2021年5月12日是全球第二个反勒索病毒日。不可否认,勒索软件已经成为安全领域的流行语。勒索软件威胁已经存在很长时间并非没有原因,但它一直在变化。年复一年,攻击者的胆子越来越大,攻击手段越来越完善,当然,系统也在被攻破。不过,媒体对勒索软件的关注主要集中在哪些公司受到攻击,而不是关注勒索软件本身。在本报告中,我们从每日的勒索软件新闻中退一步,顺着涟漪回到系统的核心,了解勒索软件是如何组织的。首先,我们将揭穿三个妨碍正确思考勒索软件威胁的先入为主的想法。接下来,我们深入研究暗网以展示网络犯罪分子如何相互影响以及他们提供的服务类型。最后,我们以两个著名的勒索软件品牌结束:REvil和Babuk。无论我们为撰写这份报告付出了多少努力,在您开始阅读之前,请确保您的数据已安全备份!第1部分:关于勒索软件思想的三个先入之见第1部分:勒索软件帮派是一个帮派随着2020年大型游戏狩猎的兴起,我们在勒索软件世界中看到了许多备受瞩目的团体。犯罪分子发现,如果受害者能够预先建立某种信任,他们就更有可能支付赎金。为了确保他们恢复加密文件的能力永远不会受到质疑,他们建立了在线形象,撰写新闻稿,并确保所有潜在受害者尽可能多地知道他们的名字。但是,通过让自己成为众人瞩目的焦点,这些团体掩盖了勒索软件生态系统的真正复杂性。从外面看,它们似乎是一个整体。但实际上它们只是矛尖。在大多数攻击中,涉及大量参与者,一个关键要点是他们通过暗网市场相互提供服务。Botmasters和帐户经销商的任务是在受害者的网络中提供初始访问权限。在本次讨论中,该生态系统的其他成员(为了便于讨论,我们将其命名为红队)使用此初始访问权限来完全控制目标网络。在此过程中,他们将收集有关受害者的信息并窃取内部文件。这些文件可能会被转发给外包分析师团队,他们将尝试确定目标公司的实际财务状况,以确定他们可能支付的最高赎金价格。分析师还将密切关注可用于支持其勒索策略的任何敏感或暗示性信息,目的是最大程度地向决策者施加压力。当红队准备发动攻击时,他们通常会从暗网开发者那里购买勒索软件产品,通常是为了换取一部分赎金。这里的一个可选角色是打包程序开发人员,他们可以为勒索软件程序添加保护层,使它们不易被安全产品检测到。最后,与受害者的谈判可能由另一个团队处理,当支付赎金时,需要一套全新的技能来清洗获得的加密货币。所有这一切中有趣的一点是,“勒索软件价值链”中的各个参与者不需要相互了解,事实上他们也不需要。他们通过互联网相互交流,以加密货币支付服务费用。因此,逮捕这些实体中的任何一个(虽然对威慑目的有用)对减缓生态系统的影响不大,因为共犯的身份将不为人所知,而其他供应商将立即填补由此产生的空缺。勒索软件的世界必须被理解为一个生态系统并被这样对待:这是一个只能系统地解决的问题,例如,通过阻止资金在其中流通,这首先要求不支付赎金。思路二:有针对性的勒索软件是有针对性的前面对勒索软件生态系统的描述对于如何选择受害者具有重要意义。是的,犯罪集团变得越来越咄咄逼人,要求越来越多的赎金。但勒索软件攻击也有投机取巧的一面。据我们所知,这些团伙不会仔细阅读英国《金融时报》来决定下一步的目标是什么。令人惊讶的是,最初获得受害者网络访问权限的人并不是后来部署勒索软件的人,因此访问收集需要被视为完全独立的业务。为了使其可行,卖家需要源源不断的“产品”。花费数周时间试图突破您在《财富》中提到的财富500强公司这样的既定目标在财务上是不明智的,因为突破是一件很难的事情。相反,承认的卖家追求更低的目标。这个渠道有两个主要来源:僵尸网络所有者。知名的恶意软件家族参与了规模最大、范围最广的活动。他们的主要目标是创建受感染计算机网络,尽管此时感染只是处于休眠状态。将受害机器的访问权限作为资源出售的僵尸网络所有者(botmasters)可以通过多种方式获利,例如发起DDoS攻击、分发垃圾邮件,或者在勒索软件的情况下,利用这种初始感染在潜在目标上站稳脚跟.