍的威脅發(fā)起者。
研究團(tuán)隊(duì)還注意到 5 月份活躍的其他幾個(gè)新勒索軟件組織;BlackSuit、MalasLocker 和 RAGroup。
高調(diào)目標(biāo)成為常態(tài)
除了這項(xiàng)研究之外,赫爾還表示,今年針對(duì)知名組織的攻擊數(shù)量也呈趨勢(shì)。
他表示,這些攻擊“主要由俄語威脅參與者 Cl0p 領(lǐng)導(dǎo)”,指的是本月Cl0p對(duì) Moveit 文件傳輸系統(tǒng)的利用以及 3 月份對(duì) Fortra Go Anywhere 文件管理系統(tǒng)的零日攻擊。
Go Anywhere 攻擊已造成約 130 名受害者,而 MOVEIt 第三方軟件目前已被全球數(shù)千個(gè)國(guó)家使用。
安全內(nèi)部人士估計(jì),MOVEit 漏洞的受害者人數(shù)(包括殼牌、英國(guó)航空公司、安永、NortonLife Lock 和Telos等大公司)將輕松超過 200 人,因?yàn)樵搱F(tuán)伙每天都會(huì)公布更多受害者姓名。
GoAnywhere 的受害者包括日立、寶潔 (P&G)、Rubrik、殼牌和維珍。
赫爾說:“MOVEit 漏洞引起了公眾對(duì)不斷變化的威脅形勢(shì)的更多關(guān)注,這有助于人們?nèi)找媪私饫账鬈浖录赡茉斐傻膰?yán)重性和影響,以及為什么組織必須積極主動(dòng)地進(jìn)行網(wǎng)絡(luò)防御?!?/span>
我們對(duì) 8BASE 的了解
根據(jù)這份情報(bào)報(bào)告,8BASE 遭受大量攻擊的原因之一是該組織上個(gè)月發(fā)布的大部分?jǐn)?shù)據(jù)都包含可追溯至 2022 年 4 月的攻擊。
作為典型的黑暗泄密網(wǎng)站,該組織有一個(gè)專門針對(duì)受害者及其下載的頁(yè)面,一套談判規(guī)則,并且只接受比特幣贖金。
與大多數(shù)其他團(tuán)伙一樣,8BASE 也聲稱他們是“誠(chéng)實(shí)而簡(jiǎn)單的滲透測(cè)試者”,希望為了更大的利益而賺錢。
該組織在“About us”寫到,“我們是誠(chéng)實(shí)而簡(jiǎn)單的滲透測(cè)試人員,為公司提供最忠誠(chéng)的數(shù)據(jù)返還條件?!?/span>
與此同時(shí),8BASE 的 Telegram 頻道講述了一個(gè)完全不同的故事。
該團(tuán)伙于 5 月 15 日才創(chuàng)建了該帳戶,顯示了數(shù)十個(gè)帖子,其中充滿了可下載的文件,其中包含大量可識(shí)別的公司記錄、員工
ID、駕照和護(hù)照,這些文件來自南美洲、巴拿馬、澳大利亞和美國(guó)的公司。
除了至少六家律師事務(wù)所和法律實(shí)體外,所謂的 8BASE 受害者還包括來自技術(shù)、農(nóng)業(yè)、運(yùn)輸和金融領(lǐng)域的人士。
8BASE、電報(bào)
6月19日,8BASE 泄密網(wǎng)站上發(fā)布的最新受害者是 Port Blue Hotel Group,這是一家位于西班牙海岸的高級(jí)連鎖酒店。
8BASE 聲稱:“超過 300 行護(hù)照和其他個(gè)人數(shù)據(jù)被下載?!辈⑾蚓频昙瘓F(tuán)提出了 6 月 26 日的最后期限,要求其支付未公開的贖金,否則其數(shù)據(jù)將被公布。
根據(jù) NCC 情報(bào)報(bào)告,8BASE 通常對(duì)受害者使用“雙重勒索”。在雙重勒索攻擊中,黑客將突破他們的目標(biāo)并竊取他們可以訪問的敏感信息,所有這些都是在加密公司的數(shù)據(jù)文件或網(wǎng)絡(luò)服務(wù)器之前進(jìn)行的。
然后,黑客要求賠償,不僅要向受害者移交解密密鑰,還要?jiǎng)h除在違規(guī)行為中被盜的數(shù)據(jù)。
這種方法很可能是隨著組織開始主動(dòng)創(chuàng)建和存儲(chǔ)其網(wǎng)絡(luò)系統(tǒng)的備份而演變的,這使得大多數(shù)公司無需解密密鑰即可恢復(fù)其數(shù)據(jù)。即使公司要求并協(xié)商解密密鑰,一旦恢復(fù),它也可能會(huì)發(fā)現(xiàn)數(shù)據(jù)受到不可挽回的損壞。
此外,黑客可以輕松復(fù)制被盜數(shù)據(jù)以供將來使用,盡管支付了贖金,但黑客仍可能決定發(fā)布或出售這些數(shù)據(jù)。
地點(diǎn)符合行業(yè)領(lǐng)域
研究中突出的其他趨勢(shì)包括團(tuán)體如何根據(jù)地理位置、行業(yè)部門和數(shù)據(jù)類型來定位受害者。
毫不奇怪,北美成為五月份全球最受攻擊的地區(qū),占所有受害者的一半以上。
大約 24% 的攻擊發(fā)生在歐洲,其次是 8% 發(fā)生在南美洲,而南部大陸的攻擊數(shù)量仍然增加了 89% ,這也是8BASE 在該地區(qū)的 15 名受害者造成的。
工業(yè)部門是首要目標(biāo),占比30%。其次是技術(shù)部門,占比15%,比上個(gè)月增長(zhǎng)了三倍。其余受影響的行業(yè)為房地產(chǎn)、娛樂和零售等消費(fèi)周期性行業(yè)。
網(wǎng)絡(luò)犯罪分子最常追蹤的數(shù)據(jù)類型是個(gè)人身份信息和知識(shí)產(chǎn)權(quán)。
來源:E安全