Chainalysis：易部署与难获利——勒索软件攻击趋势探析lg...

来源：Chainalysis，编译：五铢，金色财经

2023 年勒索软件事件和支付总额出现历史性激增并非没有阻力，因为 2023 年和 2024 年初针对勒索软件参与者采取了重大行动，包括对 Qakbot 恶意软件以及 LockBit 和 ALPHV-BlackCat 勒索软件进行显著破坏。 

与此同时，恶意软件品种和服务的多样化、对未来攻击的再投资，以及在逆境中快速适应和重塑品牌的能力，都说明了勒索软件生态系统中威胁行为者的弹性动态本质。

虽然破坏具有影响力，但勒索软件附属机构的持续存在对这些措施的持久有效性提出了挑战。 为了应对这一问题，公共部门和私营部门的共同努力至关重要。 通过关注这些影响，可以提高针对勒索软件威胁的长期效果。

勒索软件：更容易部署，更难获利

勒索软件活动仍逐年增加。 根据网络安全公司 Recorded Future 对专用泄密网站 (DLS) 的分析，2023 年赎金支付总额创下历史新高，受害者人数增加了 70%。

Recorded Future 的方法提供了对受害者总数的更全面的估计，为评估全球攻击规模提供了有价值的参考。 Recorded Future 的威胁情报分析师 Allan Liska 说道。 “需要指出的重要一点是，仅仅因为受害者出现在勒索网站上，并不意味着他们实际上是受害者——许多勒索网站因对受害者撒谎以在社交媒体上产生恶名而臭名昭著。 新团体经常使用这种策略来吸引更多附属机构使用其 RaaS 产品，但即使是一些经验丰富的团体也会这样做。” 此外，值得注意的是，并非所有勒索软件受害者都会发布到 DLS。

根据我们的数据，尽管 2023 年攻击数量激增，但涉及支付的勒索软件攻击却下降了 46%。 从本质上讲，虽然由于地下犯罪分子的专业化和进入门槛的降低，部署勒索软件变得更加容易，但从这些活动中获利可能更困难。 Coveware 等事件响应公司证实了这一趋势，在上个季度所涉及的事件中，该公司仅支付了 28% 的赎金。 我们将付款下降的部分原因归因于组织之间网络弹性的增强，使他们能够更好地准备、防御事件并从事件中恢复。

此外，公共和私营部门提供的未公开解密器（例如 Rhysida 病毒的解密器）以及 Hive 干预等重大执法行动减少了某些情况下支付赎金的需求，凸显了向执法机构报告事件的价值。

Qakbot 的垮台：虽然影响很大，但运营商通过转向新的恶意软件来适应现状

Qakbot（也称为 Qbot 或 Pinkslipbot）自 2008 年左右开始活跃，最初是一种银行木马，具有键盘记录和复杂的网络钓鱼技术，旨在窃取财务凭证。 多年来，它已经显著发展并扩展了其恶意功能，通常由 TA570 和 TA577 等组织精心策划。

这种通过用于主要命令和控制通信的广泛僵尸网络实现的广泛影响力，随着美国司法部 (DOJ) 于 2023 年 8 月宣布的具有里程碑意义的基础设施盘查而面临重大挫折。“猎鸭行动”成功根除了与该僵尸网络相关的恶意软件。 Qakbot 僵尸网络来自超过 700,000 个系统，并追回了数百万被勒索的加密货币。 该行动由联邦调查局（FBI）与国际执法机构合作并得到私营部门合作伙伴的支持。

据观察，Conti、Black Basta 和 REvil 等几个备受瞩目的勒索软件组织通过初始访问代理 (IAB) 使用 Qakbot 作为初步感染途径。 这些活动造成了广泛的损害，影响到从企业、医疗保健系统到政府机构等实体。

在下图中，我们看到 Qakbot 管理员钱包直接和间接收到勒索软件收益的削减。

Conti、Prolock、Quantum、Sodinokibi/REvil 和 Black Basta 等勒索软件利用该加载程序进行了成功的勒索软件攻击。

虽然 Black Basta 勒索软件在 2023 年获得了超过 1.5 亿美元的勒索软件付款，但如果没有 Qakbot 的破坏，损失肯定会大得多。 如下图所示，继 4 月和 5 月的高峰期之后，2023 年 6 月 Black Basta 勒索软件付款急剧下降。

