勒索软件双重危机：网络勒索再次受害

网络勒索 (Cy-X) 或更为常见的勒索软件是在过去三到四年中引起广泛关注的话题。自 2020 年以来，Orange Cyber​​defense 广泛覆盖了这一威胁。

在最新的年度安全报告《Security Navigator 2024》（SN24）中，研究显示，2022 年至 2023 年（2022 年第四季度至 2023 年第三季度）期间增长了 46%。更新我们的数据集后，我们发现实际增幅甚至更高，增幅略低于 51%。更新的数字是由于数据集的动态性质所致；生态系统不断变化，因此我们只有在研究期结束后才意识到某些泄漏地点及其受害者。

可悲的是，这只会进一步加剧现实。预测这种增长水平是否会维持是很困难的。 Cy-X 可能已达到饱和点，我们可能会看到 Cy-X 威胁持续维持在 2023 年的水平。另一方面，如果我们确实遵循过去几年的受害者人数模式（年初人数较少，全年不断增加），则会产生相反的效果，一旦受害者人数不断增加，更多的。然而，我们认为 Cy-X 受害者数量目前将保持稳定，如果幸运的话，敲诈勒索受害者可能会减少。尽管如此，我们距离取得胜利还有很长的路要走。
自报告中讨论 SN24 Cy-X 数据集结束以来已经过去了六个月，这段时间发生了很多事情。 2023 年第四季度和 2024 年第一季度的受害者总数为 2,141 人，几乎是 2022 年全年记录的所有受害者，即 2,220 人。考虑到两个最活跃的 Cy-X 组织在此期间（试图）遭到破坏，这一受害者数量是惊人的。执法部门 (LE) 的目标是在 2023 年 12 月扰乱 ALPHV，几天后他们就通过“松开”自己来表现出抵抗。 LE 随后于 2024 年 2 月拿下了 LockBit 的基础设施，但这仅意味着 LockBit 的停机时间为几天，因为他们也在最初拿下几天后设法恢复了在线状态。尽管这两个 Cy-X 操作当时看起来非常抵制，但 ALPHV（BlackCat）在 2024 年 3 月上旬下线，“退出”游戏，很可能是所谓的退出骗局。

破坏这一不稳定生态系统的努力——Cy-X 品牌寿命短带来的挑战#
无论其效果如何，之前的 LE 活动都为 Cy-X 运营提供了重要的见解。一个例子是 Cy-X 犯罪的暗数，即我们不知道的受害者人数，因为他们没有暴露在我们监控的泄密网站上。了解暗数将有助于我们完整了解当前 Cy-X 威胁。因此，整个情况将包括受害者的实际数量，其中包括我们对泄露网站上暴露的受害者的部分看法（我们的数据）以及我们永远不会知道的受害者组织（暗数）。 2023 年 Hive 被查封后发现的受害者人数比我们从其数据泄露网站记录的受害者人数还要多，实际人数比我们从其数据泄露网站记录的要多 5 到 6 倍。如果我们将 2020 年 1 月至 2024 年 3 月期间记录的受害者人数（11,244 人）乘以 6，那么所有 Cy-X 组织的实际受害者人数可能高达 67,000 人。

Cl0p 是我们数据集中最持久的威胁参与者，它在 2023 年非常繁忙，占所有受害者的 11%。然而，自该分析以来的过去六个月中，Cy-X 组织的数据泄露网站上仅观察到 7 名受害者。 Cl0p 过去曾一度出现，大规模利用漏洞，但最终又回到了阴影中，因此这可能只是 Cl0p 的作案手法。

活跃 Cy-X 基团的总数随时间波动，并且某些基团比其他基团持续时间更长。 《Security Navigator 2024》报告通过研究同比变化来解决这个问题。总体而言，与 2022 年相比，2023 年活跃 Cy-X 团体的数量确实出现了净增长。总的来说，这是一个非常不稳定的生态系统，其中有很多变动。我们的研究发现，54% 的 Cy-X“品牌”在运行 1 至 6 个月后就消失了。延续到 2023 年的 Cy-X 群体数量较少，但新 Cy-X 群体数量的增加导致了活动的净增长。进一步证实了这些群体的短暂性。讽刺的是，LockBit3 和 ALPHV 被列为 2023 年“持久”类别。

