4000-110-253
勒索軟件即服務已成為(wèi)新流行(xíng)的“疫情”. 2020-12-17
過去的一年中,我們見證了一系列勒索軟件的攻擊,攻擊摧毀了全球的很(hěn)多(duō)企業。即使不是網絡安全行(xíng)業的從業人(rén)員,都已經知道(dào)犯罪分子已經找到通(tōng)過網絡進入公司的方法,然後犯罪分子可(kě)以鎖定計(jì)算(suàn)機使之不可(kě)用,直到公司支付了相關的贖金才會(huì)恢複。
COVID-19 的大(dà)流行(xíng)使得(de)很(hěn)多(duō)國家(jiā)的經濟處于下滑的邊緣,勒索軟件猛烈的攻擊勢頭進一步考驗了許多(duō)公司的經營狀況。
衆所周知,勒索軟件背後的網絡犯罪團夥正在蓬勃發展,不斷創造新的變種,并且在非法市場(chǎng)提供了能夠訪問其他公司內(nèi)部網絡的權限。過去一年中,Intel 471 追蹤了 25 個(gè)不同的勒索軟件即服務(RaaS)的服務。我們旨在更好地了解網絡犯罪的的真實情況,全社會(huì)可(kě)以更好地了解這一日益嚴重的問題。
新興的 RaaS
| 名稱 | 發現時(shí)間(jiān) | 重大(dà)事件 | 市場(chǎng) | 博客 |
|---|---|---|---|---|
| CVartek.u45 | March 2020 | 無 | Torum | 無 |
| Exorcist | July 2020 | 無 | XSS | 無 |
| Gothmog | July 2020 | 無 | Exploit | 無 |
| Lolkek | July 2020 | 無 | XSS | 無 |
| Muchlove | April 2020 | 無 | XSS | 無 |
| Nemty | February 2020 | 1 | XSS | 有(yǒu) |
| Rush | July 2020 | 無 | XSS | 無 |
| Wally | February 2020 | 無 | Nulled | 無 |
| XINOF | July 2020 | 無 | Private Telegram channel | 無 |
| Zeoticus | 1.0 Dec. 2019, 2.0 Sept 2020 | 無 | XSS/Private channels | 無 |
崛起的 RaaS
以下變種确認與許多(duō)攻擊有(yǒu)關,其攻擊頻率在 2020 年有(yǒu)所增加,通(tōng)常會(huì)在博客上(shàng)挂出受害者的相關信息以羞辱拒絕支付贖金的公司。
| 名稱 | 發現時(shí)間(jiān) | 相關攻擊數(shù)量 | 市場(chǎng) | 博客 |
|---|---|---|---|---|
| Avaddon | March 2020 | 低(dī)于 10 | Exploit | 有(yǒu) |
| Conti | August 2020 | 142 | Private | 有(yǒu) |
| Clop | March 2020 | 超過 10 | N/A | 有(yǒu) |
| DarkSide | August 2020 | 低(dī)于 5 | Exploit | 有(yǒu) |
| Pysa/Mespinoza | August 2020 | 超過 40 | N/A | 有(yǒu) |
| Ragnar | December 2019 | 超過 25 | Exploit | 有(yǒu) |
| Ranzy | October 2020 | 1 | Exploit & XSS | 有(yǒu) |
| SunCrypt | October 2019 | 超過 20 | Mazafaka | 有(yǒu) |
| Thanos | August 2020 | 超過 5 | Raid | 無 |
規模龐大(dà)的 RaaS
這些(xiē)規模龐大(dà)的 RaaS 在江湖(hú)中占有(yǒu)很(hěn)高(gāo)的地位,很(hěn)多(duō)攻擊都與他們有(yǒu)關,整體(tǐ)倆看已經賺到了數(shù)億美元的收入,考慮到有(yǒu)些(xiē)未披露的攻擊事件,實際數(shù)字會(huì)比這更高(gāo)。
DoppelPaymer
自 2019 年以來(lái),DoppelPaymer 與 BitPaymer(又名 FriedEx )有(yǒu)關。CrowdStrike 強調了這些(xiē)變體(tǐ)之間(jiān)的一些(xiē)相似之處,并推測 DoppelPaymer 可(kě)能是出自前 BitPaymer 開(kāi)發成員的手筆。
DoppelPaymer 團隊基于 Tor 運營着一個(gè)名為(wèi) “Dopple leaks” 的博客,該博客用于發布有(yǒu)關受感染公司及其被盜數(shù)據的信息。受害者包括諸如墨西哥(gē)能源巨頭 Pemex 和(hé)與美國聯邦政府合作(zuò)的 IT 承包商等。
