數(shù)據加密|圖紙加密|信息加密|文檔加密-Wonder Tech-上海騰赫信息科技有限公司

勒索軟件是一個(gè)非常棘手的問題，這一點可(kě)謂是衆所周知的事實。

在過去一年中，無論是技(jì)術(shù)小(xiǎo)白還(hái)是經驗豐富的網絡安全專業人(rén)員都已經見證了一系列的勒索軟件事件，這些(xiē)事件對全球範圍內(nèi)的企業造成了毀滅性的打擊。勒索軟件的猖獗已經到了即便是網絡安全領域以外的人(rén)，現在也已經熟悉了這個(gè)概念：網絡背後的犯罪分子找到入侵組織系統的方法，通(tōng)過鎖定它來(lái)阻止任何人(rén)的操作(zuò)行(xíng)為(wèi)，并且直至受害者組織支付完高(gāo)額贖金後，該系統才能重新恢複運行(xíng)。

新冠(COVID-19)疫情使全球各地的經濟處于災難邊緣，而2020年勒索軟件一路高(gāo)歌(gē)猛進的攻勢無疑又讓企業組織的經營能力雪上(shàng)加霜。企業組織、政府機構、學校(xiào)以及任何與之相關的事物一直是地下犯罪集團的攻擊目标，而這類組織一旦被犯罪分子鎖定，通(tōng)常毫無招架之力。

缺乏抵抗能力并不意味着它們沒有(yǒu)努力對抗敵人(rén)。但(dàn)是，即便對經驗豐富的專業人(rén)士而言，衡量和(hé)量化勒索軟件的品質與它所能造成的傷害也是一個(gè)巨大(dà)的挑戰。盡管此類事件持續曝光，但(dàn)鑒于許多(duō)組織選擇在遭受攻擊後保持沉默，而使得(de)安全産業難以估算(suàn)攻擊體(tǐ)量以及受害者的平均恢複成本。

衆所周知，勒索軟件背後的犯罪集團正在蓬勃發展，并且成功創造了衆多(duō)新的變種，更糟糕的是，他們還(hái)正在向有(yǒu)權訪問公司網絡并希望以此獲取大(dà)量非法資金的任何人(rén)提供勒索軟件及服務(RaaS)。

何為(wèi)勒索軟件及服務(RaaS)?

勒索軟件不僅購買和(hé)下載都很(hěn)方便，而且價格便宜。這種攻擊模式很(hěn)容易傳播，與其他類型的流行(xíng)攻擊相比，你(nǐ)不需要技(jì)術(shù)娴熟或擁有(yǒu)昂貴的設備，這就意味着越來(lái)越多(duō)的網絡犯罪分子正在轉向這種類型的惡意行(xíng)為(wèi)。此外，與竊取信用卡數(shù)據或個(gè)人(rén)信息相比，它還(hái)可(kě)以産生(shēng)更快的付款。也許最重要的是，由于比特币的匿名性加持，犯罪者被捕獲的風險也較低(dī)。

而為(wèi)了實現勒索軟件收益最大(dà)化，勒索軟件即服務(RaaS)便應運而生(shēng)。

勒索軟件即服務(RaaS)借鑒了軟件即服務(SaaS)模型。這種基于訂閱的惡意模型使即使是新手網絡犯罪分子也能夠毫不費力地發起勒索軟件攻擊。您可(kě)以在市場(chǎng)上(shàng)找到各種RaaS軟件包，這些(xiē)軟件包可(kě)減少(shǎo)對惡意軟件進行(xíng)編碼的需求。因此，網絡犯罪分子即便不了解如何創建勒索軟件，也能夠輕松地使用它。

在這種類似于特許經營的惡意部署模式下，網絡犯罪分子編寫勒索軟件代碼，并通(tōng)過“會(huì)員計(jì)劃”将其出售/出租給其他有(yǒu)意發動攻擊的網絡犯罪分子。他們提供有(yǒu)關如何使用該服務發起勒索軟件攻擊的技(jì)術(shù)知識和(hé)分步信息，甚至有(yǒu)一個(gè)平台可(kě)以通(tōng)過實時(shí)儀表闆顯示攻擊狀态。而為(wèi)了對受害者的系統進行(xíng)加密，會(huì)員組織會(huì)雇傭黑(hēi)客提供服務，這些(xiē)黑(hēi)客可(kě)以訪問目标網絡、獲得(de)域管理(lǐ)員特權、收集并竊取文件，然後将獲得(de)訪問所需的所有(yǒu)信息傳遞給會(huì)員組織并對其進行(xíng)加密。