这项研究是作为防御 Cy-X 有效性检查的一部分进行的。 LE 和全球各地的政府机构正在努力消除网络勒索，因为这确实是一个全球性问题。在过去两年半中，我们看到 LE 活动稳步增长，记录了 169 项打击网络犯罪的行动。
在所有有记录的 LE 活动中，我们发现网络勒索受到的关注最多。所有行为中有 14% 与网络勒索犯罪有关，其次是黑客行为和欺诈行为，各占 11%。与加密货币相关的犯罪占 9% 的份额。近一半的 LE 活动涉及对个人或团体的逮捕和判刑。

在我们最新的 Security Navigator 报告中，我们写道，“2023 年，我们特别注意到，我们加大力度摧毁或破坏威胁行为者（滥用）使用的基础设施和托管服务。”根据过去 6 个月更新的数据集，我们确实看到“执法干扰”类别的比例更高。在这里，我们收集了一些行动，例如启动国际工作组打击勒索软件的公告、LE 欺骗威胁行为者为其提供解密密钥、夺取基础设施、渗透网络犯罪市场等。虽然我们之前已经争论过我们确实看到的行动是否执行得最多通常，例如逮捕和扣押可能不会那么有效，最近的两项 LE 行动非常值得关注。
在 ALPHV 的案例中，他的第一反应似乎对 LE 破坏它的努力非常有抵抗力，但他已经逃离了现场，并且（很可能）进行了退出骗局。这可能会极大地破坏勒索软件即服务 (RaaS) 生态系统内的“信任”，随着附属机构和其他参与者评估其风险，受害者数量可能会在短期内减少。与此同时，还有一个空白需要填补，从历史上看，新的（重新）品牌很快就会填补这一空白。
与 ALPHV 类似，LockBit 声称在最初的打击中幸存下来，但在网络勒索的世界中，声誉就是一切。附属机构是否会继续与“复活”的 LockBit 开展业务，而不怀疑这是否可能是一个 LE 蜜罐？

Cy-X 受害者以绝望或附属交叉的形式再次受害#
到目前为止，我们知道网络犯罪生态系统是一个复杂的生态系统，包括许多不同类型的参与者、角色和行为。对于我们正在监控的网络犯罪类型——网络勒索来说，情况确实如此。在过去的十年中，网络犯罪即服务 (CaaS) 的生态系统确实得到了发展，并为监控此类犯罪增加了一些挑战。其中一个挑战是没有一个威胁行为者从头到尾执行一次攻击（完整的攻击链）。
在检查 Cy-X 数据泄露网站上的受害者列表时，我们观察到受害者的重新出现。这不是什么新鲜事，我们自 2020 年以来一直在观察这种现象。但我们终于有了足够大的数据集来对再次发生的事件进行分析，以分析这些是否确实是再次受害或生态系统的其他动态，甚至是生态系统本身并没有意识到。例如，我们注意到，一些受害者的名单相隔数月或数年，而另一些受害者则在几天或几周内重新发布。我们不会下载被盗数据并检查列表内容，因为这是我们的道德问题，我们不想下载和存储被盗受害者数据。因此，我们的观察基于匹配受害者姓名。

