勒索软件调查：Ryuk依然是最大威胁

思科Talos事件响应（CTIR）团队近日的事件响应趋势调研显示，Ryuk依然是最大威胁，且已经连续四个季度在勒索软件威胁领域占据主导地位。

调查结果显示，Ryuk的运营商正在改变策略，给受新冠疫情影响的组织带来更大的风险。

CTIR总经理Sean Mason表示，Ryuk在过去一年一直是对客户的最大勒索软件威胁，尽管该团队还观测到了其他勒索软件家族，包括Phobos和Maze。

Mason解释说，在过去的几个季度中，Ryuk的发展方式表明其运营商正在改变攻击策略，“我们确实看到了Ryuk的一种新的攻击趋势，不一定会借助商品木马感染，这种新手法可能会使它在一段时间内难以被发现，并导致感染增加。”

CTIR发现通过Emotet和TrickBot“投放”的Ryuk勒索软件攻击事件有所减少，这是整体上使用商品木马攻击较少的原因之一。Ryuk的操作者开始转而使用非现场工具，这可以帮助他们绕过安全工具，保持静默并为实现目标争取更长的时间窗口。

Mason指出：

通过降低噪声，并尽最大努力进行伪装，Ryuk等勒索软件试图绕过检测并为横向移动达成目标争取更多时间。

Ryuk还在其他方面“进化”，例如使用已编码的PowerShell命令下载初始有效负载，禁用防病毒和安全工具，停止备份以及扫描网络以提供联机主机与脱机主机的列表。除了PsExec之外，Ryuk的运营商还更多使用Windows Management Instrumentation（WMI）和BitsAdmin来部署Ryuk。CTIR看到勒索软件攻击者开始窃取敏感数据以用作迫使受害者支付赎金的手段，这一趋势延续了从2019年开始的趋势。

随着攻击者发现勒索软件是一种有利可图的商业模式，攻击者积极通过添加新模块来不断更新其恶意软件，以增加横向移动和数据泄露能力。

CTIR报告说，过去一个季度出现了一系列垂直行业领域的勒索软件攻击事件，包括：能源和公用事业、金融服务、政府、医疗保健、工业分销、制造业、零售、技术、电信和运输。医疗保健和科技行业遭受的打击最大，取代了金融服务和政府，成为一季度勒索软件的主要目标。