Clop勒索大规模数据盗窃：收入高达1亿美元

据Coveware发布的一份新报告，Clop勒索软件团伙预计通过勒索大规模MOVEit数据盗窃活动的受害者获得7500万到1亿美元的收入。

该报告指出，支付赎金的受害者数量已降至历史新低的34%，这导致勒索软件团伙改变策略，使他们的攻击更有利可图。

不同的勒索攻击具有不同的机会成本，这反映为与预期的赎金需求相比，进行攻击所需的努力和投资量。

由于越来越多的受害者不愿意支付赎金，勒索软件团伙正在寻求其他方式来获得收入。Clop团伙选择了利用MOVEit软件的漏洞进行大规模数据盗窃，这样他们可以通过售卖或勒索这些窃取的数据来获取利润。

这种趋势表明勒索软件团伙正在不断适应并改变策略，以寻找更有效的方式来攻击并获得收入。这对企业和组织来说是一个严峻的挑战，需要加强网络安全措施，确保及时更新软件补丁，并提高员工的网络安全意识，以防范勒索软件攻击。同时，与执法机构和网络安全专家合作，打击勒索软件团伙，也是必要的措施。

网络勒索机会成本曲线

该图表显示，复杂性和自动化程度最低的勒索攻击对受害者的影响和攻击者的成本最小。

这反映在赎金要求上，幻影攻击（社会工程）、数据库擦除赎金以及 Qlocker等 NAS 加密攻击，由于攻击的自动化和缺乏复杂性，赎金要求普遍较低。

例如，如果 TA 使用之前泄露的凭据从单个员工的独资企业的单台机器上窃取单个文件，则影响非常小。威胁行为者所付出的成本也非常低。

另一方面，如果威胁行为者花费 50 万美元获取 0day 漏洞，然后在影响和勒索之前需要 4 周的手动侦察工作和横向移动，我们可以看到单次攻击可能会变得多么昂贵。在一次攻击上花费如此多资金的威胁行为者可能会计算出非常高的需求，以努力收回成本并获利。

对于此类攻击，赎金要求通常在几百美元到数千美元之间，威胁行为者希望通过大量支付来弥补较低的赎金价格。

然而，更复杂、更耗时、影响更大的攻击会产生更高的赎金要求，通常为数百万。

随着付款额下降，Clop 改变策略

5月27日，Clop勒索软件团伙利用MOVEit Transfer安全文件传输平台中的零日漏洞，发动了大规模的数据盗窃攻击。预计这些攻击将影响全球数百家公司，其中许多公司已在过去两个月内通知受影响的客户。

随着时间的推移，勒索攻击的重点逐渐转向数据盗窃，而非传统的加密勒索。受害者更愿意披露攻击并发布数据泄露通知，而不愿意向威胁者支付赎金。

这次攻击中，仅限DXF（Data Exfiltration，数据外泄）的手法被采用，不会像传统加密勒索那样造成重大业务中断，但可能会导致品牌受损，并产生数据泄露通知的法律义务。

然而，支付赎金的可能性低于50%，尽管DXF攻击的赎金要求（以美元计）相对较高。这显示出勒索软件团伙正在改变策略，以追求更高的收益。

Clop 已经改变了勒索策略，要求比之前在数据泄露攻击中看到的更高的赎金要求，希望通过几笔大额付款来克服整体下降的情况。

根据估计，只有少数 MOVEit 数据盗窃受害者可能会付费。

尽管如此，考虑到巨额赎金要求，Clop 仍有望仅通过这些付款就筹集到 7500 万到 1 亿美元的巨额资金。

CloP 组织仅通过 MOVEit 活动就可能赚取 7500 万到 1 亿美元，而这笔钱仅来自少数支付高额款项的受害者。

对于一个相对较小的群体来说，这是一笔危险且惊人的资金。

Clop 在这些攻击中的成功率明显高于他们最近的 GoAnywhere 数据盗窃攻击，在这些攻击中，威胁行为者仅入侵了 130 名受害者，并且只收到了少量赎金。

Clop 的 2021 Accellion FTA 数据盗窃攻击之所以成功，是因为受害者没有充分了解付费防止数据泄露的利弊。

此外，2021 年媒体对个人违规行为的关注更多，而媒体现在对此类攻击变得麻木了。

如今，受害者对这些情况的利弊有了更好的了解（在大多数情况下，弊端明显超过利弊）。

因此，虽然 Accellion 在财务上取得了相当大的成功，因为一小部分受害者中受害者支付的比例较高，但 GoAnywhere 似乎在另一小部分受害者中几乎彻底失败了。

MOVEit 的直接受害者比这两次攻击至少多出 10 倍，因此 CloP 能够专注于最大且最有可能考虑付款的受害者，即使超过 90% 的受害者甚至懒得参与谈判，更不用说付款了。

勒索软件附属公司转向新业务

除了数据盗窃攻击策略发生变化外，Coveware 在勒索软件加密攻击方面也发生了变化。

针对小型企业的勒索软件即服务操作已大幅减少，因为获取赎金变得更加困难。

因此，Dharma 和 Phobos 等规模较小的勒索软件操作在 2023 年的攻击次数减少了近 37%。

相反，Coveware 观察到这些组织内更多附属机构的转变，他们转向新的 8base 勒索软件操作，该操作使用 Phobos 加密器针对企业进行更大规模的攻击。

最近的一份 VMware 报告将 8base 与 RansomHouse 联系起来，RansomHouse 是一种勒索软件操作，以针对大型组织并允许附属机构索要更高的赎金而闻名。

