Sophos发现Hive、LockBit和BlackCat攻击同一网路

Sophos 在 Sophos X-Ops 的主动攻击者白皮书《多重攻击者：一个迫切的危机》说明，Hive、LockBit 和 BlackCat 等三个著名的勒索软体集团连续攻击了同一个网路。前两次攻击发生在两个小时内，第三次攻击则是发生在两周后。每个勒索软体分子都留下了自己勒索注记，而部分档案遭到三次加密。

Sophos 资深安全顾问 John Shier 表示：「收到一张勒索注记就已经够糟糕了，更不用说三张。多个攻击者使得复原的复杂性高到难以想像的程度，特别是当网路档案被三次加密时。对于任何规模和类型的组织来说，具备预防、侦测和回应功能的网路安全非常重要，因为任何企业都无法幸免。」

该白皮书进一步描绘了网路攻击重叠的其他案例，包括加密挖矿程式、远端存取木马程式 (RAT) 和僵尸程式。过去，当多个攻击者锁定同一个系统时，攻击通常会持续数月或数年。Sophos 白皮书中指称的攻击则是发生在数天或数周内 (甚至在某个案例中是同时发生)，通常是不同攻击者透过同一个有漏洞的入口点入侵被锁定的网路。

通常，犯罪集团会争夺资源，多个攻击者同时行动时会相互阻碍。加密挖矿程式通常会杀死在同一个系统上的竞争对手，而今日的远端存取木马程式在犯罪论坛上则是标榜有能力杀死僵尸程式。然而，在出现三个勒索软体集团的攻击中，系统上最后一个入侵的勒索软体分子 BlackCat 不仅删除了自己的活动足迹，还删除了 LockBit 和 Hive 的。在另一个案例中，系统则是被 LockBit 勒索软体感染。大约三个月后，据称与 Conti 有关的组织 Karakurt Team 成员利用 LockBit 留下的后门来窃取资料并进行勒索。

Shier 说：「总体而言，勒索软体集团之间似乎不彼此敌对了。事实上，就像 Sophos 白皮书所述，LockBit 并没有明确禁止自己人与竞争对手合作。虽然我们还没有找到合作的证据，但有可能是攻击者体认到在竞争日益激烈的市场中，存在的『资源』数量是有限的。或者，他们相信对目标施加的压力越大——即多次攻击——受害者付钱的可能性越大。也许他们讨论过并同意互惠互利，例如一组人加密资料，另一组负责偷窃。有时，这些团体得要决定是否要合作——是接受合作还是让自己更强——但是，目前的竞争环境是允许不同团体合作进行多次攻击的。」

白皮书中指出的攻击，大多数都是透过未经修补的漏洞入侵开始，其中最值得注意的是 Log4Shell、ProxyLogon 和 ProxyShell，或是设定错误、远端桌面通讯协定 (RDP) 不安全的伺服器。在出现多个攻击者的绝大部分案例中，受害者并未完全修复初始攻击，使后来的网路犯罪活动有可趁之机。如相同的 RDP 设定错误以及 RDWeb 或 AnyDesk 等应用程式，都会成为后续攻击入侵的途径。事实上，有漏洞的 RDP 和 VPN 伺服器是暗网上最受欢迎的销售物件。

Shier 补充，「正如最新的《主动攻击者剧本》 中所述，Sophos 在 2021 年开始看到组织同时成为多个攻击的受害者，并表明这可能会是一个逐渐成长的趋势。虽然这个说法还只是臆测，但有漏洞的系统垂手可得，的确为网路犯罪分子提供了一个方向。」

若要了解多重网路攻击的详细信息，包括进一步研究地下犯罪活动以及保护系统免受此类攻击的实用建议，请阅读 Sophos .com 上的完整白皮书《多重攻击者：一个迫切的危机》。