勒索软件的全球攻击趋势分析(一)
2021-05-19 11:10:00 Author: www.4hou.com(查看原文) 阅读量:166 收藏

abstract-digital-blue-lock-1000x600.jpeg

卡巴斯基多年来一直在关注勒索软件的发展趋势,过去,研究人员已经陆续发布了有关该主题的多份年度报告:2014-2016年的PC勒索软件分析2016-2017年的勒索软件分析以及2016-2018年的勒索软件分析和恶意加密矿工分析。随着WannaCry和NotPetya的爆发,勒索软件开始成为主流攻击趋势。到2019年,勒索软件攻击就开始引领攻击趋势了。但是,从2018年开始,研究人员开始注意到其他事情:勒索软件检测总数的统计数字急剧下降。发生了什么事?难道勒索软件已经脱离主流攻击队伍了?

对于在信息安全社区中关注该新闻的任何人来说,这似乎都是不可能的。在2019年和2020年,勒索软件攻击的活动经常会成为头条新闻,从Maze攻击LG,到臭名昭著的APT组织Lazarus将勒索软件添加到其武库中。安全公司Emsisoft的数据显示,2020年,仅在美国,就有2300多家政府机构、医疗机构和学校遭到勒索。

事实上勒索软件尚未有攻击趋势减弱的趋势,只是攻击方式发生了变化。以前那种泛泛的勒索软件活动已被针对性强的破坏性攻击所取代,这些攻击通常针对大型组织。此外,攻击者似乎更专注于窃取数据并对其进行加密,即窃取机密信息,并攻击如果受害者拒绝付款,则将其隐私信息公开。所有这些目的都是为了发动更多回报价值更多地攻击。

在这份报告中,研究人员将了解勒索软件攻击在2019年至2020年背后的数字,以及这些数字的含义以及对勒索软件未来的预测。

重要发现

2020年,在其设备上遇到勒索软件的唯一用户数量为1,091,454,比2019年的1,537,465有所下降。

在2019年,以勒索软件为目标的用户在遇到恶意软件的用户总数中的比例为3.31%;到2020年,这一数字略有下降,降至2.67%。

勒索软件检测在恶意软件检测总数中的份额在2019年为1.49%,在2020年为1.08%。

在2019年和2020年,WannaCry是Windows系统上最常遇到的加密勒索软件家族。

2019年,在其手机设备上遇到勒索软件的唯一用户数量为72258。到2020年,这一数字下降到33502。

然而,在受到恶意软件攻击的用户总数中,在其手机设备上遇到勒索软件的唯一用户比例在2019年至2020年期间保持稳定,为0.56%。从2019年到2020年,受目标勒索软件家族影响的独立用户数量增加了767%。

到目前为止,有针对性的勒索软件攻击所占份额最大的行业是工程和制造业,占25.63%。该报告是依据卡巴斯基安全网络(KSN)处理的非个性化数据编写的。

本报告参考了两个主要指标。唯一用户是指在给定时间段内至少遇到过一次勒索软件的,启用了KSN功能的卡巴斯基产品的不同用户数量。第二个是检测,这是在指定时期内被卡巴斯基产品阻止的勒索软件攻击的数量。

该报告还包括卡巴斯基专家对攻击趋势的研究。

卡巴斯基产品可检测各种类型的勒索软件。其中包括加密勒索软件(对文件进行加密的恶意软件),screen locker,browser locker和boot locker。除非另有说明,否则统计信息是指任何类型的勒索软件。