一旦攻擊成功，就将贖金分配給服務提供商、編碼者和(hé)入侵網絡的黑(hēi)客以及勒索軟件會(huì)員。

根據Imperva稱，在傳統的會(huì)員營銷模式中，較大(dà)一部分費用歸屬産品所有(yǒu)者。在RaaS中……勒索軟件的作(zuò)者隻獲得(de)了少(shǎo)量資金(5%-25%)，其餘的則交給了分銷商(會(huì)員)。

這種惡性模式非常吸引網絡犯罪分子，甚至您都可(kě)以在暗網上(shàng)看到RaaS提供商的廣告。網絡犯罪分子被吸引的原因有(yǒu)很(hěn)多(duō)：首先，它使勒索軟件開(kāi)發者能夠快速賺錢(qián)。其次，對于會(huì)員，這也減少(shǎo)了他們編寫惡意代碼的需要，他們可(kě)以簡單地從暗網中以低(dī)價租用易于使用的軟件包。

2020年風頭正盛的RaaS團夥

根據安全企業Intel 471的調查結果發現，在去年與今年總計(jì)有(yǒu)25個(gè)勒索軟件及服務(RaaS)問世，而且它們發動攻擊的規模與所造成的災情幾乎無法确實統計(jì)。

過去一年中，Intel 471一直在跟蹤這25個(gè)不同的勒索軟件及服務(RaaS)組織，從知名的團體(tǐ)(他們中的一些(xiē)已經成為(wèi)勒索軟件的代名詞)到今年新問世的一些(xiē)團體(tǐ)。據悉，這些(xiē)新團體(tǐ)已經實現了技(jì)能升級，甚至完全具備取代當前頂級團體(tǐ)的能力。

以下是對過去一年中增長的勒索軟件即服務(RaaS)團隊的調查結果。不過，這并非是對勒索軟件場(chǎng)景的确定性衡量，因為(wèi)可(kě)能被視(shì)為(wèi)“破壞性”的因素(付款金額、系統停機時(shí)間(jiān)以及與攻擊者的交流)可(kě)能會(huì)因具體(tǐ)人(rén)員和(hé)事件而異。此外，還(hái)有(yǒu)一些(xiē)知名的勒索軟件團夥結成了緊密而秘密的犯罪圈子，通(tōng)過直接和(hé)私密的通(tōng)訊方式聯系，外人(rén)難以覺察。

我們要做(zuò)的是照亮那(nà)些(xiē)相對黑(hēi)暗的角落，在那(nà)個(gè)角落裏，狡猾的犯罪分子正在粗暴地蹂躏受害組織，并從中榨取人(rén)們辛辛苦苦賺來(lái)的血汗錢(qián)，而其面臨的懲罰卻十分有(yǒu)限。通(tōng)過公開(kāi)討(tǎo)論這些(xiē)行(xíng)動，整個(gè)社會(huì)可(kě)以更好地了解眼前日益嚴重的問題。

新興的Raas團夥

我們已驗證确實出現了以下團夥，但(dàn)目前，有(yǒu)關這些(xiē)團夥發起的成功攻擊、攻擊量、收到的贖金或緩解成本等方面的信息有(yǒu)限。

此類勒索軟件團夥包括CVartek.u45、Exorcist、Gothmog、Lolkek、Muchlove、Nemty、Rush、Wally、XINOF以及Zeoticus。

勒索市場(chǎng)的中堅力量

以下團夥與許多(duō)已确定的攻擊有(yǒu)關聯，并2020年前後逐漸發展壯大(dà)起來(lái)。這些(xiē)團夥中的一些(xiē)人(rén)甚至已經利用博客來(lái)“點名和(hé)羞辱”拒絕支付贖金的受害者。

此類勒索軟件包括：Avaddon、Conti、Clop、DarkSide、Pysa/Mespinoza、Ragnar、Ranzy、SunCrypt

以及Thanos等等。

(1) Avaddon

Avaddon發現于2020年3月，其利用Phorpiex僵屍網絡肆虐全網，并在感染目标電(diàn)腦(nǎo)加密文件後，索要高(gāo)達500美元的勒索贖金。據悉，Phorpiex作(zuò)為(wèi)一款具有(yǒu)蠕蟲特性的僵屍網絡，至今已感染超過100萬台的windows計(jì)算(suàn)機。Phorpiex僵屍網絡主要通(tōng)過可(kě)移動存儲介質、垃圾郵件、爆破用戶憑證、漏洞利用工具包、惡意程序安裝等多(duō)種渠道(dào)擴散的特性，也成為(wèi)此次Avaddon新型勒索病毒迅速泛濫的原因之一。目前總計(jì)攻擊次數(shù)為(wèi)10以下。