在考虑可能的再次受害情况时，我们最紧迫的问题之一是为什么我们会看到一些受害者再次出现。

我们对此有一些简化的假设：

另一次网络攻击：实际再次受害，因此发生了针对同一受害者的第二轮网络勒索/网络攻击。通过可能使用相同的入口点或后门；或者与第一次出现完全无关。
访问或数据的重复使用：受害者的数据已经“传播”（泄露或出售给地下组织）并被用作再次勒索受害者的杠杆。或者该访问权限已出售给不同的买家。然而，数据或访问权限正在被重复使用。
关联公司交叉：关联公司在不同的 Cy-X 操作之间重复使用受害者数据。
最后一个假设可能表明威胁行为者是多么受经济驱动，以及他们可能变得多么绝望。我们确信我们的假设可能存在其他变化，但我们希望在接下来的分析中尽可能保持简单。我们想探讨是否看到行为者之间再次受害的模式。我们发现超过 100 起受害者被重新发布到同一组织或另一个组织的泄密网站的事件。

我们创建了一个网络图并向节点添加了一些颜色编码。绿色节点代表第二个发布有关特定受害者的信息的演员。他们强调了再次受害的情况。蓝色节点代表充当受害者的起源或第一张海报的演员。当 Cy-X 演员既是首次发布者又是第二次发布者时，该节点默认为绿色。箭头是一个附加指示符。查看受害者出现的有向网络图，我们可以看到再次受害的方向。一些具有循环引用的 Cy-X 参与者在他们自己的数据泄露网站上转发了受害者。以下分析是我们当前研究的摘要，我们计划在即将发布的年度勒索软件报告Cy-Xplorer中发布更广泛的分析。
有几个集群引起了人们的注意。例如，Snatch 组织通过不断重新发布来自其他 Cy-X 操作（例如 AstroTeam、Meow、Sabbath、Karma Leaks、cactus、Quantum、Egregor 和 Marketo）的受害者来展示重新受害活动。请记住，再次受害是指犯罪受害者在未来遭受额外伤害或受害的现象。我们认为，这意味着受害者会再次经历未经授权的访问和/或数据泄露和/或数据盗窃和/或勒索和/或加密和/或声誉受损、和/或财务损失和心理伤害ETC。

在这三种假设中，受害者将再次成为受害者，经历上述的一种、几种或全部伤害。这与攻击本身的技术复杂性无关，而仅仅是因为再次被列入暗网泄露网站，受害者组织再次面临几种严重形式的伤害。

如果我们继续研究该图，我们会看到另一个集群，ALPHV，我们看到 ALPHV 重新发布了来自 MONTI、8Base 和 Qilin 的受害者（在后者中，受害者组织在同一天在两个泄漏站点 ALPHV 和 Qilin 上发布） ）。与此同时，首先出现在 ALPHV 泄露网站上的受害者组织被其他各种组织重新发布，例如 AvosLocker、LockBit、Ransomhouse、incransom、Haron、cactus 等。箭头有助于指示关系的方向性，例如，谁先行动。其他星团也表现出非常相似的模式，我们在此探索中不会深入探讨。尽管如此，网络图和上述（部分）分析向我们展示了转发受害组织的关系和模式。更具体地说，同一受害者（不是同一事件）在网络勒索领域的传播重申了我们在之前的工作中讨论过的另一个理论，即网络勒索的“机会主义本质”。网络勒索是一种大规模游戏，确保经济收益的一种方法是“在不同方面进行游戏”，以确保至少某种形式的付款。此外，从较高的层面来看，它显示了这个生态系统已经变得多么混乱。我们的所有三个假设都进一步揭示了网络犯罪生态系统的不可预测性。

因此，再次受害并不会改变网络勒索的运作方式，但它确实向我们展示了不同形式的再次受害的可能性，因此不幸的是增加了遭受网络勒索攻击的受害者组织的痛苦。最后，此类分析有助于我们了解网络犯罪生态系统的动态，在本例中是网络勒索/勒索软件威胁格局及其威胁参与者。

与首次网络攻击一样，对于受害者组织来说，解决决定受害者结果的受害者变量非常重要。简而言之，您的网络实践、您的数字足迹、您组织的数据对您的价值、威胁行为者访问您的环境的时间、您可能为增加数据泄露的“噪音”而采取的安全控制措施；所有变量都会影响您的组织对网络空间中机会主义威胁行为者的吸引力。