勒索软件的情况从坏到更坏

这种协作使威胁组织可以更轻松地分发勒索软件，而不必自己进行任何初始的网络破坏。
将跨不同专业的犯罪集团之间的协作的出现描述为2019年最重要的勒索软件开发之一。“恶意软件威胁者正在越来越多地交易他们的工作，”他说。“这导致黑客出售对已经受到威胁的网络的访问权。”
Wearn说，通过前体感染来勒索软件的高度针对性使用来确定合适的勒索付款是另一个大问题。
在许多攻击中，威胁行为者首先会用Emotet和Trickbot等恶意软件感染目标网络，以尝试收集尽可能多的有关网络系统的信息。目的是找到高价值的系统并对其加密数据，以便受害者更有可能付款。
Sinitsyn说：“如果我们放眼全局，我们会发现正在发生变化的是威胁行为者分发特洛伊木马和选择受害者的方法。” 如果五年前几乎所有勒索软件都是大规模的，主要的传播媒介是通过垃圾邮件，那么如今，许多犯罪分子正在使用有针对性的攻击。
辛尼辛说：“威胁分子进行侦察，以便找到大型公司，政府机构或市政网络，并试图破坏防御。” 由于犯罪分子知道与谁打交道，他们倾向于将赎金数额定得很高。
Sinitsyn说，另一个值得注意的趋势是犯罪事件的增加，犯罪分子不仅加密受害者的数据，而且在感染过程中还泄露了其中的一些数据。它为威胁参与者提供了更多的勒索手段。他补充说：“如果受害者不愿支付费用，（例如，因为他们在异地拥有一致的备份），罪犯将威胁将一些被盗的数据公开。” 以这种方式使用的勒索软件的一个例子是Maze，有人认为该工具在最近对Pensacola的攻击中使用，该威胁的参与者要求提供100万美元的赎金。
恶意软件的日益成熟
在野外部署的大多数勒索软件系列都是千篇一律的。即使使用混淆处理来进行某种检测的勒索软件，通常在开始实际加密文件时也会被检测到。但是，Sophos的首席研究员安德鲁•勃兰特（Andrew Brandt）说，某些威胁行为者正在使用非常复杂的工具。作为一个示例，他指出了使用“杀伤力列表”的勒索软件尝试并终止反恶意软件工具。
他说，另一个例子是勒索软件，该勒索软件将自己设置为以Windows内置安全模式运行的服务，然后在开始加密硬盘驱动器之前将系统重新引导至安全模式。布兰特说：“启动到安全模式实际上可以终止几乎所有端点保护工具。” Sophos 最近发现了Snatch上添加的安全启动功能，Snatch是安全供应商已经跟踪了一年的针对目标攻击的勒索软件样本。
布兰特说：“ 最明显的进步是采用自动主动攻击技术的勒索软件攻击者的增加。” 布兰特说，在这些攻击中，威胁行为者使用自动化恶意软件来快速分析受感染的环境，并在目标网络中横向传播，或者触发同一环境中多台计算机的同时感染。