具有跨平台攻击属性的勒索软件

正如卡巴斯基先前指出的那样,自2017年以来,勒索软件检测的总数一直在稳步下降。这一趋势一直持续到2019年和2020年。

2019年,在所有平台上遭遇勒索软件的独立用户总数为1537465人。到2020年,这一数字下降到1091454,下降了29%。

1.png

2019 - 2020年,在他们的设备上遇到勒索软件的唯一KSN用户数量的比较

事实上,在2020年的每个月,在所有设备上遇到勒索软件的独立用户数量都低于前一年同月观察到的数量。在这两年中,遭遇勒索软件的用户数量相对稳定,2020年在10万至17万之间徘徊,2019年在15万至19万之间徘徊,除了2019年7月出现明显的激增。这是由于两个勒索软件家族的增加。第一个是“Bluff”,它是一个 browser locker,这意味着受害者将面临一个他们无法退出的虚假标签,如果不支付一定数额的钱,就会有可怕的后果。另一个是加密勒索软件Rakhni,首次出现于2013年,主要通过带有恶意附件的垃圾邮件传播。

在所有设备上遭遇任何类型恶意软件的用户中,遭遇勒索软件的用户占比也有所下降,从2019年的3.31%下降到2020年的2.67%。然而,勒索软件在恶意软件检测总数中所占的份额保持相对稳定,从2019年到2020年仅略有下降,从1.49%下降到1.08%。

最活跃的加密勒索软件家族

截至目前WannaCry仍然是最活跃的加密勒索软件家族,迄今为止,WannaCry是有史以来最大的勒索软件感染,在150个国家/地区造成的损失总计至少40亿美元。在2019年,21.85%的遇到加密勒索软件的用户都遇到过WannaCry。

2.png

2019年排名前5位的加密勒索软件家族

其他活跃的家族包括2019年活跃的勒索软件家族GandCrab,该家族使用的是RaaS模式、STOP/DJVU和PolyRansom/VirLock。首次出现在2014年的“阴影”(Shade)是一种被广泛使用的加密软件,在2019年仍然是最活跃的勒索软件家族之一,但多年来其活动一直在下降。事实上,在2020年,卡巴斯基发布了所有“Shade”病毒的解密程序——它不再是卡巴斯基产品检测到的五个最活跃的勒索软件家族之一。

3.png

2020年排名前五的加密勒索软件家族

2020年,WannaCry仍然是用户最常遇到的勒索软件家族,遇到加密勒索软件的用户中有16%(80207)遇到了这种恶意软件。此外,新出现的勒索软件也进入了最活跃的五个家族——CrySiS/Dharma。CrySiS勒索病毒,又称Dharma,首次出现是在2016年,2017年5月此勒索病毒万能密钥被公布之后,之前的样本可以解密,导致此勒索病毒曾消失了一段时间,不过随后又马上出现了它的一款最新的变种样本,加密后缀为java,通过RDP暴力破解的方式进入受害者服务器进行加密勒索,此勒索病毒加密算法采用AES+RSA方式进行加密,导致加密后的文件无法解密,在最近一年的时间里,这款勒索病毒异常活跃,变种已经达到一百多个,Crysis能够使用多种攻击媒介,尽管最近它主要利用了不安全的RDP访问。该恶意软件于2016年首次被发现,并且一直在继续发展,并正在遵循勒索软件即服务的模型。

总体而言,2019年和2020年延续了2018年初首次注意到的趋势:勒索软件集团的合并。只有少数几个显着的家族在整个攻击格局中继续保持重要地位,其余的攻击都是由不属于任何特定家族的勒索软件木马实施的。当然,新家族确实会继续出现,STOP和GandCrab就是很好的例子。

勒索软件攻击的地域分布

在分析受攻击用户的地理位置时,研究人员考虑了卡巴斯基客户的分布情况。这就是为什么,当我们研究攻击的地理位置时,我们使用被勒索软件攻击的用户的百分比作为在这些地区被任何类型的恶意软件攻击的用户的比例,这些地区有超过10000个卡巴斯基产品的独立用户。

所有百分比反映的是在上述时间段内,在任何设备上至少遇到过一次勒索软件的独立用户占遇到任何类型恶意软件的独立用户总数的百分比。

中东

2019年,中东地区在所有设备上遭遇勒索软件的用户比例最高的国家如下:

