勒索软件报告指出，2023年，全球勒索软件受害者数量同比增长55.5%，案件数量达4368起，令人震惊。

图1：每季度同比受害者数量

回顾2021年勒索软件行业的爆炸性增长到2022年的短暂下滑，这场过山车之旅只是暴风雨来临的前奏。2023年，勒索软件行业强势反弹，不仅推动了现有勒索软件组织的发展，更涌现了一批实力强劲的新兴组织。

图2：2020-2023年勒索软件受害者数量

LockBit 3.0凭借波音攻击、皇家邮件攻击等行为，在2023年攻击了1047名受害者，占据第一。相比之下，Alphv和Cl0p在2023年的攻击较少，分别关联445名和384名受害者。

图3：2023年最活跃的三大勒索软件组织

这三个组织是造成2023年勒索软件攻击激增的主要行为者，但它们并不是唯一的责任组织。还有许多攻击是由新兴的勒索软件团伙发起的，包括8Base、Rhysida、3AM、Malaslocker、BianLian、Play、Akira等等。

勒索软件行业的新面孔

在Cyberint，研究团队持续追踪最新的勒索软件组织，并对它们可能带来的影响进行分析。本篇文章将聚焦行业内的三个新参与者，评估它们在2023年的影响力，并深入分析它们的战术、技术和程序（TTPs）。

1.3AM 勒索软件

行业内已经出现了一种名为3AM的勒索软件变种，到目前为止它的使用范围比较有限，2023年只有20多个组织（大多数在美国）受到该勒索软件变种的影响。然而，由于一个尝试在目标网络上部署LockBit勒索软件的威胁行为者在LockBit遭到封锁后转而使用3AM，这款勒索软件变得臭名昭著。

新型勒索软件层出不穷，但大多数很快就消失了，因为它们没有获得主要关注。然而，一个LockBit的威胁行为者把3AM作为一种备选方案，这表明它可能吸引了攻击者的注意，并且未来可能会再次使用该软件。

有意思的是，3AM是用Rust语言编写的，看上去是一个全新的恶意软件。它按照特定程序操作：在启动文件加密程序之前，它会尝试终止受感染计算机上的多个服务。完成加密后，它还会尝试清除卷影副本（VSS）。至于其作者与已知网络犯罪组织之间是否有任何潜在联系，目前还不明确。

图4：3AM泄露的数据

威胁行为者通常使用gpresult命令来提取对特定用户强制执行的计算机策略设置，之后，他们执行了Cobalt Strike的多个组件，并尝试利用PsExec在计算机上提高权限。

在此之后，攻击者通过whoami、netstat、quser和net share等命令进行侦察。他们还尝试使用quser和net view命令来识别其他服务器，以便进行横向移动。此外，他们创建了一个新的用户账户以保持持久性，并使用Wput工具将受害者的文件传输到自己的FTP服务器。

在使用2004年的Yugeon Web Clicks脚本时可能会让人感到困惑，为什么一个新兴的勒索软件组织会选择这种过时的技术，背后可能有几个原因，包括：

• 模糊性：老旧脚本和技术不会被现代安全工具轻易识别，从而降低了被检测到的可能性。
• 简洁性：老旧脚本提供了简单直接的功能，不涉及现代脚本常有的复杂性，使得部署和管理变得更加简便。
• 自信过剩：该组织对自己的能力过于自信，认为没有必要投资更先进的技术，特别对于他们的网站而言。

需要注意的是，这些原因会让勒索软件组织面临一定的风险。使用已知漏洞的过时技术可能会使他们的操作易受外部攻击、反制措施或遭到其他威胁行为者的潜在破坏。

3AM勒索软件组织选择使用过时的PHP脚本，证明了网络犯罪分子的不可预测性。尽管他们使用先进的勒索软件变种来针对组织，但他们选择后端技术可能受到战略考虑、便利性和过度自信的共同影响。这强调了组织时刻保持警惕和采用全面安全方法的重要性，因为威胁既可能来自先进技术，也可能来自过时技术。

2.已知的战术、技术和程序（TTPs）

3.Rhysida 勒索软件

2023年5月/6月，Rhysida 勒索软件团伙引起了广泛关注，当时他们通过他们的TOR（.onion）网站推出了一个受害者支持聊天门户，自称是一个“网络安全团队”，声称为了受害者的最佳利益而行动，主要针对的是受害者的系统并揭示受害者存在的安全漏洞。

在6月份，Rhysida在其数据泄露网站上公开披露了窃取的智利军方文件，引起了人们的注意。自那以后，他们对包括Prospect Medical Holdings在内的医疗机构发起攻击，一时间声名狼藉，导致政府机构和网络安全公司密切追踪他们。据了解，他们在针对英国图书馆的网络攻击中，导致该图书馆发生了一次重大的技术中断，并在线上出售窃取的个人身份信息（PII）。另外，他们还攻击了索尼旗下的视频游戏开发商Insomniac Games，这展示了该组织能够跨越多个不同行业进行攻击的广泛影响力。

4.已知的战术、技术和程序（TTPs）

5.Akira勒索软件

Akira 组织在2023年3月被发现，该组织声称到目前为止已经攻击了81个受害者。初步研究表明，该组织与臭名昭著的勒索软件团伙Conti有着强烈的联系。Conti源代码的泄露导致多个威胁行为者使用Conti的代码来构建或修改他们自己的勒索软件，这使得辨别哪些团伙与Conti有直接联系，哪些仅仅是在利用泄露的代码变得极为困难。

不过，Akira确实提供了一些明显的线索表明它与Conti有关联，包括它们方法上的相似性，对相同文件类型和目录的忽视，以及相似功能的整合。此外，Akira使用ChaCha算法进行文件加密，其实施方式与Conti勒索软件相似。最后，Akira勒索软件背后的个体将全部的赎金支付指向了与Conti团队相关联的地址。

Akira提供勒索软件即服务（Ransomware-as-a-Service），影响Windows和Linux系统。他们利用官方的数据泄露站点（DLS）来发布关于受害者的信息以及他们活动的更新。这些威胁行为者主要针对美国，当然英国、澳大利亚和其他国家也不例外。

该组织通过外泄和加密数据来迫使受害者支付双重赎金，既要恢复访问权限，又要还原文件。在几乎所有的入侵事件中， Akira都利用被入侵的凭据作为初始立足点进入受害者的环境。有趣的是，大多数被攻击的组织没有为他们的VPN实施多因素认证（MFA）。虽然这些被入侵凭据的确切来源尚不确定，但有可能是威胁行为者从暗网获取的。

6.已知的战术、技术和程序（TTPs）

勒索软件行业正在蓬勃发展，吸引了又一批新的、大胆的组织，他们希望通过开发高质量的勒索软件服务和工具来建立自己的声誉。Cyberint研究团队表示，在2024年这几个新组织的能力将越来越强，并可能像LockBit 3.0、Cl0p和AlphV这样的老牌组织一样成为该行业的主导力量。

2023年勒索软件报告下载地址：Ransomware Recap 2023 (cyberint.com)