勒索軟件調查:Ryuk依然是最大威脅
責編:gltian |2020-06-18 10:39:00思科Talos事件響應(CTIR)團隊近日的事件響應趨勢調研顯示,Ryuk依然是最大威脅,且已經連續四個季度在勒索軟件威脅領域占據主導地位。
調查結果顯示,Ryuk的運營商正在改變策略,給受新冠疫情影響的組織帶來更大的風險。
CTIR總經理Sean Mason表示,Ryuk在過去一年一直是對客戶的最大勒索軟件威脅,盡管該團隊還觀測到了其他勒索軟件家族,包括Phobos和Maze。
Mason解釋說,在過去的幾個季度中,Ryuk的發展方式表明其運營商正在改變攻擊策略,“我們確實看到了Ryuk的一種新的攻擊趨勢,不一定會借助商品木馬感染,這種新手法可能會使它在一段時間內難以被發現,并導致感染增加。”
CTIR發現通過Emotet和TrickBot“投放”的Ryuk勒索軟件攻擊事件有所減少,這是整體上使用商品木馬攻擊較少的原因之一。Ryuk的操作者開始轉而使用非現場工具,這可以幫助他們繞過安全工具,保持靜默并為實現目標爭取更長的時間窗口。
Mason指出:
通過降低噪聲,并盡最大努力進行偽裝,Ryuk等勒索軟件試圖繞過檢測并為橫向移動達成目標爭取更多時間。
Ryuk還在其他方面“進化”,例如使用已編碼的PowerShell命令下載初始有效負載,禁用防病毒和安全工具,停止備份以及掃描網絡以提供聯機主機與脫機主機的列表。除了PsExec之外,Ryuk的運營商還更多使用Windows Management Instrumentation(WMI)和BitsAdmin來部署Ryuk。CTIR看到勒索軟件攻擊者開始竊取敏感數據以用作迫使受害者支付贖金的手段,這一趨勢延續了從2019年開始的趨勢。
隨著攻擊者發現勒索軟件是一種有利可圖的商業模式,攻擊者積極通過添加新模塊來不斷更新其惡意軟件,以增加橫向移動和數據泄露能力。
CTIR報告說,過去一個季度出現了一系列垂直行業領域的勒索軟件攻擊事件,包括:能源和公用事業、金融服務、政府、醫療保健、工業分銷、制造業、零售、技術、電信和運輸。醫療保健和科技行業遭受的打擊最大,取代了金融服務和政府,成為一季度勒索軟件的主要目標。