如果各种规模的企业不支付赎金,这些勒索软件卡特尔将泄露您的数据。现在,一种名为“双重勒索”的新型勒索软件技术随着疫情的爆发而愈演愈烈,这种技术不仅可以锁定公司的文件,还可以迫使其支付赎金或公开泄露其数据。随着勒索软件攻击的增加,勒索软件的这种演变使公司以及使用这些公司产品的消费者陷入困境。查看这些数字,很容易看出原因:70%的受勒索软件攻击的企业支付了赎金,遭受20,000至40,000美元勒索软件攻击的消费者支付了500-1,000美元的赎金勒索软件将使网络犯罪分子在2021年净赚200亿美元网络犯罪可能使企业蒙受损失2019年至2023年的额外成本和收入损失达5.2万亿美元更糟糕的是,网络犯罪团伙针对各种规模的组织:2019年62%的网络犯罪受害者是中小企业。但不仅仅是企业担心勒索软件的威胁不断上升??。跟踪一种名为“双重勒索”的新型勒索软件策略的网站的创建者卢卡梅拉告诉Cyber??News,消费者显然应该比有关企业获得勒索软件的消息更担心。“由于双重勒索,大量数据,在许多情况下甚至数百千兆字节(GB),被转移到犯罪分子手中,”他说,这非常令人担忧。“知道您的个人数据、身份证扫描件、简历、账单、工资单、采购订单或任何其他此类信息正在被国际犯罪组织、国际犯罪分子或当地诈骗者访问时,您感觉如何?“如果这些勒索软件卡特尔出售消费者的个人数据,这些数据将被用于从网络钓鱼到身份盗用的任何事情。因此,一般来说,每个人都应该担心勒索软件及其大规模增长。REvil的双重勒索策略REvil,也被称为作为Sodin或Sodinokibi,是一个勒索软件组织,最先对勒索软件使用“双重勒索”策略,双管齐下锁定公司文件。如果公司没有按时支付赎金,就会公开。REvil可能来自现已解散的GandCrab犯罪团伙,主要基于REvil在GandCrab退出后立即活跃起来,以及两个团伙使用的勒索软件有明显的相似性。GandCrab声称已经支付了超过20亿美元的赎金,其运营商每周赚取250万美元。REvil于2020年6月首次使用双重勒索策略,当时它正在拍卖从一家拒绝支付赎金的加拿大农业生产公司窃取的数据。从那以后,Maze和DoppelPaymer卡特尔等相互竞争的勒索软件组织采用了相同的策略,不幸的是,它们都取得了成功。例如,在2019年底,Maze卡特尔袭击了犹他大学。当大学成功地从备份中恢复数据时,Maze在数据加密之前窃取了数据并威胁要泄露学生数据。结果,犹他大学被迫支付了457,059美元的赎金。如果不采用双重勒索方式,网络犯罪集团将自食其果。随着业务结构的变化需要注意的另一件事是:勒索软件集团不仅在策略上“进化”了,而且在组织结构上也发生了“进化”。在将特定勒索软件病毒与特定群体相关联之前,类似于黑手党或商业组织的“卡特尔”已经形成。这些卡特尔也有“子公司”为他们做事,例如特权升级。主组织利用附属组织留下的后门和beacon植入勒索软件并窃取数据,然后传递窃取的数据和攻击信息。作为回报,他们获得一定比例的股息。在黑客论坛上招募Darkside勒索软件团伙的附属附属计划要么通过卡特尔将目标分发给较小的附属团队,要么团队自己寻找目标。一旦目标网络被渗透,他们就会将数据传递给卡特尔并收取费用。然后卡特尔提取数据并在目标系统上加密该数据。此外,他们还与其他网络犯罪团伙合作,共享资源,协调受害者数据泄露和勒索受害者。例如,MazeCartel是勒索软件组织Maze、LockBit、RagnarLocker之间的协作。除此之外,这些勒索软件卡特尔还增加了他们的服务产品以模仿基于订阅的软件即服务(SaaS)模型。这些卡特尔现在提供“勒索软件即服务”,勒索软件行业的新进入者(个人或团体)不再需要开发自己的恶意软件或拥有必要的基础设施,这些组织有一个“为你完成”的模式即使是非技术攻击者也可以利用它来攻击和勒索受害者。衡量双重勒索在过去几个月查看来自LucaMella的双重勒索追踪器的数据时,我们可以看到公开披露的违规数量激增:在查看可供下载的公共数据库总数时,我们注意到了同样的趋势:值得注意的是,受勒索软件攻击影响的公司的真实数量是未知的。梅拉告诉Cyber??News:“在双重勒索中,我们只注意到整个活动的一小部分。尤其是在谈判中支付赎金的公司没有引起注意,几家网络保险也涵盖了赎金。”检查任何趋势一种方法是简单地查看攻击者泄露的漏洞数量。这可能与双重勒索策略有关——卡特尔可能会泄露受影响公司数据库的部分内容,以协助其“谈判”。事实上,正是出于这个确切的原因,我们已经发生了一些泄密事件,例如,在总部位于迈阿密的Intcomex:然而,仅查看已宣布或泄露的违规行为并不能真正呈现正确的情况。当我们查看勒索软件参与者声称的泄密事件时,趋势变得更加清晰:尽管Mella的分析仅从2020年8月开始,但趋势很明显——勒索软件随着时间的推移而增加,不同的网络犯罪团伙随着时间的推移增加其产量。他们的攻击重点非常广泛,制造业和零售业是受灾最严重的行业:在运行跟踪器一段时间后,Mella得出了一个清醒的结论:双重勒索运营商似乎根本没有针对他们选择的目标进行攻击区别。“我最初认为这些团伙只针对高价值的巨额支出,”米拉告诉《网络新闻》,“但数据显示,他们实际上在攻击所有类型的公司:从市值数十亿美元的公司到市值500万美元的公司。”