访问卖家。黑客正在寻找面向Internet的软件(例如VPN设备或电子邮件网关)中公开披露的漏洞(1天)。一旦此漏洞被披露,防御者将在应用相应更新之前破坏尽可能多的受影响服务器。出售对组织RDP的访问权的示例在这两种情况下,只有在攻击者退后一步并弄清楚他们违反了谁的事实以及这种感染是否会导致支付赎金之后,这才是真实的。勒索软件生态系统中的参与者不是目标,因为他们几乎从不选择攻击特定组织。了解这一事实强调了公司保持面向Internet的服务为最新以及能够在潜在感染被用于恶意目的之前检测它们的能力的重要性。想法3:网络罪犯是罪犯嗯,从技术上讲,他们是。然而,由于勒索软件生态系统的多样性,这也是一个比表面看起来更复杂的领域。当然,勒索软件生态系统与其他网络犯罪领域(例如信用卡或销售点(PoS)黑客攻击)之间存在记录在案的差距。但值得指出的是,并非这个生态系统的所有成员都来自网络犯罪黑社会。过去,备受瞩目的勒索软件攻击已被用作破坏性工具。有理由认为,一些APT行为者仍在采用类似的策略来破坏对手的经济稳定,同时具有似是而非的否认能力。同样,我们去年发布了一份关于Lazarus组织企图参与大型游戏狩猎的报告。ClearSky发现了类似的活动,他们将其归因于FoxKittenAPT。研究人员指出,勒索软件攻击明显的盈利能力吸引了一些国家资助的黑客进入生态系统,以此作为规避国际制裁的一种方式。我们的数据显示,此类勒索软件攻击仅占总数的一小部分。虽然他们不会告诉您公司的防御有任何问题,但他们的存在会给受害者带来额外的风险。2020年10月1日,OFAC发布了一份备忘录,明确向攻击者汇款的公司需要确保收款人不受国际制裁。该公告似乎已经生效,并且对勒索软件市场产生了一定的影响。毫无疑问,对勒索软件运营商进行尽职调查本身就是一项挑战。第二部分:暗网恶作剧当通过市场渠道在暗网上销售与网络犯罪相关的数字商品或服务时,大多数信息仅聚集在少数几个大型平台上,尽管针对单个主题或产品的主题平台较小。我们分析了聚集了勒索软件相关产品的三个主要论坛。这些论坛是使用勒索软件的网络犯罪分子积极交流和交易的主要平台。虽然论坛上有数百种不同的广告和优惠,但在我们的分析中,我们只选择了几十个经论坛管理部门验证并由信誉良好的团体放置的优惠。这些广告包括各种各样的优惠,从源代码销售到定期更新的招聘广告,主要以英语和俄语提供。不同类型的优惠如前所述,勒索软件生态系统由扮演不同角色的参与者组成。暗网论坛部分反映了这一点,虽然这些市场上的报价主要用于销售或招聘,但与任何市场一样,当运营商需要某些东西时,他们会主动更新论坛上的广告位置,并在满足需求后立即将其删除。勒索软件开发商和附属勒索软件程序(以下简称“勒索软件即服务”)的运营商提供以下服务:邀请加入合作伙伴网络,这是针对具有勒索软件源代码或勒索软件生成器的勒索软件运营商的附属计划-勒索软件集团运营商和成员之间的术语关系。通常,勒索软件运营商会从利润中抽成20%到40%,而剩余的60-80%则归附属成员所有。合作伙伴计划中列出付款条款的报价示例许多勒索软件运营商都在寻找合作伙伴,但有些运营商也在销售勒索软件源代码或自己动手(DIY)勒索软件包,报价从300美元到5,000美元不等。就勒索软件的技术熟练程度和卖家付出的努力而言,出售勒索软件源代码或泄露的样本是从勒索软件中获利的最简单方法。然而,此类报价也是利润最低的,因为源代码和示例很快就会失去其价值。有两种不同类型的优惠:有支持/无支持。如果勒索软件是在没有支持的情况下购买的,一旦网络安全解决方案检测到它,购买者将需要弄清楚如何自行重新打包,或者找到提供样本重新打包的服务,但这仍然很容易安全地解决检测到的程序。