几个月后，随着 Black Basta 找到替代方案，勒索活动似乎再次回升，但避免的损失是不可否认的。 自 8 月宣布关闭 Qakbot 以来，与 2022 年的勒索活动情况相比大幅下滑。

尽管 Qakbot 被取缔，但有证据表明 Black Basta 已转向新的恶意软件并正在卷土重来。 事实上，与 Black Basta 相关的案件数量正创下历史新高。

网络安全与合规公司 Proofpoint 的威胁研究员凯尔西·梅里曼 (Kelsey Merriman) 表示：“TA577 在电子犯罪领域的突出地位不仅仅是偶然的问题，而且证明了威胁行为者的适应能力。” “凭借活动规模、规避技术、TTP 变化、坚定不移的持久性以及勒索软件的快速周转，它仍然是该领域最大的威胁之一。 Qakbot 的破坏总体上是积极的，但它只影响了恶意软件——一些最大规模和迭代活动背后的多产参与者的操作仍在继续，只是有新的恶意软件。”

此外，Qakbot 恶意软件并没有完全消失。 自 2023 年 11 月下旬以来，Proofpoint已经观察到十多个极少量传播Qakbot恶意软件的活动。 这些活动中的大多数并不归因于被跟踪的威胁参与者，并且似乎正在测试未来可能使用的交付技术。 值得注意的是，虽然 TA577 在最近的活动中偏向 Pikabot，但 Proofpoint 观察到 TA577 在 1 月份仅进行了一次 Qakbot 活动，然后又返回其他有效负载。

即使在恶意软件遭受重大破坏之后，勒索软件组织最终也适应并找到了替代方案，但对相关勒索软件组织的活动并非没有重大的操作摩擦。 Qakbot 背后的威胁参与者花了几个月的时间才重新组建。 尽管“猎鸭行动”取得了显著成功，但重要的是要承认恶意软件即服务市场的丰富性。

LockBit 颠覆：深度渗透让附属机构陷入混乱

LockBit 于 2020 年首次被观察到，它作为勒索软件即服务 (RaaS) 运行，允许不良行为者使用其恶意软件发起攻击，加密并可能泄露受害者数据，除非支付赎金。 根据 Recorded Future 的数据，由于门槛较低，Lockbit 被认为是最多产的勒索软件，其占 2023 年数据泄露网站帖子的 21%。

2024 年 2 月，国家犯罪局 (NCA) 和多国执法机构在私营部门情报的支持下开展了“克罗诺斯行动”，成功夺取了暗网上 LockBit 网站及其黑客基础设施的控制权。 此次行动还导致他们的源代码和加密货币账户被没收。 此外，NCA 还恢复了 1000 多个解密密钥，以帮助受害者恢复加密数据。 两人被捕，俄罗斯 LockBit 附属公司也受到制裁。

据 FBI 称，LockBit 与 2000 多次攻击有关，从 2020 年 1 月到 2023 年 5 月收到至少 1.2 亿美元的赎金。受害者包括地方政府、公立学校和紧急服务部门。 在中断之前，向 LockBit 支付的款项占勒索软件支付总额的 15% 以上。

在下图中，我们可以看到这种中断大大减少了对 LockBit 的付款。

这次行动不仅仅是关闭网站：它涉及精心策划的渗透，损害了 LockBit 社区内的基本信任，严重破坏了 LockBit 的运营并使其附属机构陷入混乱。

尽管如此，这位所谓的 LockBit 领导人坚称，尽管遭遇了挫折，但他还没有结束，并承诺继续进行黑客攻击。 威胁情报平台 Analyst1 首席安全策略师乔恩·迪马吉奥 (Jon DiMaggio) 表示：“LockBit 一如既往地卷土重来，发布了新的受害者名单，并声称发布了新的勒索软件变种用于其勒索活动。” 取缔可能不会永久结束 LockBit 团伙的运作，但它肯定会减慢他们的速度并使其花费更多时间和金钱。 更重要的是，它损害了运营的完整性，从而削弱了他们招募顶级附属公司的能力，至少目前是这样。”

尽管行动已经结束，但调查可能仍在继续。 NCA 识别并分析了数百个活跃钱包，并确定了2200个比特币——价值近1.1亿美元——在未使用的LockBit勒索软件收益中仍有待洗钱。

BlackCat：勒索软件 rugpull 剖析

ALPHV/BlackCat RaaS 是 2021 年 11 月出现的高度活跃的勒索软件家族。该组织采用常见的 RaaS 模型进行操作，向附属机构提供恶意软件，同时收取一定比例的赎金。