以美元计价的本地中小企业。”他还指出,他们通常以一些专业服务公司、律师事务所和零售企业为目标,这可能是因为他们传统上对网络安全的准备不如银行等成熟行业。不足的。“最让我吃惊的是受影响的行业众多,其中包括许多医疗保健和非营利组织。”在查看哪些勒索软件组织或分支机构领导了这些攻击时,我们可以看到Conti、Netwalker和Maze占所有攻击的53%以上:但是,由于MazeCartel与Conti和RagnarLocker合作,它们可以被视为主要攻击群体,合计占所有攻击的39%。收集大部分数据的勒索软件和流行病Mella表示,全球Covid-19流行病加速了双重勒索,针对私人和公共组织的团伙从业务中断中获利,扩大附属计划,僵尸网络增加了他们的武器库工具。据梅拉说,这种流行病是许多数字现象的催化剂,包括双重勒索。Covid-19的威胁和封锁都加剧了双重勒索的影响,网络攻击通常分为两类:改变公司的IT和外部威胁。“几天之内,许多公司被迫打开安全防御,将大量劳动力投入智能工作,同时引入新技术。”Meera告诉Cyber??News,“在短时间内发生了如此多的变化,只有那些拥有最佳安全态势的人才能正确应对。现在,每个公司都必须考虑这些增加的风险并加以应对。”在外部方面,他认为网络犯罪分子已经意识到了这些弱点,并且已经在加大力度。“2019年底,总共只有两三个双重勒索附属服务;到2020年,这个数字将增长10倍左右,”他告诉Cyber??News。结论:勒索软件在2020年已经是一个大问题,其轨迹表明它将在2021年及以后成为一个更大的问题。这种攻击不如现代攻击方法有效:文件没有加密,而是隐藏在受害者的计算机上,唯一加密的是文件名。即使这样,解密密钥也可以在木马代码中找到。到了2000年代中期,勒索软件开始流行起来。到2006年,GPCode等恶意软件开始出现在公司计算机上,并以.doc、.html、.jpg、.xls、.zip和.rar等扩展名加密计算机驱动器上的文件。然后,勒索软件会在每个文件目录中放置一个文本文件,指示受害者向指定地址发送一封电子邮件,其中的赎金金额约为100至200美元。即使那样,受害者也可以在不支付任何赎金的情况下取回他们的数据。然而,随着网络罪犯变得越来越狡猾,他们使用越来越大的RSA加密密钥来创建他们的特洛伊木马。2006年1月,GPCode使用56位RSA公钥(56小时内破解),2008年6月,使用1024位RSA密钥。如果真的强行破解,以目前的电脑水平估计最长使用时间是200万年,所以破解是行不通的。随着比特币的引入,勒索软件确实变得更有利可图,并且可能更容易操作。2013年底,CryptoLocker勒索软件如病毒般传播开来,在2013年10月15日至12月18日期间,其创造者估计赚取了2700万美元。勒索软件的新变种,如CryptoBlocker、OphionBlocker和Pclock正在增加,用户可以在72小时内支付费用1比特币赎金。如果受害者不付款,这些文件将被删除。然后,在2015年,奇美拉开始发挥作用。这种特殊的勒索软件诱使公司员工点击指向托管在Dropbox上的恶意文件的链接,从而勒索受害者。一旦被感染,攻击者将要求大约700美元的比特币作为解密密钥。但是,与标准勒索软件流程不同的是,Chimera的创建者威胁说,如果受害者不支付赎金,他们就会在Internet上发布受害者的文件。没有证据表明受害者的任何个人数据曾在网上发布,但勒索软件策略的升级可能助长了被称为“双重勒索”的勒索软件新常态。避免勒索软件攻击由于卡特尔结构——成员、分支机构松散地渗透到目标网络——这些勒索软件组织正在使用各种各样的攻击媒介。例如,MazeCartel使用了受损的RDP会话、弱用户凭据、社会工程等。事实上,联属网络营销计划的完成方式非常简洁,因为它允许更分散的创造力和创新:有效的卡特尔并不关心联属网络营销公司如何做,只要完成并获得报酬即可。这也允许卡特尔同时运行多个操作,如果所有操作都是集中的,这将难以管理和维护。考虑到这一点,组织最好采用零信任安全策略(“不信任任何人”策略)。本质上,组织内部或外部尝试连接到其系统的所有内容都必须在尝试授予访问权限之前进行身份验证。缓解策略是一个关键方面,组织会备份数据,以便在发生攻击时不会中断业务运营。但是,这仅涵盖双重勒索问题之一。企业还需要一种主动策略,其中包括:防止恶意软件传播到设备:过滤允许的文件类型、阻止恶意网站等。保护远程访问设备:修补已知漏洞、启用MFA、使用安全虚拟网络并采用最小权限模型??。防止恶意软件在网络中传播:使用MFA,修补虚拟网络、防火墙、防病毒、设备和基础设施,隔离过时的平台。防止任何恶意软件在设备上运行:集中管理设备、保持软件最新、尽快安装安全更新并启用自动更新。尽管如此,Meera告诉Cyber??News,预防不应该成为组织战略的全部重点。相反,企业应该为应急响应做好准备。“通过正确的投资、优秀的安全运营人员和快速的网络事件响应能力,可以在勒索软件运营商影响企业和利益相关者的信任之前将其阻止。”本文翻译自:https://cybernews.com/security/these-ransomware-cartels-will-leak-your-data-until-you-pay/如有转载请注明出处。