提供支持的服务(诚然,在金融恶意软件市场中更广泛)通常提供定期更新并做出有关恶意软件更新的决策。在这方面,暗网论坛的报价与2017年相比没有太大变化。勒索软件开发者有时会在没有客户支持的情况下一次性购买生成器和源代码。勒索软件订阅和附加组件提供的勒索软件订阅和附加组件看起来与任何其他合法产品的广告非常相似,只是兴趣和价格范围不同。少于几个大团伙虽然暗网上提供的数量和范围肯定不小,但市场并不能反映整个勒索软件生态系统。一些大型勒索软件组织要么独立运作,要么直接寻求合作伙伴(例如,我们知道Ryuk在感染Trickbot后能够访问其部分受害者的系统,这表明这两个组织之间存在潜在的合作关系)。因此,论坛通常容纳较小的参与者,无论是中型RaaS运营商、销售源代码的较小参与者还是新来者。暗网附属机构的基本规则勒索软件市场是一个封闭的市场,其背后的运营商在选择与谁合作时非常谨慎。这种谨慎反映在运营商投放的广告以及他们在选择合作伙伴时附加的条件中。第一条一般规则是对运营商施加地域限制。当恶意软件运营商与合作伙伴合作时,他们会避免在其管辖范围内使用恶意软件。会员必须严格遵守此规则,不遵守此规则的合作伙伴将很快失去他们一直使用的程序的访问权限。此外,运营商会筛选潜在的合作伙伴,例如通过检查他们声称来自的国家/地区的知识,以避免雇用卧底人员,如下例所示。他们还可能根据他们的政治观点对某些国籍施加限制。这些只是运营商试图确保其安全的一些方式。在这个例子中,该团伙建议通过询问有关前苏联共和国历史的晦涩问题来审查新的附属机构,而且通常只有母语为俄语的人才能回答。根据广告,Avaddon可能会考虑讲英语的会员,如果他们已经建立了声誉或可以提供保证金。为了更详细的描述,我们挑选了2021年最值得关注的两款大型狩猎勒索软件。首先是REvil(又名Sodinokibi)团伙。该勒索软件自2019年以来一直在地下论坛上发布广告,并享有RaaS运营商的声誉。该团伙的名字REvil经常出现在信息安全社区的头条新闻中。2021年,REvil运营商索要最高赎金。另一个是Babuk储物柜。Babuk是2021年发现的第一个RaaS组织,活跃度很高。REvilREvil运行的广告示例REvil是最多产的RaaS操作之一。该团伙的首次活动是在2019年4月,当时另一个现已解散的勒索软件团伙GandCrab已经关闭。为了分发勒索软件,REvil与网络犯罪论坛上雇佣的附属机构合作。赎金金额基于受害者的年收入,分销商获得赎金的60%至75%,以Monero(XMR)加密货币支付。根据对REvil运营商的采访,该团伙在2020年从运营中获利超过1亿美元。开发人员定期更新REvil勒索软件以避免被发现,同时提高持续攻击的可靠性。该团伙在网络犯罪论坛的各种帖子中公布了所有主要更新和新的合作伙伴计划项目。2021年4月18日,开发人员宣布勒索软件的*nix实施正在进行封闭测试。REvil通报了勒索软件*nix实施内部测试的技术细节REvil使用Salsa20对称流算法通过椭圆曲线非对称算法加密文件和密钥的内容。这个恶意软件样本有一个加密的配置块,其中包含许多允许攻击者微调负载的字段。该可执行文件可以在加密前杀死列入黑名单的进程、窃取基本主机信息、加密本地存储设备和网络共享上的非白名单文件和文件夹。在我们的私人(https://opentip.kaspersky.com/comparison/?utm_source=SL&utm_medium=SL&utm_campaign=SL)和公共(https://securelist.com/sodin-ransomware/91473/)报告中,您可以了解更多关于REvil的技术特点。如今,勒索软件主要通过受损的RDP访问、网络钓鱼和软件漏洞进行分发。附属机构负责获得对公司网络的初始访问权限并部署储物柜,这是RaaS模型的标准做法。