最后更新于2024年4月16日星期二18:57:09 GMT
去年不适合胆小的人. 各种规模的组织都面临着 ransomware攻击 在不同的复杂程度,但每一个都是破坏性的. 随着我们步入2024年,勒索软件攻击的第一批受害者已经被报道出来. 2023年的勒索软件统计数据能告诉我们什么, 以及我们如何利用它们来规划未来一年?
在这篇博客中,我们将从多方面剖析2023年观察到的勒索软件攻击, 提供见解,并期待2024年可能会带来什么. 对于我们的数据分析, 我们利用公开可用的数据(如勒索软件组织本身的帖子)和我们的MDR团队的2023年勒索软件事件数据, 我们用Rapid7实验室收集的数据充实了这两种方法.
2023年勒索软件形势
大多数勒索软件组织都有泄露网站,在那里他们会宣布他们的活动的受害者. These leak sites are a tactic to put more pressure on their victims to pay the ransom; if the ransom is not paid, 他们会通过那个网站泄露受损的数据. 帖子的频率是一个很好的指标,表明哪些群组是活跃的, 但勒索软件的影响远不止于此.
这些组织在2023年使用的独特勒索软件家族数量减少了一半以上, 从2022年的95个新家庭增加到2023年的43个. 这告诉我们,“当前”的勒索软件家族和模式是有效的/有利可图的,没有必要开发全新的东西.
我们的综合消息来源发现,在整个2023年期间,报告了近5200起勒索软件案件. 在现实中, 我们认为这个数字实际上更高,因为它不包括许多可能未报告的攻击.
安全咨询公司Coveware发现 平均赎金金额 2023年第三季度为850,700美元. That is only the amount paid for the ransom; the real costs for recovering of a ransomware incident are based on a range of factors that include:
- 停机时间
- 名誉损害
- 失去业务
- 劳动时间
- 保险费用增加
- 法律咨询费和和解费
同一份报告还提到,高达41%的受害者选择支付赎金.
下面的散点图显示了2023年前20大勒索软件组织的勒索软件事件数量, 基于泄漏现场的通信, 公开披露的信息, 和Rapid7事件响应数据.
放大最活跃的组(由初始访问代理的大型生态系统支持), 我们确定的前5个群体是:
- 阿尔法又名黑猫勒索软件
- BianLian
- Cl0P
- Lockbit (3)
- Play
下面的极柱状图显示了这些组织每月在其泄密网站上发帖的频率:
2023勒索软件攻击
Rapid7实验室使用来自外部和内部报告的数据对2023年的勒索软件攻击进行了分析. 我们比较了这些攻击的操作方式,并将它们与MITRE ATT进行了比较&CK模型. 结果如下图所示:
此图有效地封装了在大多数勒索软件攻击中观察到的常见模式和方法. 它是一种视觉表现, 概述了攻击者从最初的入侵到最终的赎金要求通常遵循的步骤顺序. 在我们的统计中, 利用面向公众的应用程序和拥有有效的帐户是我们在2023年以勒索软件为重点的攻击中观察到的首要初始攻击向量.
勒索软件组织来来去去
2023年,几个勒索软件组织停止运营或进行了重大转型. 蜂巢勒索软件在1月份被破坏,标志着今年的开始. BlackByte, 在带着一个新的白色标志短暂地重新出现之后, 2023年的最后两个月下线了.
皇家勒索软件将自己重新命名为黑色套装,匹配的二进制文件证明了这一点.他们关闭了受害者门户开始在黑衣泄露网站上发布更多信息.
副社会, 另一组, 三个多月不活动, 摧毁他们的主要和备用泄漏点.
NoEscape, 以前被称为Avaddon, 执行退出骗局, 这进一步表明了2023年勒索软件组织的动荡和变化. “退出骗局”是指企业或个人从客户或投资者那里筹集资金或资产,然后突然停止运营的欺诈计划, 带着募集的资金消失.
2024年应该关注谁
We anticipate that the top 5 groups mentioned will still be active in 2024; however, 在2023年期间, 新的团体浮出水面,值得关注. 按随机顺序排列:仙人掌, Rhysida, 8base, 猎人国际, Akira, 以及最近浮出水面的狼人组织都是值得关注的.