2023 年第二季度最常见的勒索软件变体

在第二季度，我们看到针对小型企业的 RaaS 组织的加密攻击大幅减少。随着从加密攻击中成功获得报酬变得越来越困难，出现了两种反应。首先，像 Dharma 和 Phobos 这样的勒索软件家族多年来一直在最活跃的 10 个组织中占有一席之地，但现在已经处于休眠状态。根据ID 勒索软件数据，2023 年迄今为止，Dharma/Phobos 攻击与 2022 年同期相比下降了约 37%。

其次，据观察，以前使用 Dharma 和/或 Phobos 的技术更复杂的分支机构已经开始使用名为 8base 的新勒索软件套件。

随着足够的赎金支付变得越来越稀缺，威胁行为者正在通过改变他们的策略（正如我们在 CloP 中看到的）、改变他们的工具（正如我们在 Dharma/Phobos 中看到的）以及改变他们的目标来改变他们的行为

勒索软件攻击向量和 TTP

随着网络勒索的单位经济学发生变化，攻击向量和 TTP 也会发生变化。威胁行为者越来越多地“靠土地为生”，但 CloP 证明，与其他组织相比，这些领域对于某些组织来说要肥沃得多。

影响：影响包括对手用来破坏可用性或损害业务和运营流程完整性的技术。用于影响的技术可以包括破坏或篡改数据。在某些情况下，业务流程可能看起来不错，但可能已被更改以有利于对手的目标。对手可能会使用这些技术来实现其最终目标或为泄露机密提供掩护。

针对影响进行数据加密：文件加密是观察到的最常见的影响形式。这可能包括可能阻碍调查的取证日志和工件。

服务停止：威胁参与者经常禁用与检测或备份复制相关的服务，以最大限度地发挥加密的影响。

数据销毁：大多数时候，数据销毁的目的是通过使用 SDelete 或 CCleaner 销毁取证工件。不幸的是，有时勒索软件攻击者会破坏生产数据存储（有时是恶意的，有时是意外的）。

渗透渗透由威胁行为者可能用来从网络窃取数据的技术组成。一旦数据在内部暂存，威胁行为者通常会将其打包以避免检测，同时将其从网络边界中渗透出去。这可以包括压缩和加密。从目标网络获取数据的技术通常包括通过威胁行为者命令和控制通道传输被盗数据。

通过 Web 服务进行渗透：是最常见的子策略，它涵盖了各种第三方工具的使用，例如 megasync、rclone、Filezilla 或 Windows Secure Copy。

横向移动：威胁行为者的横向移动包括用于进入和控制网络上远程系统的技术。成功的勒索软件攻击需要探索网络来查找关键资产，

例如域控制器、文件共享服务器、数据库和未正确分段的连续性资产。获取这些资产通常需要通过多个系统和帐户来获取访问权限。攻击者可能会安装自己的远程访问工具来完成横向移动，或者使用本地网络和操作系统工具的合法凭据，这可能更加隐蔽且更难以跟踪。最常见的两种横向运动形式是：

远程服务，主要是使用 VNC（如 TightVNC）来允许远程访问或 SMB/Windows 管理共享。管理员共享是共享/访问工具和恶意软件的简单方法。这些对用户隐藏，只有管理员可以访问。使用 Cobalt Strike 的威胁参与者几乎总是将其放置在管理员共享中。

横向工具传输：主要与 PSexec 的使用相关，PSexec 是合法的 Windows 管理工具。威胁行为者利用此工具横向移动或在多台计算机上大规模部署恶意软件。

发现：威胁参与者使用发现技术来获取有关目标内部网络的知识。这些技术可帮助对手观察环境并确定自己的方向，然后再决定如何导航网络以实现其影响目标。本机操作系统工具通常用于实现这种泄露后信息收集的目标。我们在第四季度观察到的最受观察的发现策略是：

网络服务扫描：主要包括滥用高级 IP 扫描器来识别可用的网络主机。

进程发现：经常被滥用的工具是 Process Explorer 或 Process Hacker，它们允许威胁参与者检查活动进程并杀死它们。

系统所有者/用户发现：用于获取系统或网络上的帐户列表的策略，例如使用“whoami”命令来识别系统中的用户名。

软件发现：威胁参与者枚举软件以确定存在哪些安全措施，或者受感染的系统是否具有容易受到进一步利用的软件版本。

防御规避：防御规避由攻击者在整个攻击过程中用来避免检测的技术组成。用于规避防御的技术包括卸载/禁用安全软件或混淆/加密数据和脚本。对手还利用和滥用受信任的进程来隐藏和伪装他们的恶意软件。当其他战术的技术包括破坏防御的额外好处时，这些技术将在此处交叉列出。

主机上的指示器删除 - 清除 Windows 事件日志涉及由威胁参与者（安全和系统）清除的 2 个常见事件日志。安全性主要记录身份验证，因此如果清除，新帐户创建、远程访问或横向移动的证据可能会丢失。系统事件日志有助于识别服务安装，因此如果清除它，任何正在使用的工具或停止服务的证据都可能会丢失。对于威胁行为者来说，这可能是掩盖其某些踪迹的有效方法。

损害防御：主要是卸载或删除防病毒软件，或者规避EDR或检测软件上的防篡改配置。