众所周知,勒索软件是一个棘手的问题。在过去的一年里,新手和经验丰富的网络安全专家都目睹了一系列勒索软件事件,这些事件摧毁了全球各地的企业。勒索软件现在已经到了连网络安全领域之外的人都熟悉这个概念的地步:网络背后的犯罪分子找到了一种方法来侵入组织的系统,将其锁定以防止任何人做任何事情,并杀死受害者。在该组织支付巨额赎金之前,该系统无法恢复运行。新冠(COVID-19)疫情已将全球经济带至灾难边缘,而2020年以来横行的勒索软件攻势,无疑让企业组织的运营能力雪上加霜。企业、政府机构、学校以及与它们相关的任何事物都是黑社会不断攻击的目标,而这些组织一旦落入手中往往毫无防备。缺乏抵抗力并不意味着他们没有努力对抗敌人。但测量和量化勒索软件的质量及其可能造成的损害是一个巨大的挑战,即使对于经验丰富的专业人士也是如此。尽管此类事件不断被曝光,但考虑到许多组织在遭受攻击后选择保持沉默,安全行业很难估计攻击量和受害者的平均恢复成本。众所周知,勒索软件背后的犯罪集团正在蓬勃发展,并设法创建了许多新变体,更糟糕的是,它们正在提供勒索软件和服务(RaaS)。什么是勒索软件即服务(RaaS)?勒索软件不仅易于购买和下载,而且价格便宜。这种攻击方式易于传播,而且相对于其他类型的流行攻击,你不需要熟练或拥有昂贵的设备,这意味着越来越多的网络犯罪分子正在转向这种类型的恶意行为。此外,它可以产生比窃取信用卡数据或个人信息更快的支付速度。也许最重要的是,由于比特币的匿名性,犯罪者被抓获的风险也较低。为了最大限度地发挥勒索软件的优势,勒索软件即服务(RaaS)应运而生。勒索软件即服务(RaaS)借鉴了软件即服务(SaaS)模型。这种基于订阅的恶意模型甚至可以让新手网络犯罪分子毫不费力地发起勒索软件攻击。您可以在市场上找到各种RaaS包,以减少编写恶意软件的需要。因此,网络犯罪分子可以在不知道如何创建勒索软件的情况下轻松使用勒索软件。在这种类似特许经营的恶意部署模型中,网络犯罪分子编写勒索软件代码并将其出售/出租给其他希望通过“附属程序”发起攻击的网络犯罪分子。他们提供有关如何使用该服务发起勒索软件攻击的技术知识和分步信息,甚至还有一个平台可以通过实时仪表板显示攻击状态。并且为了加密受害者的系统,关联组织雇佣了黑客的服务,黑客可以访问目标网络,获得域管理员权限,收集和窃取文件,然后将获取访问权限所需的所有信息传递给关联组织并对其进行加密。一旦攻击成功,赎金就会分配给渗透到网络的服务提供商、编码人员和黑客以及勒索软件分支机构。根据Imperva的说法,在传统的联盟营销模式中,很大一部分费用归产品所有者所有。在RaaS中......勒索软件的作者只得到少量的钱(5%-25%),其余的都给了分销商(会员)。这种恶性模式对网络罪犯非常有吸引力,你甚至可以在暗网上看到RaaS提供商的广告。网络犯罪分子被它吸引的原因有很多:首先,它使勒索软件开发人员能够快速赚钱。其次,对于会员来说,这也减少了他们编写恶意代码的需要,他们可以简单地从暗网上低价租用好用的软件包。根据安全公司Intel471的调查结果显示,2020年风头正劲的RaaS团伙发现,去年和今年共有25款勒索软件和服务(RaaS)出来,其攻击规模和他们造成的灾难几乎无法准确统计。在过去的一年里,英特尔471一直在跟踪25个不同的勒索软件即服务(RaaS)团体,从知名团体(其中一些已经成为勒索软件的代名词)到今年的一些新来者。据悉,这些新的群体已经实现了技能升级,甚至完全有能力取代目前的顶级群体。以下是对过去一年中发展壮大的勒索软件即服务(RaaS)团队的调查结果。不过,这并不是勒索软件场景的明确衡量标准,因为可能被视为“破坏性”的因素(支付金额、系统停机时间以及与攻击者的通信)可能因发生的人员和事件而异。此外,一些知名的勒索软件团伙已经形成严密隐秘的犯罪圈子,通过直接、私密的通信方式相互联系,外人难以察觉。我们要做的是揭开那些相对黑暗的角落,狡猾的犯罪分子正在残酷地蹂躏受害组织,并以有限的惩罚来榨取人们的血汗钱。通过公开讨论这些行动,整个社会可以更好地理解眼前日益严重的问题。新兴Raas组织我们已经验证了以下组织的存在,但目前关于他们的成功攻击、攻击量、收到的赎金或缓解成本的信息有限。此类勒索软件组包括CVartek.u45、Exorcist、Gothmog、Lolkek、Muclove、Nemty、Rush、Wally、XINOF和Zeoticus。勒索软件市场的骨干团伙与许多已确定的攻击有关,并在2020年左右变得更加强大。其中一些团伙甚至使用博客“点名羞辱”拒绝支付赎金的受害者。此类勒索软件包括:Avaddon、Conti、Clop、DarkSide、Pysa/Mespinoza、Ragnar、Ranzy、SunCrypt和Thanos等。(一)Avaddon2020年3月发现,Avaddon使用Phorpiex僵尸网络对全网造成严重破坏,感染目标计算机上的加密文件后索要最高500美元的赎金。据悉,Phorpiex作为具有蠕虫特征的僵尸网络,迄今已感染超过100万台Windows电脑。Phorpiex僵尸网络主要通过可移动存储介质、垃圾邮件、用户凭证爆破、漏洞利用工具包、恶意程序安装等多种渠道传播,这也成为新型Avaddon勒索病毒快速传播的原因之一。