Conti 與 LockBit:十大勒索病毒集團的機密情資外洩, 45 % 都是它們做的!

趨勢科技藉由數據分析來比較 Conti 和 LockBit 兩大勒索病毒集團的攻擊目標偏好與經營模式。

Conti 與 LockBit:十大勒索病毒集團的機密情資外洩, 45 % 都是它們做的!

從 2019 年 11 月至今,趨勢科技一直在密切監控多個勒索病毒集團的資料外洩網站,並持續分析其受害機構的數量與分布情況,以及這些集團公開了哪些受害者資訊。根據我們目前研究的結果顯示,ContiLockBit 兩大集團的受害機構數量明顯高其他集團。我們的研究目的是要示範如何透過數據分析方法來深入掌握這些犯罪集團的運作方式,甚至是決策方式,我們與 Waratah Analytics 的同仁合作,在都柏林舉行的第 34 屆 Annual FIRST Conference 上發表這項研究。儘管某些報導指出 Conti 這個品牌早已終止營運,但由於它規模龐大,因此仍然是這類研究的絕佳案例。

當我們根據資料遭勒索病毒集團外洩的機構數量 (2019 年 11 月至 2022 年 3 月) 來列出 10 大勒索病毒集團排行榜時,有兩個集團特別突出:Conti 和 Lockbit。事實上這兩個集團加起來幾乎占了所有案例的 45%。

排行勒索病毒集團受害機構數量
1Conti805
2Lockbit666
3Maze330
4REvil/Sodinokibi309
5Pysa307
6DoppelPaymer206
7Egregor197
8Avaddon184
9NetWalker178
10Clop119
表 1:10 大勒索病毒集團 (根據 2019 年 11 月至 2022 年 3 月之間的受害機構數量)。

此處我們對比分析了這兩大集團的受害機構,並尋找兩者攻擊偏好的差異。 

每月受害機構數量

圖 1:Conti 與 LockBit 受害機構數量逐月比較與累計 (2020 年 8 月至 2022 年 3 月)。


從 2020 年 8 月開始,Conti 每個月都一直維持著相當大的受害機構數量,儘管不同月份各有增減。我們從 2020 年 9 月起即開始關察 LockBit 集團,但該集團每個月的受害機構數量非常稀少,僅 1 至 3 個。此外從 2021 年 1 月起,該集團原本的資料外洩網站就已停擺,不再張貼任何新的受害者。不過,自 2021 年 7 月該集團重出江湖並推出所謂的 LockBit 2.0 以來,其受害機構便開始超越 Conti,成為最活躍的勒索病毒集團。截至 2022 年 3 月為止,LockBit 的受害機構總數已迎頭趕上,預計到了 2022 年 8 月左右就會超越 Conti,成為受害機構數量最多的勒索病毒集團。然而 Conti 似乎早在 2022 年 5 月就已 停止運作,或者至少是在進行品牌重整,所以幾乎確定 LockBit 將比預期的更早超越 Conti。

◼延伸閱讀: 勒索病毒LockBit 再進化,新增雙重勒索功能,足跡遍及台灣、智利、義大利和英國

圖 2:根據 2021 年 7 月至 2022 年 3 月的資料 (在 Conti 終止營運之前) 來預測,Conti 與  Lockbit 的受害機構數量曲線未來將出現交叉。


受害機構的地區分布

圖 3:Conti (左) 與 LockBit (右) 受害機構的地區分布 (2019 年 11 月至 2022 年 3 月)。


就受害機構的地區分布來看,我們看到 Conti 和 LockBit 的差異很大。Conti 有 93% 的受害機構都集中在北美和歐洲兩個地區,相形之下 LockBit 只有 68% 的受害機構位於這兩個地區。所以,LockBit 的受害機構地區分布較為分散,有許多受害機構位於亞太、南美/拉丁美洲、中東,以及其他地區。

如果比較 Conti 和 LockBit 受害機構的地區分布與區域 GDP 排行,那麼 LockBit 的分布情況與區域 GDP 排行的情況比較類似 (除亞太地區之外)。所以 LockBit 似乎比較不像 Conti 那樣專挑特定地區來發動攻擊。