(2) Conti

Conti現身于2020年8月，屬于新興的雙重勒索軟件陣營，在以勒索軟件加密系統之前，會(huì)先下載未加密的機密資料，以在受害者拒絕支付贖金以換取解密密鑰時(shí)，作(zuò)為(wèi)進一步的勒索籌碼，已有(yǒu)部分案例顯示有(yǒu)受害者最終是為(wèi)了保護資料而選擇支付贖金。目前總計(jì)攻擊次數(shù)高(gāo)達142次。

(3) Clop

Clop是國際知名的安全軟件公司Avast 的惡意軟件研究員Jakub Kroustek于2020年3月首次發現的一種勒索軟件。該惡意軟件旨在通(tōng)過附加“ .Clop ”擴展名來(lái)加密受害計(jì)算(suàn)機上(shàng)的數(shù)據并重命名每個(gè)文件。此外，它還(hái)可(kě)能從受害機器(qì)中提取以下信息：系統時(shí)間(jiān)、操作(zuò)系統類型、語言、鍵盤語言。目前總計(jì)攻擊次數(shù)為(wèi)10次以上(shàng)。

(4) DarkSide

2020 年 8 月深信服安全團隊監測到一個(gè)新的流行(xíng)勒索軟件家(jiā)族出現，且自稱為(wèi) DarkSide。這款勒索病毒的黑(hēi)客組織會(huì)通(tōng)過獲取的信息，評估企業的财力，然後再決定勒索的金額，同時(shí)該黑(hēi)客組織還(hái)聲稱不會(huì)攻擊勒索醫(yī)療、教育、非營利及政府等機構。目前總計(jì)攻擊次數(shù)低(dī)于5起。

(5) Pysa/Mespinoza

Mespinoza勒索軟件使用了pysa作(zuò)為(wèi)文件擴展名，因此研究人(rén)員也會(huì)使用該名稱來(lái)命名該款勒索軟件。據悉，Pysa勒索軟件團夥的攻擊目标遍及多(duō)個(gè)大(dà)洲，打擊了多(duō)個(gè)政府和(hé)商業相關的網絡。目前總計(jì)攻擊次數(shù)超過40起。

(6) Ragnar

Ragnar Locker首次現身于2019年10月，其攻擊是有(yǒu)選擇性的，目标往往是公司，而不是個(gè)人(rén)用戶。包括葡萄牙跨國能源巨頭、世界第四大(dà)風能生(shēng)産商EDP的系統均遭到過攻擊，并被索要1580枚BTC(合1090萬美元)作(zuò)為(wèi)贖金。目前總計(jì)攻擊次數(shù)超過25起。

(7) Ranzy

Ranzy出現在2020年10月，似乎是ThunderX和(hé)Ako勒索軟件的變體(tǐ)，不過有(yǒu)一些(xiē)關鍵的更新，包括加密的調整，過濾的方法，以及使用公開(kāi)的“leak blog”為(wèi)那(nà)些(xiē)不遵守贖金要求的人(rén)發布受害者數(shù)據。目前總計(jì)攻擊次數(shù)僅為(wèi)1起。

(8) SunCrypt

SunCrypt 于 2019 年 10 月開(kāi)始出現，目前已加入Maze聯合組織展開(kāi)雙向合作(zuò)，并一起分享獲得(de)的收益。目前總計(jì)攻擊次數(shù)超過20起，而據統計(jì)SunCrypt數(shù)據洩漏站(zhàn)點上(shàng)也已列出了九名受害者以及存在的敏感數(shù)據文件。

(9) Thanos

2020年7/8月份，就有(yǒu)研究人(rén)員觀察到與對中東和(hé)北非的兩個(gè)國有(yǒu)組織的攻擊有(yǒu)關的文件，這些(xiē)組織安裝并運行(xíng)了Thanos勒索軟件的變體(tǐ)。據悉，研究人(rén)員于2020年1月13日首次觀測到Thanos，此後已觀測到130多(duō)個(gè)獨特樣本。最新的版本是攻擊者為(wèi)中東和(hé)北非國營組織特别設計(jì)的。該勒索軟件允許外部黑(hēi)客使用并攻擊他們的目标，使用條件是遵守與開(kāi)發者的收入分成計(jì)劃，分成約為(wèi)60%-70%。據稱，該勒索軟件允許操作(zuò)者可(kě)以自定義軟件的勒索信，修改文本以選擇他們想要的任何加密貨币，而不僅限于比特币。目前總計(jì)攻擊次數(shù)超過5起。