DoppelPaymer 勒索軟件最受關注、最引起争議的是 2020 年 9 月針對杜塞爾多(duō)夫大(dà)學醫(yī)院的攻擊。攻擊者者實際上(shàng)是想以杜塞爾多(duō)夫大(dà)學為(wèi)目标,但(dàn)最終先感染了其醫(yī)院。攻擊者後續向醫(yī)院發送了數(shù)字密鑰使醫(yī)院恢複正常運轉。
Egregor/Maze
在發布此報告時(shí),Maze 勒索軟件即服務背後的維護者宣布将關閉運營。有(yǒu)人(rén)猜測,Maze 組織的成員可(kě)能會(huì)被納入 Egregor 勒索軟件背後的維護組織中。Egregor 在操作(zuò)中遵循一種熟悉的模式:“攻陷公司網絡以竊取敏感數(shù)據并部署勒索軟件,與受害者進行(xíng)通(tōng)信并索取贖金,然後在受害者拒絕支付贖金時(shí)将敏感數(shù)據在博客上(shàng)發布”。
有(yǒu)證據表明(míng),Egregor 也與 Sekhmet 勒索軟件有(yǒu)關。Intel 471 的研究人(rén)員發現,Egregor 包含與 Sekhmet 相同的 Base64 編碼數(shù)據,其中最後一行(xíng)包含來(lái)自失陷主機的其他參數(shù)。研究人(rén)員還(hái)發現,Egregor 的勒索信息與 Sekhmet 所使用的勒索信息是極為(wèi)相似的。
在 Crytek、Ubisoft 和(hé) Barnes&Noble 的攻擊事件中也發現了 Egregor 的身影(yǐng)。
Netwalker
NetWalker 最早在 2019 年 9 月被發現,是 Intel 471 跟蹤的最活躍的服務之一。它背後的攻擊者在 2020 年率先使用了與 COVID-19 疫情大(dà)流行(xíng)有(yǒu)關的釣魚郵件感染受害者。5月,其運營者啓用了一個(gè)基于 Tor 的博客,以發布那(nà)些(xiē)拒絕支付贖金的受害者那(nà)裏偷來(lái)的敏感數(shù)據。
攻擊者使用了無文件感染技(jì)術(shù),據稱可(kě)以繞過 Windows 7 和(hé)更新版本操作(zuò)系統的 UAC。NetWalker 可(kě)以在兩種模式下操作(zuò):在“網絡模式”下,可(kě)以控制(zhì)單個(gè)計(jì)算(suàn)機擴展到整個(gè)網絡進行(xíng)勒索,而受害者可(kě)以購買具有(yǒu)主密鑰的解密工具或購買必要的密鑰以對某些(xiē)計(jì)算(suàn)機進行(xíng)解密。在“個(gè)人(rén)模式”下,一次贖金隻針對一台計(jì)算(suàn)機。
據稱,該組織僅在上(shàng)個(gè)月就披露了 25 起與之有(yǒu)關的事件。Netwalker 攻擊中最引人(rén)注目的目标是密歇根州立大(dà)學,且該大(dà)學拒絕支付贖金。
REvil
REvil 是市場(chǎng)上(shàng)最常見的勒索軟件變體(tǐ)之一,首次被發現于 2019 年 4 月 17 日,攻擊者利用了 Oracle WebLogic 服務器(qì)中的漏洞(CVE-2019-2725)。兩個(gè)月後,在 XSS 論壇上(shàng)開(kāi)始出現銷售廣告。
REvil 一直是最活躍的勒索軟件團夥之一,聲稱對諸如英國金融服務提供商 Travelex,美國娛樂和(hé)媒體(tǐ)法律公司 Grubman Shire Meiselas&Sacks 以及美國德克薩斯州 23 個(gè)地方政府的攻擊負責。
REvil 獲得(de)訪問權限的最常見方式之一是通(tōng)過遠程桌面協議(RDP)漏洞,例如 BlueGate 漏洞,該漏洞允許用戶遠程執行(xíng)代碼。在 Travelex 和(hé) Grubman Shire Meiselas&Sacks 的攻擊案例中,通(tōng)過利用過時(shí)的 Citrix 和(hé) Pulse Secure 遠程訪問軟件可(kě)在“大(dà)約三分鍾內(nèi)”訪問整個(gè)網絡。
REvil 發現 RaaS 的運營模式有(yǒu)利可(kě)圖,這種模式顯然導緻了利潤的飛漲。根據 REvil 的說法,一個(gè)會(huì)員的收入從每個(gè)目标約 2 萬美元已經增長到 3 萬美元。
Ryuk
Ryuk 幾乎可(kě)以說是勒索軟件的同義詞,因為(wèi)該變種是最受歡迎的勒索軟件之一,有(yǒu)着大(dà)量的受害者。一開(kāi)始,Ryuk 與 Trickbot 和(hé) Emotet 在感染鏈中聯合攻擊。最近,我們還(hái)發現了 Ryuk 通(tōng)過 Bazar Loader 投遞。
過去一年裏,Ryuk 爆炸式增長,對全球數(shù)百萬起勒索軟件事件負責。一些(xiē)安全研究人(rén)員估計(jì),在今年發起的勒索軟件攻擊中,有(yǒu)多(duō)達三分之一都與 Ryuk 有(yǒu)關。而 Ryuk 今年的攻擊目标一直集中在醫(yī)療保健領域。
參考來(lái)源 Intel471
轉自freebuf/Avenger