圖 4:Conti (左) 與 LockBit (中) 受害機構的地區分布 (2019 年 11 月至 2022 年 3 月) 以及區域 GDP (右) 排行 (截至 2022 年 3 月)。


若仔細檢視亞太地區受害機構所在的國家和區域,就會發現 Conti 的受害機構有許多是位於講英語的國家,如:澳洲、印度、紐西蘭、新加坡。反觀 LockBit 受害機構分布的國家比較零散。

圖 5:Conti (左) 與 LockBit (右) 受害機構在亞太地區的分布 (2019 年 11 月至 2022 年 3 月)。


相較於亞太地區的整體 GDP 而言,Conti 和 LockBit 在該地區的受害機構數量算是很少,意味著當地的語言和文字對這兩個犯罪集團來說或許是一種障礙,因為他們必須在受害機構內部搜尋可竊取的機密資訊。

若以簡單的滾動平均值來觀察受害機構分布情況的長期變化,我們會發現 Conti 對歐洲機構的攻擊數量正在成長。 

圖 6:每一地區 Conti 受害機構數量滾動平均值 (2020 年 11 月至 2022 年 3 月)。


Conti 對亞太地區機構的攻擊正在逐漸增加

此外,若仔細研究前兩名地區以外的地區,就會發現 Conti 對亞太地區機構的攻擊正在逐漸增加。

圖 7:去除北美與歐洲以外的每一地區 Conti 受害機構數量滾動平均值 (2020 年 11 月至 2022 年 3 月)。


LockBit 針對歐洲機構的攻擊數量也稍有增加,但它在每一地區的分布情況大致維持穩定。

圖 8:每一地區 LockBit 受害機構數量滾動平均值 (2021 年 11 月至 2022 年 3 月)。


受害機構的產業分布


如果就受害機構的產業分布來看,我們發現 Conti 和 LockBit 在各產業的分布情況幾乎都相當平均 (前 15 名的產業及順序都相同),而且它們對各產業的攻擊偏好似乎也沒有太大差別,意味著它們並未特別瞄準特定產業。

圖 9:Conti (左) 與 LockBit (右) 受害機構的產業分布 (2019 年 11 月至 2022 年 3 月)。


受害機構的員工數量分布



如果就受害機構的員工數量來看,我們發現 LockBit 比 Conti 更常攻擊小型企業。

 

圖 10:Conti (左) 與 LockBit (右) 受害機構的員工數量分布 (2019 年 11 月至 2022 年 3 月)。


同樣地,如果就每月數量滾動平均值的長期變化來看,LockBit 受害機構的員工數量較為穩定,相對地,Conti 這方面的變化較大,而且沒有固定的攻擊偏好。

圖 11:Conti (上) 與 LockBit (下) 受害機構員工數量滾動平均值 (Conti:2020 年 11 月至 2022 年 3 月,LockBit:2021 年 11 月至 2022 年 3 月)。


結論


以上數據分析所看到的現象,還可更進一步配合其他威脅情報來源,比方說,Conti 曾誓言絕不攻擊俄羅斯盟友,如:前蘇聯國家及中國。此外,也有報導指出 Conti 偏愛攻擊大型機構,因為這些機構有較多營收可支付贖金,因此獲利較高。

至於 LockBit 集團則曾經表示他們在挑選 目標時只看錢、不受政治關係影響。同時也曾表示 他們的首腦在香港。由於攻擊自己所在國家或地區的企業機構會增加被當地警方調查或逮捕的風險,因此從駭客的角度來看,避免攻擊自己所在國家或地區是一種必然現象。

假使將這些數據分析套用到其他勒索病毒集團,然後再搭配其他來源的情報及資料外洩事件,我們就有機會深入掌握個別集團的特性。不僅如此,還可能了解駭客的目標偏好以及經營模式,同時還可迅速發覺駭客攻擊趨勢的變化。不論是針對當前的分析或是針對未來的預測,這些數據對許多人都很有幫助,包括:想知道該投資何種資安產品的網路防禦者、想要更了解資安風險的保險業者,以及執法單位。

◼原文出處:Conti vs. LockBit: A Comparative Analysis of Ransomware Groups
作者:Shingo Matsugaya、Matsukawa Bakuei 與 Vladimir Kropotov