勒索软件攻击正在以各种方式演变。比如:越来越多的新玩家“进入”,很多传统玩家偶尔“退出”;一些团伙正在运行复杂的“勒索软件即服务”(RaaS)操作,并挖取网络渗透、谈判、恶意软件开发等领域的专家;一些帮派由于缺乏足够的预算和人手,只能继续在外围活动。随着勒索软件攻击的不断发展,其生态系统中出现了以下七大趋势。1.参与者整体保持平衡勒索软件攻击领域的参与者整体保持平衡——老牌玩家的退出往往伴随着新玩家的进入。以今年第三季度为例,下降的群体有Avaddon、Noname等,而相对较新的玩家有Prometheus、REvil(akaSodinokibi)、CryptBD、Grief、Hive、Karma、Thanos、ViceSociety。不过,9月卷土重来的REvil在上个月再次失踪,这可能与执法部门的打击有关。2.结构调整日趋普遍。一些所谓的“新玩家”很可能是变相的老玩家。例如,在2021年第三季度,SynAck勒索软件组织托管了一个名为“FileLeaks”的数据泄露网站,并将自己更名为“El_Cometa”。此外,DoppelPaymer可能已更名为“Grief”勒索软件组,而Karma可能是Nemty勒索团伙的新名称。3.参与攻击的人数在增加CiscoTalos研究人员表示,无论名称如何变化,2021年第三季度似乎有更多的玩家参与了更多的攻击。特别是在CiscoTalos进行的事件响应活动中,只有ViceSociety和REvil在多起攻击中出现,可见新兴的勒索团伙更加“民主化”,参与攻击活动的人数也在增加。奇怪的是,以前多产的Ryuk并没有出现在CiscoTalos的视线范围内。许多研究人员认为Conti勒索软件家族是Ryuk的继任者,这可能是Ryuk活动下降的原因。这一结论得到了勒索软件事件响应公司Coveware的证实,该公司报告称,在第三季度协助的数千起案件中,Conti攻击急剧增加,Ryuk攻击显着减少。2021年第三季度出现在攻击中的Top10勒索软件名称和市场份额(来源:Coveware)4.并非所有勒索软件运营商都赚得盆满钵满目前看来,仍有大量勒索软件组织在很活跃。例如,以色列威胁情报公司Kela报告称,自10月25日以来,11个组织——AvosLocker、BlackByte、BlackMatter、Clop、Conti、Grief、LockBit、Marketo、Midas、Pysa和Xing——已被纳入其数据中。列出受害者。一些勒索软件组织赚了很多钱。根据Coveware公布的数据,2021年第三季度,公司、政府机构或其他受害组织平均支付了14万美元的赎金。但McAfee研究员ThibaultSeret指出,并非所有勒索软件即服务操作都能获得六位数或更多的赎金。“根据最近的头条新闻,你会认为所有勒索软件运营商每年都从他们的邪恶活动中赚取数百万美元,”他说。“但事实是,有许多更大的犯罪集团在大罪犯的阴影下活动。”无法访问最新勒索软件样本的小玩家,没有能力成为‘后DarkSideRaaS世界’的附属机构,也没有快速增长的财务实力。”5.恶意软件泄露喂小玩家小玩家可以通过其他方式进行创新。例如,今年6月泄露的Babuk勒索软件构建器被一些小玩家用来构建他们更高级的加密锁定恶意软件。在另一个案例中,攻击者只是简单地调整了Babuk勒索软件注意——插入一个他们控制的比特币钱包地址,用它来攻击受害者并索要数千美元的赎金。6.泄露被盗数据也具有挑战性虽然“从受害者那里窃取数据并威胁泄露以实现他们的目标”是一个广泛存在的问题勒索团伙使用的策略,并非万无一失。关键的挑战是受害者可能会选择不付款,尤其是在攻击者没有窃取敏感数据的情况下。第三季度勒索软件组织在其数据泄露网站上列出的受害者数量(来源:DigitalShadows)这导致一些勒索软件组织使用Mega[.]nz或PrivatLab[.]com等公共文件共享网站公开数据。由于这些服务托管在清晰的网络上,它们通常会被删除,大多数下载链接会在一两天内被删除。由于暗网是一个只能通过匿名Tor浏览器访问的站点,它优先考虑隐私而不是性能,因此在暗网上下载泄露的数据变得更加困难。XSS俄语网络犯罪论坛的许多用户报告说,当他们尝试下载被Clop窃取的数据时,下载速度很慢。有用户称,下载第一个数据集用了将近一周的时间,甚至有用户放弃下载。托管数据泄露网站和支付门户网站也使它们更容易成为执法机构的目标。REvil勒索软件的运营商就是这种情况。当管理员重新启动其基于Tor的站点时,发现其他人(可能是前管理员,或执法人员,也许两者兼而有之)也有安装文件的副本,允许他们劫持REvil的Tor站点。7.运营商曝光一些勒索团伙似乎赚取了异常高的收入,部分原因是受害者支付了数百万美元的加密货币赎金,执法机构很可能会找到勒索团伙的成员。德国周报DieZeit报道称,德国警方已经确定了REvil团伙的疑似头目——一位自称“NikolayK”的比特币企业家。(不是他的真名)。据了解,警方在追查GandCrab受害者之一斯图加特州立剧院(2019年向GandCrab支付了价值17,000美元的加密货币)时,发现该加密货币与NikolayK.he使用的电子邮件账户相关联。勒索软件驱动的生活方式和试图保持匿名的模式也会对从业者造成伤害。例如,一些勒索软件领导者更愿意通过在俄语网络犯罪论坛上发帖来发泄愤怒,而不是简单地拿走他们的钱并走开。这表明他们确实承受着越来越大的压力来维持自己的运营节奏和匿名性。这种情绪濒临崩溃。如果执法部门继续严厉打击,以后肯定会有更多的情绪爆发。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