BlackCat 因其通过窃取凭证获得初始访问权限的方法而臭名昭著，并对包括石油公司、学校和医院在内的众多全球组织发起了攻击。 他们的策略非常激进，通常涉及双重或三重勒索方法，包括分布式拒绝服务 (DDoS) 威胁，并且他们引入了创新策略，例如建立公共数据泄露网站，以加大对受害者的付款压力。

2023 年 12 月，司法部宣布中断 BlackCat，向受害者提供 300 个解密密钥，节省了约 6800 万美元的付款，但 BlackCat 得以重组。

据报道，2024 年 3 月，在 UnitedHealth 旗下 Change Healthcare 部门支付了 2200 万美元的赎金后，BlackCat 勒索软件组织在一场退出骗局后消失了。 在收到所谓的付款后，BlackCat 在其暗网网站上展示了执法部门扣押通知，表明其业务已被强行终止。 这被管理员揭穿为一个诡计，目的是为了在不给联营公司 80-85% 的应得份额的情况下将数百万美元的付款装进自己的口袋。

BlackCat 的退出标志着勒索软件支付生态系统的重大破坏，因为该组织在退出骗局之前捕获了所有勒索软件支付的 30% 以上，如下图所示。 截至 2023 年底，BlackCat 是收入最高的 RaaS。

退出骗局的影响对于该集团未来的任何迭代来说都不是好兆头。 即使是勒索软件生态系统的狂野西部也有自己的犯罪道德准则，勒索软件附属机构将其安全性以及通常的收入委托给他们选择加入的勒索软件操作。 这一事件严重损害了该组织的声誉，或许更普遍的是，它为勒索软件即服务商业模式埋下了怀疑的种子。

适应、多样化：勒索软件攻击者如何应对破坏

虽然勒索软件支付和活动的减少证明，中断会导致勒索软件团体的运营摩擦和混乱，但勒索软件模型固有的灵活性允许勒索软件供应链的附属机构和成员转向新的策略，包括将以前受害者的被盗数据货币化。

我们注意到一个趋势：附属机构使用的病毒数量似乎一直在增加。 这表明需要一段时间的实验和适应，旨在规避未来的干扰。

尽管 2024 年第一季度使用多种病毒获取收入的附属公司数量有所下降，但仍然保持较高水平。 这可能意味着面临颠覆的附属公司正在测试新的病毒，摆脱被破坏的病毒。

持久的挑战在于勒索软件参与者的适应性。 对于附属公司来说，改变病毒的成本相对较低，而且他们可以灵活地做到这一点。 增加关联公司感知风险、不信任和运营停机时间的行为可能对其活动产生持久影响。

我们之前在 2024 年加密货币犯罪报告中引用了参与勒索软件活动的新威胁行为者数据中的信号。 到 2024 年，我们将继续监控附属机构和前附属机构的行为，以及最近发生的事件对其风险计算和继续参与勒索软件的决定的影响。

胜利不断积累，但针对勒索软件的战争仍在继续

打击勒索软件的斗争以公共和私营部门之间的重大破坏和具有历史影响力的合作为标志，突显了犯罪网络的直接影响与长期适应性之间的复杂关系。

尽管据报道，攻击数量有所增加，但赎金金额持续减少，反映出受害者越来越不愿意遵守网络犯罪分子的要求。 各组织对资助犯罪活动的制裁和更广泛的厌恶反映了一种不断变化的情绪，即支付赎金越来越被认为是不可接受或不必要的。

创新的破坏战略涉及针对网络犯罪生态系统各个部分的整体政府方法——从基础设施到洗钱机制，再到逮捕、制裁和资产扣押，以及区块链情报工具的使用，对于理解网络犯罪生态系统并抵消附属机构的适应机制至关重要 。 持续的受害者报告以及与执法部门的合作可以提供有价值的情报，正如我们在去年所看到的那样，并可能为受害者提供阻止他们支付赎金的解密器。 为此，Chainalysis 网络威胁情报主管杰奎琳·伯恩斯·科文 (Jacqueline Burns Koven) 在美国众议院金融服务委员会关于勒索软件的听证会上作证。 在作证期间，科文不仅谈到了所需的创新颠覆战略，还谈到了公私伙伴关系和双向信息共享的重要性。

来源：金色财经