需要注意的是,该团伙在招募新成员方面有非常严格的规定:REvil只招募会说俄语且有进入网络经验的高技能伙伴。攻击成功后,会发生特权升级、侦察和横向移动。然后,操作员评估、窃取和加密敏感文件。下一步是与受到攻击的公司进行谈判。如果受害者决定不支付赎金,那么REvil运营商将开始在.onionHappyBlog网站上发布受攻击公司的敏感数据。在数据泄露网站上发布泄露的机密数据的策略最近已成为BigGameHunting的主流。REvil博客上的帖子示例,其中包括从受害者那里窃取的数据。值得注意的是,勒索软件运营商已经开始对商业伙伴和记者使用语音呼叫服务和DDoS攻击来迫使受害者支付赎金。据运营商介绍,该团伙于2021年3月推出免费服务,可安排成员组织致电受害人的合作伙伴和媒体施压。附加DDoS(L3、L7)服务需付费。REvil宣布了一项新功能,该功能将在要求赎金时联系受害者的合作伙伴和媒体以施加额外压力。根据我们的研究,该恶意软件影响了近20个业务部门。受影响最大的行业是工程与制造(30%),其次是金融(14%)、专业与消费者服务(9%)、法律(7%)和IT与电信(7%)。攻击活动的受害者包括Travelex、Brown-FormanCorp.、制药集团PierreFabre和著名律师事务所GrubermanShire?GrubmanShireMeiselas&Sacks等公司。2021年3月,该团伙入侵宏碁,索要5000万美元赎金,创历史新高。2021年4月18日,REvil小组的一名成员在招募新成员的论坛上发帖宣布,该小组即将宣布“有史以来最引人注目的攻击”。4月20日,该组织在快乐博客网站上发布了多份涉嫌苹果设备的设计图。据攻击者称,数据是从Quanta的网络中窃取的。广达电脑是一家台湾制造商,也是苹果公司的合作伙伴之一。广达最初的赎金要求是5000万美元。在过去的几个季度里,REvil的瞄准活动激增。REvil帮派是BigGameHunting的典型代表。2021年,我们看到了对公司敏感数据的更多赎金要求趋势。他们使用新策略向受害者施压、积极开发非Windows版本以及定期招募新的分支机构都表明,到2021年,攻击的数量和规模只会增加。BabukBabuklocker是BigGameHunting2021中的另一个团伙。在2021年初,我们观察到多起涉及此勒索软件的事件。2021年4月底,Babuk背后的攻击者宣布结束他们的活动,称他们将发布其源代码,以便“做一些类似开源RaaS的事情”。这意味着一旦各种较小的威胁参与者使用泄露的源代码进行操作,我们可能会看到新一波的勒索软件活动。我们已经在其他RaaS和MaaS项目中看到了这种情况——去年的AndroidCerberus银行木马就是一个很好的例子。Babuk关于终止行动的公告该团伙显然为每个受害者定制了一个独特的样本,因为它包括该组织的硬编码名称、个人勒索软件注释和加密文件的扩展名。Babuk的运营商也使用RaaS模式。附属机构或运营商会在感染之前破坏目标网络,以便他们可以确定如何有效部署勒索软件并评估敏感数据,从而为受害者设定最现实的赎金价格。Babuk背后的团队将其团队定义为赛博朋克,他们使用RDP作为感染媒介“随机测试企业网络安全”。该团伙向其成员提供80%的赎金。Babuk提供的广告示例Babuk在俄语和英语黑客论坛上做广告。从2021年1月开始,有关新Babuk勒索软件的公告出现在论坛上,随后的帖子主要关注其更新和会员招募。Babuk向媒体发表的声明解释了他们的策略和受害者选择。Babuk的白名单阻止来自以下国家的成员:中国、越南、塞浦路斯、俄罗斯和其他独联体国家。据ZoomInfo称,该运营商还禁止攻击医院、非营利慈善机构和年收入低于3000万美元的公司。