勒索软件“黑马”登场:四个最危险的新兴勒索软件群体。这些组织是Avoslocker、HiveRansomware、Hellokitty和Lockbit2.0。新兴的勒索软件威胁组织安全公司PaloAltoNetworks在其最新报告《值得注意的勒索软件组织:新兴威胁》中表示,“随着REvil和Darkside等主要勒索软件组织解体或重组以逃避执法部门和媒体,新的组织将不断涌现。替换那些不再主动针对受害者的那些。”在这项研究中,威胁情报分析师DoelSantos和领先的威胁研究员RuchnaNigam详细介绍了四个勒索软件组的行为。AvosLockerAvoSlocker于2021年7月首次出现,是一种“勒索软件-a-service"(RaaS)组由Avos控制,主要通过暗网讨论论坛Dread宣传其服务。其赎金记录包括用于识别受害者的信息和ID,以及指示受感染者访问AvoslockerTor站点的说明用于恢复和数据恢复。研究指出,AvoSlocker的赎金要求从50,000美元到75,000美元不等(在Monero中),并且已在全球七个组织中检测到感染。根据HiveRansomware研究,HiveRansomware于2021年6月开始运行,主要是针对医疗机构等配置薄弱,无法抵御网络攻击的企业。在其泄密网站HiveLeaks上找到第一个受害者后,该组织发布了另外28名受害者的详细信息。“当勒索软件被执行时,它会释放两个批处理脚本,第一个脚本hive.bat试图删除自己,第二个脚本负责删除系统的影子副本(Shadow.bat),研究人员说。HiveRansomWare添加[randomcharacters].hive扩展到加密文件并留下标题为“HOW_TO_DECRYPT.txt”的赎金票据,其中包含防止数据丢失的说明和操作说明。”受害者通过赎金票据中的操作说明与攻击者讨论解密细节。研究人员无法确定勒索软件是如何交付的,但他们认为凭证暴力破解或鱼叉式网络钓鱼等传统方法应该发挥了作用。HelloKitty:Linux版勒索病毒Hellokitty家族于2020年首次出现,主要针对Windows系统。它因使用Hellokittyex而得名。2021年,PaloAlto检测到一个名为“funny_linux.elf”的Linux(ELF)样本,其中包含一张赎金票据,其措辞与后来发现的Windows版HelloKitty样本相匹配。3月,勒索软件组织开始瞄准ESXi,这是最近Linux勒索软件变体的首选目标。“奇怪的是,攻击者在跨样本的赎金记录中共享的首选通信模式是TorURL和受害者特定的ProtonMail电子邮件地址的混合。这可能表明不同的活动,甚至是完全不同的活动,”研究人员说。的威胁行为者使用相同的恶意软件代码库。”该研究观察到勒索软件组使用椭圆曲线数字签名算法(ECDSA)来加密文件,观察到该组的最高赎金要求为1000万美元(以Monero的形式)。LockBit2.0LockBit2.0,以前称为ABCD勒索软件,也是一个以勒索软件即服务(RssS)模型运行的组织。虽然早在2019年就很活跃,但PaloAlto最近发现其攻击方法发生了变化,其运营商还声称他们当前的变体是运行速度最快的加密软件。自6月以来,该组织已攻击了全球52个组织。“威胁行为者在泄露网站的所有帖子中放置倒计时计时器,直到机密信息向公众发布,这给受害者带来了额外的压力,”研究人员说。执行操作后,Lockbit2.0立即开始记录加密并附加.lockbit扩展名。加密完成后,标题为Restore-My-files.txt的赎金票据会通知受害者攻击并建议解密步骤。参考资料:csoonline
