LOCKBIT、CONTI和BLACKCAT在活跃的勒索组织中呈上升趋势

关键词

勒索软件家族、趋势、LockBit 、Conti 、BlackCat

2022年，勒索软件攻击在越来越多的攻击组织和攻击活动中展开。根据勒索软件服务（RaaS）和敲诈勒索组织揭秘 站数据，趋势科技开源情 （OSINT）研究和趋势科技的数据智能保护 络（Trend Micro? Smart Protection Network?）的数据, 趋势科技的研究人员绘制了2022年第一季度（1月1日至3月31日）勒索软件威胁图。通过跟踪研究发现，LockBit、Conti、以及BlackCat这三个勒索软件家族在此期间发动的成功攻击次数最多。

1. 勒索软件威胁同比呈增长趋势

2022年第一季度，RaaS和勒索组织的数量与去年同期相比增加了63.2%，这一增长导致更多组织成为勒索活动的受害者。根据勒索软件组织揭秘 站数据，勒索软件受害者同比增长29.2%（该 站记录了拒绝支付赎金并被勒索组织成功劫持的组织的数据），如图1所示：

图1. 2021第一季度和2022年第一季度成功勒索软件攻击的活跃RaaS和勒索组织以及受害者组织的数量

2. LockBit, Conti和BlackCat的流行

在2022年第一季度，三个勒索软件家族声称成功的攻击次数最多，它们都因在RaaS模式下运作而广为人知。根据勒索组织揭秘 站的数据，这些攻击中有35.8%属于LockBit，19%属于Conti，9.6%属于BlackCat，如图2所示：

图2. 2022年第一季度成功实施RaaS和敲诈勒索攻击的前三大勒索软件家族

根据趋势科技的勒索软件数据，LockBit和Conti属于2022年第一季度检测到的前十大勒索软件家族，BlackCat是2022年2月和3月发现的十大勒索软件家族之一，如图3所示：

图3. 2022年第一季度每个月检测到的LockBit、Conti和BlackCat的勒索文件的数量

根据RaaS和勒索组织揭秘 站的数据：2021年第一季度，这三个勒索软件家族中，只有Conti在最活跃的勒索软件家族榜单上。事实上，Conti是2021年第一季度排名第一的勒索组织据联邦调查局（FBI）估计，截至2022年1月，勒索金额达到了1.5亿美元，这使得Conti成为有记录以来勒索金额最高的勒索组织。

像LockBit这样的RaaS提供商在2022年第一季度2月份的检出率达到了最高水平，自从将双重勒索纳入他们的行动手册以来，LockBit成为一个更加可怕的威胁。在双重勒索下，勒索者不仅加密数据要求受害者支付费用以恢复访问权限，而且还威胁说如果不支付勒索，便会公开数据，从而对受害者施加额外压力。比如，2022年1月法国司法部遭到攻击，LockBit攻击者在勒索赎金失败后在暗 上发布敏感的司法部数据。

相对于Conti和LockBit，BlackCat（又名AlphaVM、AlphaV或ALPHV）是一个新来者；2021年11月，Malwarehuntertam的研究人员首次 道了该勒索软件家族的活动。但与其他许多RaaS运营商不同的是，它使用了三重勒索，这是一种勒索软件行为者威胁在泄露数据的基础上，对受害者的基础设施发起分布式拒绝服务（DDoS）攻击的策略，除非受害者支付勒索金。BlackCat要求受害者提供数百万美元的比特币或门罗币。由于BlackCat向RaaS附属公司的慷慨支付，该公司正逐渐成为地下市场的主要竞争者，这些附属公司可以赚取高达90%的已付赎金。

趋势科技的检测显示，BlackCat在2022年2月第一季度最为活跃，截至3月，它已成功地危害了全球至少60家组织。BlackCat也是第一个用Rust编写的专业勒索软件家族，这一点也很值得注意。这是BlackCat的一个主要卖点，因为Rust被认为是一种更安全的编程语言，能够进行并发处理。作为一种跨平台语言，Rust还使攻击者更容易根据Windows和Linux等不同操作系统定制恶意软件。

3. 勒索软件攻击者将目光投向中小型企业

小型企业经常受到大量 络攻击，因为攻击者认为他们应对 络威胁的手段和资源不足；中型企业则成为攻击者的主要目标，因为他们拥有相对宝贵的数字资产。

根据勒索组织揭秘 站数据，Conti主要针对中型组织（201至1000名员工），其勒索攻击占据2022年第一季度成功攻击的41.9%，其余攻击平均分在小型企业（最多200名员工）和大型企业（1000多名员工）中。

相比之下，2022年第一季度，LockBit成功的攻击中有65.5%针对小企业，其次是中型企业，占20.5%，大型企业占10.5%。同样，2022年第一季度，BlackCat的受害者大多是小企业，占其成功攻击的57.6%，中型组织和大型企业分别占25.4%和17%，如图4所示：