老牌團體(tǐ)

這些(xiē)團體(tǐ)出現頻率最高(gāo)，經常出現在各大(dà)新聞頭條中。他們都建立了微博用來(lái)“點名和(hé)羞辱”拒絕支付贖金的受害者。總體(tǐ)來(lái)說，這些(xiē)都是在過去幾年中成功獲得(de)數(shù)億勒索贖金的組織-由于部分組織拒絕上(shàng)報勒索行(xíng)為(wèi)，所以這個(gè)數(shù)字可(kě)能比實際要低(dī)得(de)多(duō)。

此類勒索軟件團夥包括DoppelPaymer、Egregor/Maze、Netwalker、REvil以及Ryuk等等。

(1) DopplePaymer

自2019年以來(lái)，DoppelPaymer就一直與BitPaymer(又名FriedEx)勒索軟件相關聯。CrowdStrike強調了這些(xiē)變體(tǐ)之間(jiān)的一些(xiē)相似之處，推測DoppelPaymer可(kě)能是由前BitPaymer成員組成。

該勒索軟件本身通(tōng)常是在網絡受到威脅并滲漏敏感數(shù)據後，再手動部署的。DoppelPaymer團隊運營着一個(gè)基于Tor的博客，名為(wèi)“Dopple leaks”，專門(mén)用于發布有(yǒu)關受感染公司及其被盜數(shù)據的信息。

該團夥曾針對墨西哥(gē)能源巨頭Pemex以及和(hé)美國聯邦政府合作(zuò)的IT承包商等全球知名組織實施了攻擊活動。不過，DoppelPaymer勒索軟件最受關注和(hé)争議的還(hái)是發生(shēng)于2020年針對杜塞爾多(duō)夫醫(yī)院的攻擊事件。由于杜塞爾多(duō)夫醫(yī)院當時(shí)遭受勒索軟件攻擊，未能收治一位需要接受緊急治療的女性患者，該患者不得(de)已被轉移到30公裏外的伍珀塔爾市一家(jiā)醫(yī)院後死亡。Doppelpaymer也由此成為(wèi)首例勒索軟件人(rén)命案的元兇。

(2) Egregor/Maze

早在文章發布前，Maze(迷宮)勒索軟件服務背後的運營團夥已經宣布将關閉其運營。有(yǒu)分析人(rén)員猜測，該組織的成員可(kě)能會(huì)被納入Egregor勒索軟件背後的服務中。Egregor在操作(zuò)上(shàng)遵循一種熟悉的模式：破壞公司網絡以竊取敏感數(shù)據并部署勒索軟件，與受害者進行(xíng)通(tōng)信并索取贖金，然後在受害者組織拒絕支付贖金時(shí)将敏感數(shù)據轉儲到博客中。

有(yǒu)證據表明(míng)，Egregor也與Sekhmet勒索軟件有(yǒu)關。Intel 471研究人(rén)員發現，Egregor包含與Sekhmet相同的Base64編碼數(shù)據，其中最後一行(xíng)包含受感染系統的其他參數(shù)。研究人(rén)員還(hái)發現，Egregor贖金記錄與Sekhmet所使用的記錄極為(wèi)相似。

此外，在針對遊戲開(kāi)發商Crytek和(hé)Ubisoft以及美國最大(dà)零售連鎖書(shū)店(diàn)Barnes & Noble的攻擊事件中也發現了Egregor的身影(yǐng)。

(3) Netwalker

NetWalker最早在2019年9月被發現，是Intel 471跟蹤到的最多(duō)産的RaaS之一。其背後的攻擊者在2020年使用了釣魚郵件攻擊，這些(xiē)郵件利用了對疫情大(dà)流行(xíng)的影(yǐng)響和(hé)恐懼來(lái)誘使受害者将惡意軟件安裝到系統中。5月，運營商啓動了一個(gè)基于Tor的博客，以發布從受害者組織那(nà)裏偷來(lái)的敏感數(shù)據，原因是這些(xiē)組織拒絕支付所要求的贖金。