要加入会员计划,合作伙伴必须通过Hyper-V和ESXi管理程序的面试。Babuk可能是第一个因公开宣称对LGBT和BlackLivesMatter(BLM)社区持消极态度而登上头条新闻的勒索软件团伙。正是由于这一事实,该组织将这些社区排除在其白名单之外。但在Babuk数据泄露网站上的一篇总结两个月工作结果的帖子中,该团伙报告说他们已将LGBT和BLM基金会和慈善机构添加到白名单中。技术细节关于加密算法,Babuk使用对称算法结合椭圆曲线Diffie-Hellman(ECDH)。加密成功后,该恶意软件会将“HowToRestoreYourFiles.txt”添加到每个处理过的目录中。除了文本之外,勒索信还包含一些被盗数据的屏幕截图链接列表。这证明恶意软件样本是在受害者的数据被泄露后制作的。如上所述,每个样品都是为特定目的定制的。在勒索信中,该团伙还建议受害者使用其个人聊天门户进行谈判。这些步骤不仅限于Babuk,在BigGameHunting中也经常看到。值得注意的是,赎金记录的文本还包含指向.onion数据泄露网站上相关帖子的私人链接,该网站无法从该网站的主页访问。以下是一些屏幕截图、被盗文件类型的文字描述以及对受害者的一般威胁。如果受害者决定不与网络罪犯谈判,则指向该帖子的链接将被公开。Babuk储物柜背后的集团主要针对欧洲、美国和大洋洲的大型工业组织。目标行业包括但不限于运输服务、医疗保健行业和各种工业设备供应商。事实上,最近的案例表明Babuk运营商正在扩大他们的目标。4月26日,哥伦比亚特区警察局确认其网络遭到破坏,Babuk运营商声称对此负责,并宣布对其.onion数据泄露网站进行攻击。Babuk宣布成功攻击华盛顿特区警察局根据网站上的帖子,该团伙从华盛顿特区警察局的网络中窃取了超过250GB的数据。在撰写本文时,警察部门有三天时间开始与攻击者谈判,否则,该组织将开始向犯罪团伙泄露数据。Babuk还警告说,它将继续攻击美国国有企业。结论2021年4月23日,我们发布了勒索软件统计数据,显示遭受此威胁的用户数量显着下降。不过,这些数字不应被误解:虽然随机个人遭受勒索软件攻击的可能性确实比过去低,但公司面临的风险从未如此之高。勒索软件生态系统一直渴望利润最大化,现在它们的规模越来越大,以至于它们可以被视为对全球公司的系统性威胁。曾经有一段时间,SMB在很大程度上忽视了信息安全带来的挑战:它们对于APT攻击者来说太小而无法将它们置于监视之下,但又足够强大以至于它们不受随机和一般攻击的影响。但现在那些日子已经过去了,所有公司现在都必须准备好抵御犯罪集团。值得庆幸的是,这些类型的攻击者通常首先攻击唾手可得的果实,因此现在采取适当的安全措施将大有帮助。5月12日是反勒索软件日,卡巴斯基鼓励组织遵循这些最佳实践来保护您的组织免受勒索软件的侵害:经常更新所有设备上的软件以防止攻击者利用漏洞渗透您的网络。将您的防御策略集中在检测横向移动和数据泄露上。特别注意传出流量以检测网络犯罪连接。设置入侵者无法篡改的离线备份。确保在紧急情况下可以快速访问它们。为了保护公司环境,请为您的员工提供特殊培训。专门的培训课程可以提供帮助,例如卡巴斯基自动化安全意识平台中提供的培训课程。对您的网络进行网络安全审计,并及时修复在外部或内部发现的任何弱点。在所有端点上启用勒索软件保护。安装反APT和EDR解决方案以进行高级威胁发现和检测、调查以及及时补救事件。为您的SOC团队提供最新威胁情报的访问权限,并定期通过专业培训对其进行升级。如果您是不幸的受害者,请永远不要支付赎金。它不能保证您会取回数据,但会鼓励犯罪分子继续他们的活动。相反,您应该向当地执法部门报告该事件。尝试在网上找一个解密程序,例如https://www.nomoreransom.org/en/index.html请注明原文地址。
