2023年勒索软件行业风起云涌，从2021年爆发式增长到2022年短暂下降的过山车之旅仅仅是开始。 2023 年将以与2021 年同样的热情回归，推动现有发展并迎来一波强大的新来者。 LockBit 3.0 保持第一的位置，超过了波音罢工、皇家邮政罢工等。

在Cyberint，研究团队不断研究最新的勒索软件组并分析其潜在影响。本博客将关注该行业的3 个新参与者，研究他们在2023 年的影响并深入研究他们的TTP。

凌晨 3 点勒索软件

一种新发现的名为3AM 的勒索软件菌株已经出现，但迄今为止其使用受到限制。到2023 年，他们只影响了20 多个组织（主要在美国）。然而，由于勒索软件附属机构试图在凌晨3 点目标网络被封锁时对其进行锁定，因此他们的声誉变得越来越差。

新的勒索软件家族频繁出现，而且大多数都很快消失或从未获得重大关注。然而，LockBit 附属机构将3AM 用作后备的事实表明，攻击者可能对此感兴趣，并且将来可能会再次看到它。

有趣的是，3AM 采用Rust 编码，似乎是一个全新的恶意软件家族。它遵循特定的顺序: 它尝试在启动文件加密过程之前暂停受感染计算机上的多个服务。完成加密后，它会尝试擦除卷影(VSS) 副本。其作者与已知网络犯罪组织之间的任何潜在联系仍不清楚。威胁参与者的可疑活动首先利用gpresult 命令提取在计算机上为特定用户强制执行的策略设置。然后，他们执行Cobalt Strike 的各个组件，并使用PsExec 提升计算机上的权限。

攻击者随后通过whoami、netstat、quser、net share等命令进行侦察。他们还尝试使用quser 和net view 命令来确定其他服务器上的横向移动。此外，他们还设置了一个新的用户帐户以实现持久性，并使用Wput 工具将受害者的文件传输到他们的FTP 服务器。

乍一看，使用2004 年的Yugeon Web Clicks 脚本可能会让人感到困惑。这引发了人们的疑问：为什么新兴的勒索软件组织会选择如此过时的技术。然而，这种选择有几个潜在的原因，包括:

晦涩难懂: 较旧的脚本和技术可能无法被现代安全工具普遍识别，从而降低了检测到的可能性。简单性：较旧的脚本可能提供简单的功能，而没有现代脚本通常带来的复杂性，从而使部署和管理更加容易。过度自信: 该集团可能对其能力非常有信心，并且可能认为没有必要投资更先进的技术，尤其是其网站。需要注意的是，这种选择会让团队面临一定的风险。采用具有已知漏洞的过时技术使其运营容易受到外部攻击、对策或其他威胁行为者的潜在干扰。

3AM 勒索软件组织选择使用过时的PHP 脚本，这表明网络犯罪分子的不可预测性。虽然他们使用先进的勒索软件病毒来攻击组织，但他们对后端技术的选择可能会受到战略考虑、便利性和过度自信等综合因素的影响。它强调了组织保持警惕并采取整体安全方法的重要性，认识到威胁可能来自最新和过时的技术。

Rhysida 勒索软件

Rhysida 勒索软件组织于2023 年5 月/6 月推出了受害者支持聊天门户，可通过其TOR (.onion) 网站访问。他们声称自己是一个“网络安全团队”，以受害者的最大利益为目标，针对受害者的系统并突出漏洞。

Risda今年6月在其数据泄露网站上公开披露被盗的智利武器文件后引起关注。此后，该组织因攻击包括Prospect Medical Holdings 在内的医疗保健组织而臭名昭著。导致政府机构和网络安全公司密切跟踪他们。他们瞄准了几个知名实体，包括大英图书馆和索尼旗下的视频游戏开发商Insomniac Games。他们在大英图书馆造成了重大技术故障，并在网上出售了被盗的PII 作品。他们在不同行业中表现出广泛的影响力。

已知TTP

阿基拉集团

Akira 组织于2023 年3 月被发现，迄今已造成81 名受害者。初步研究表明该组织与臭名昭著的勒索软件组织Conti 之间存在密切联系。 Conti 源代码的泄露导致多个威胁行为者利用Conti 的代码构建或改编自己的代码，从而很难确定哪些组织与Conti 相关以及哪些组织只是在利用泄露的代码。

然而，Akira 确实提供了一些线索，表明与Conti 存在联系，从方法上的相似性到忽略相同的文件类型和目录，以及相似功能的合并。此外，Akira 利用ChaCha 算法进行文件加密，其实现方式与Conti 勒索软件类似。Akira 勒索软件背后的个人指示将全部赎金支付到与Conti Group 相关的地址。

Akira 将勒索软件作为服务提供，影响Windows 和Linux 系统。他们利用官方DLS（数据泄露网站）发布受害者信息和活动更新。威胁行为者主要集中在美国，但也针对英国、澳大利亚和其他国家。

他们渗透并加密数据，迫使受害者支付双倍的赎金才能重新获得访问权限并恢复文件。在几乎所有的违规行为中，Akira 都会利用受损的凭据在受害者的环境中获得初步立足点。有趣的是，大多数目标组织都忽略为其VPN 实施多重身份验证(MFA)。虽然这些被盗凭据的确切来源仍不确定，但威胁行为者有可能从暗网获取了访问权限或凭据。

已知TTP

勒索软件行业正在蓬勃发展，吸引了那些寻求通过开发高质量勒索软件服务和工具来成名的新的、大胆的组织。到2024 年，Cyberint 预计其中一些新群体将增强其能力，并加入LockBit 3.0、Cl0p 和AlphV 等老牌群体，成为行业的主导者。

我们专注高端建站，小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验，每一个项目承诺做到满意为止，多一次对比，一定让您多一份收获！