NetWalker背後的攻擊者使用了無文件感染技(jì)術(shù)，據稱可(kě)以繞過Windows 7和(hé)更新版本操作(zuò)系統的用戶帳戶控制(zhì)組件。NetWalker可(kě)以在兩種模式下操作(zuò)：在“網絡模式”下，可(kě)以對單個(gè)計(jì)算(suàn)機或整個(gè)網絡的計(jì)算(suàn)機進行(xíng)勒索，而受害者可(kě)以購買具有(yǒu)主密鑰的解密工具或購買必要的密鑰以對所有(yǒu)網絡中的計(jì)算(suàn)機進行(xíng)解密。在“個(gè)人(rén)模式”下，一次贖金僅解密一台計(jì)算(suàn)機。

據稱，該組織僅在10月份就發動了25起勒索軟件事件。其中最引人(rén)注目的是針對密歇根州立大(dà)學的攻擊，不過該學校(xiào)最終選擇拒絕支付贖金。

(4) REvil

REvil是市場(chǎng)上(shàng)最普遍的勒索軟件變體(tǐ)之一，首次部署于2019年4月17日，攻擊者利用Oracle WebLogic服務器(qì)中的漏洞CVE-2019-2725實施了攻擊活動。兩個(gè)月後，XSS論壇上(shàng)開(kāi)始出現售賣勒索軟件服務的廣告。

REvil一直是最活躍的勒索軟件團夥之一，其聲稱參與了針對諸如英國金融服務提供商Travelex、美國娛樂和(hé)媒體(tǐ)法律公司Grubman Shire Meiselas&Sacks以及德克薩斯州23個(gè)地方政府的攻擊活動。

該組織獲取企業系統訪問權限最常見的方法之一就是采用遠程桌面協議(RDP)漏洞，例如 BlueGate漏洞，該漏洞允許授權用戶遠程執行(xíng)代碼。該組織代表承認最好使用信息竊取程序來(lái)獲取遠程訪問憑據，以取得(de)在公司網絡中的最初立足點。談及針對Travelex和(hé)Grubman Shire Meiselas&Sacks的攻擊，該代表稱，通(tōng)過Citrix 和(hé) Pulse Secure 虛拟專用網漏洞進行(xíng)遠程代碼攻擊，三分鍾內(nèi)就可(kě)以訪問整個(gè)網絡。

當該組織自己進行(xíng)攻擊時(shí)，它發現RaaS模型可(kě)以帶來(lái)更多(duō)收益。REvil的會(huì)員負責訪問目标網絡，下載有(yǒu)價值的文件并部署實際的勒索軟件，而REvil團夥則負責受害者談判以及勒索，勒索贖金和(hé)分發。這種模式顯然導緻了利潤的飛漲：根據REvil的說法，一個(gè)會(huì)員的收入從每個(gè)目标約20,000美元增加到30,000美元，而另一家(jiā)RaaS提供的收益在與REvil聯手後僅六個(gè)月內(nèi)就達到了每個(gè)目标約700萬美元至800萬美元。

(5) Ryuk

Ryuk這個(gè)名字可(kě)以說已經發展成了勒索軟件的同義詞，因為(wèi)該變種是最受歡迎的勒索軟件之一，具有(yǒu)強大(dà)的聯盟計(jì)劃和(hé)大(dà)量受害者。

Ryuk是通(tōng)過使用Trickbot僵屍網絡和(hé)Emotet惡意軟件進行(xíng)最後階段交付的勒索軟件。最近，該勒索軟件還(hái)通(tōng)過Bazar loader進行(xíng)交付。

Ryuk的會(huì)員在攻擊中遵循的模式是：雇用參與者發起垃圾郵件活動以傳播銀行(xíng)惡意軟件。然後，另一組參與者在受感染的公司網絡內(nèi)進行(xíng)提升權限，最後，團隊開(kāi)始部署勒索軟件并處理(lǐ)與受害者的談判。

過去一年裏，Ryuk勒索軟件已經實現了爆炸式增長，全球數(shù)百萬起勒索軟件事件中都有(yǒu)它的份。一些(xiē)安全研究人(rén)員估計(jì)，在今年發起的勒索軟件攻擊中，有(yǒu)多(duō)達三分之一的事件涉及Ryuk。

Ryuk今年一直集中針對醫(yī)療保健領域進行(xíng)勒索攻擊。其中引發最大(dà)關注的就是針對美國最大(dà)的醫(yī)院系統之一的Universal Health Services進行(xíng)的勒索攻擊。

轉自嘶吼網/小(xiǎo)二郎

相關鏈接：https://www.techrepublic.com/article/ransomware-as-a-service-is-exploding-be-ready-to-pay/

本文翻譯自：https://intel471.com/blog/ransomware-as-a-service-2020-ryuk-maze-revil-egregor-doppelpaymer/