图4. 2022年第一季度LockBit、Conti和BlackCat成功攻击的受害者组织的组织规模分布

4. 政府，金融业和制造业遭受的勒索攻击概况

趋势科技的数据显示，2022年1月至3月，政府机构和金融公司在勒索文件检测方面一直排在前三位，其次是制造业和快速消费品（FMCG）行业的组织，如图5所示：

图5. 2022年第一季度每月勒索软件文件检测量排名前三的行业

金融和IT组织仍然是RaaS和敲诈勒索集团的共同目标。勒索组织揭秘 站显示，与去年第一季度一样，这两个行业在2022年第一季度遭受的攻击最多，如图6所示：

图6. 2022年第一季度被RaaS和敲诈勒索组织攻击影响的前十大受害者组织的行业

趋势科技的检测结果与勒索软件组织揭秘 站的数据一致，金融机构在2022年第一季度遭受的勒索攻击有12.7%来自LockBit，建筑业和制造业同期遭受LockBit攻击的比例为9.5%，其中的受害者包括世界上最大的轮胎制造商之一，如表1所示：

表1. 2022年第一季度遭受LockBit攻击影响的受害者所在的主要行业

相比之下，2022年第一季度Conti的受害者更加多样化：其受害者中12.8%从事制造业，材料和专业服务公司紧随其后，分别为10.3%和8.5%，如表2所示。一次引人注目的Conti攻击发生在1月份，针对一家向苹果、戴尔和特斯拉等公司供应组件的台湾电子公司。幸运的是，只有非关键系统受到了影响。

表2. 2022年第一季度遭受Conti攻击的受害者所在的主要行业

2022年第一季度，BlackCat对专业服务行业组织的影响最为严重，BlackCat中13.6%成功攻击的受害者来自专业服务业。此外，金融和法律服务行业遭受BlackCat成功攻击的比例占据10.2%，如表3所示。一家瑞士航空公司成为BlackCat勒索组织的受害者，该公司2月份发生数据泄露事件，包括公司内部备忘录和求职者信息。

表3. 2022年第一季度遭受BlackCat攻击的受害者所在的主要行业

5. 勒索软件给欧洲和北美公司造成的损失

根据趋势科技对RaaS和敲诈勒索组织揭秘 站的调查数据显示，美国仍然是遭受RaaS和敲诈勒索袭击最多的国家，但许多欧洲国家也受到了影响，如图7所示：

图7. 2022年第一季度遭受成功RaaS和敲诈勒索袭击影响的受害组织所在的前十个国家

2022 年第一季度，LockBit的受害者中有40.5% 是欧洲的组织，其次是北美的34.1% 和亚太地区的10.9%，如图8所示 。美国、意大利和法国遭受了最多的勒索攻击。尽管LockBit 的大多数受害者都在欧洲，但美国联邦调查局（FBI ）在2 月份指出，LockBit 最新的已知版本LockBit2.0 识别东欧组织并将其排除在攻击之外。LockBit 之前的版本也有一个自动审查程序，可以筛选出俄罗斯和独立国家联合体国家的组织。

图8. 2022年第一季度受LockBit成功袭击影响最大的受害者组织所在地区

今年2 月，在俄罗斯有许多成员的Conti 组织参与了俄乌冲突，并表示打算 复任何对俄罗斯发动 络攻击的人。这可以部分解释2022 年第一季度其活动的区域分布：北美的组织受其成功袭击的影响最大，占受害者的49.6% ，而欧洲的组织占41.9% ，亚太地区的组织占6%，如图9所示 。Conti 的大多数受害者都在美国、德国和英国。

图9. 2022年第一季度受Conti成功袭击影响最大的受害者组织地区

与Conti 一样，BlackCat 在2022 年第一季度的活动集中在北美的受害者身上，其成功袭击的50.8% 发生在北美。欧洲和亚太地区的受害者分别占25.4% 和18.6%，如图10所示 。更具体地说，它瞄准了美国和意大利的目标。2022 年第一季度，BlackCat 对欧洲知名公司进行头条新闻攻击，其中包括一家德国燃料分销公司和一家意大利高端时尚品牌公司。

图10. 2022年第一季度受BlackCat成功袭击影响最大的受害者组织地区

6. 保护组织免受勒索软件攻击的方案

勒索软件仍然是各种规模企业的主要威胁，这些企业必须与使用日益复杂的工具和技术的恶意行为者进行斗争。通过遵循以下的安全建议，相关组织可以降低被勒索软件攻击的风险：

可以通过多层检测和响应解决方案来增强其 络安全基础设施的安全性，这些解决方案可以在攻击者实施攻击之前预测和响应勒索软件的动向。

END

参考链接： https://www.trendmicro.com/vinfo/us/security/news/ransomware-by-the-numbers/lockbit-conti-and-blackcat-lead-pack-amid-rise-in-active-raas-and-extortion-groups-ransomware-in-q1-2022

审校|何双泽、金矢