4.png

在该国所有遭遇恶意软件的用户中,被勒索软件攻击的用户所占的比例

到目前为止,巴基斯坦遭遇勒索软件的用户所占比例最大:19.03%,排名前五的其他国家遭遇勒索软件的用户比例都在6%左右。

2020年,遭遇勒索软件用户最多的五个国家保持不变,但进行了一些小的调整。

5.png

在该国所有遭遇恶意软件的用户中,被勒索软件攻击的用户所占的比例

巴基斯坦仍然是最大的用户份额,但总体百分比下降到14.88%。实际上,在也门遇到勒索软件的用户比例实际上上升到了7.49%,而在巴勒斯坦和伊拉克的用户比例下降了,受影响的埃及用户比例基本保持不变。

北美和南美

在2019年,北美和南美遇到勒索软件的用户百分比最高的国家如下:

6.png

在该国遇到恶意软件的所有用户中,遭受勒索软件攻击的用户所占的比例

美国的比例最高,为5.49%,其次是巴拉圭,为4.87%。遭遇勒索软件用户比例最高的国家还有委内瑞拉、加拿大和危地马拉。

到2020年,北美和南美的用户数量最多的国家基本相同,尽管遭遇勒索软件的用户比例更小。

7.png

在该国所有遭遇恶意软件的用户中,被勒索软件攻击的用户所占的比例

去年,委内瑞拉遇到勒索软件的用户比例第二高,巴拉圭跌至第四位。此外,危地马拉被乌拉圭取代。

非洲

2019年,非洲遭遇勒索软件用户比例最高的国家如下:

8.png

在该国所有遭遇恶意软件的用户中,被勒索软件攻击的用户所占的比例

到目前为止,莫桑比克的用户比例最大,为12.02%,其次是埃塞俄比亚,为8.57%。其他遭遇勒索软件用户比例最高的国家是加纳、安哥拉和利比亚。

到2020年,情况发生了一点变化:

9.png

在该国所有遭遇恶意软件的用户中,被勒索软件攻击的用户所占的比例

遭遇勒索软件用户最多的国家是喀麦隆,其次是马里。莫桑比克、埃塞俄比亚和加纳仍然位列前五,但这三个国家遭遇勒索软件的用户比例都有所下降。

亚洲

2019年亚洲遭遇勒索软件用户比例最高的五个国家如下:

10.png

在该国所有遭遇恶意软件的用户中,被勒索软件攻击的用户所占的比例

阿富汗的用户比例最高,为26.44%,其次是孟加拉国,为23.14%。用户比例最高的第三个国家集中在中亚:土库曼斯坦、乌兹别克斯坦和塔吉克斯坦。

到2020年,情况略有改变:

11.png

在该国所有遭遇恶意软件的用户中,被勒索软件攻击的用户所占的比例

乌兹别克斯坦在遭遇勒索软件用户比例最高的国家中排名垫后,排在吉尔吉斯斯坦(4.05%)之后,其他所有国家遭遇勒索软件的比例都显著低于2019年。阿富汗用户的占比降至17.67%,孟加拉国用户的占比降至11.31%。

欧洲

在欧洲,遇到勒索软件的用户比例最高的国家是以下国家:

12.png

在该国所有遭遇恶意软件的用户中,被勒索软件攻击的用户所占的比例

阿塞拜疆的比例最高,为5.03%,其次是土耳其和塞浦路斯。遭遇勒索软件用户比例最高的六个国家是法国、亚美尼亚和保加利亚,后两个国家受影响用户的比例相同。

到2020年,情况看起来有些不同:

13.png

在该国所有遭遇恶意软件的用户中,被勒索软件攻击的用户所占的比例

法国遭遇勒索软件的用户比例最高,其次是黑山和摩纳哥,取代了土耳其和塞浦路斯。阿塞拜疆的份额为4.21%,排在第四位,马其顿的份额排在第五位。

本文翻译自:https://securelist.com/ransomware-by-the-numbers-reassessing-the-threats-global-impact/101965/如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/Xq0v
如有侵权请联系:admin#unsafe.sh