目前攻击总数不到10次。(2)ContiConti出现于2020年8月,属于新兴的双重勒索软件阵营。在使用勒索软件对系统进行加密之前,ContiConti会先下载未加密的机密数据,这样当受害人拒绝支付赎金换取解密密钥时,作为进一步勒索的筹码,一些案例表明,部分受害人最终选择支付赎金赎金以保护数据。目前总攻击次数高达142次。(3)ClopClop是国际知名安全软件公司Avast的恶意软件研究员JakubKroustek于2020年3月首次发现的勒索软件。该恶意软件旨在加密受害者计算机上的数据,并通过附加“.Clop”扩展名来重命名每个文件。此外,它还可能从受害机器中提取以下信息:系统时间、操作系统类型、语言、键盘语言。目前,总攻击次数超过10次。(4)DarkSide2020年8月,深信服安全团队检测到出现了一种新的流行勒索病毒家族,该家族自称为DarkSide。该勒索病毒的黑客组织会通过获取的信息评估企业的资金实力,进而决定勒索金额。同时,该黑客组织还声称不会攻击医疗、教育、非营利和政府机构进行勒索。到目前为止攻击总数不到5次。(5)Pysa/MespinozaMespinoza勒索软件使用pysa作为文件扩展名,因此研究人员也会使用这个名字来命名勒索软件。据悉,Pysa勒索软件团伙已针对多个大洲,袭击了多个政府和企业相关网络。迄今为止攻击总数超过40次。(6)RagnarRagnarLocker首次出现于2019年10月,其攻击具有选择性,目标往往是公司而非个人用户。葡萄牙跨国能源巨头和世界第四大风能生产商EDP的系统遭到攻击,并被勒索1,580BTC(1,090万美元)作为赎金。到目前为止,攻击总数超过25次。(7)RanzyRanzy于2020年10月出现,似乎是ThunderX和Ako勒索软件的变种,但有一些关键更新,包括加密调整、过滤方法和使用公共“泄密博客”针对那些不遵守要求的赎金者发布受害者数据。目前攻击总数只有1次。(8)SunCryptSunCrypt于2019年10月开始现身,并已加入迷宫联合组织,开展双向合作,分享获得的利益。目前共有20多起攻击事件,据统计,SunCrypt数据泄露网站上列了9起受害者和敏感数据文件。(9)Thanos2020年7月/8月,研究人员观察到与攻击中东和北非两家国有组织有关的文件,这些组织安装并运行了Thanos勒索软件的变体。据悉,研究人员于2020年1月13日首次观测到灭霸,此后已观测到超过130个独特样本。最新版本是攻击者专门为中东和北非国营组织设计的。该勒索软件允许外部黑客使用和攻击他们的目标,但须遵守与开发人员的收入分成计划,该计划约为60%-70%。据称,勒索软件允许运营商自定义软件的赎金票据,修改文本以选择他们想要的任何加密货币,而不仅仅是比特币。目前攻击总数超过5次。退伍军人团体这些团体出现的频率最高,经常出现在主要新闻头条中。他们都开设了微博账户,对拒绝支付赎金的受害者进行“点名羞辱”。总的来说,这些组织在过去几年中成功支付了数亿美元的赎金——由于一些组织拒绝报告勒索软件,这个数字可能远低于实际数字。此类勒索软件团伙包括DoppelPaymer、Egregor/Maze、Netwalker、REvil和Ryuk等。(1)DopplePaymerDoppelPaymer自2019年以来一直与BitPaymer(又名FriedEx)勒索软件相关联。CrowdStrike强调了这些变体之间的一些相似之处,推测DoppelPaymer可能由前BitPaymer成员组成。勒索软件本身通常是在网络遭到破坏并泄露敏感数据后手动部署的。DoppelPaymer团队运营着一个名为“Doppleleaks”的基于Tor的博客,专门用于发布有关受损公司及其被盗数据的信息。该团伙的目标是全球知名组织,例如墨西哥能源巨头Pemex和与美国联邦政府合作的IT承包商。然而,最受关注和争议的DoppelPaymer勒索软件是2020年杜塞尔多夫医院的攻击事件。由于当时杜塞尔多夫医院发生勒索软件攻击,一名需要紧急治疗的女性患者无法入院。病人不得不被转移到30公里外伍珀塔尔的一家医院,最终不治身亡。Doppelpaymer也成为了第一起勒索杀人案的罪魁祸首。(2)Egregor/Maze早在文章发表之前,Maze勒索软件服务背后的运营团队就已经宣布将停止运营。分析人士推测,该组织的成员可能参与了Egregor勒索软件背后的服务。在操作上,Egregor遵循一种熟悉的模式:破坏公司网络以窃取敏感数据并部署勒索软件,与受害者通信并索要赎金,然后在受害组织拒绝付款时将敏感数据转储到博客中。有证据表明Egregor也与Sekhmet勒索软件有关。Intel471研究人员发现Egregor包含与Sekhmet相同的Base64编码数据,其中最后一行包含受感染系统的附加参数。研究人员还发现,Egregor赎金票据与Sekhmet使用的赎金票据非常相似。此外,在针对游戏开发商Crytek和Ubisoft以及美国最大的零售连锁书店Barnes&Noble的攻击中也发现了Egregor。(3)NetwalkerNetwalker于2019年9月首次被发现,是Intel471追踪到的最多产的RaaS之一。其背后的攻击者在2020年使用钓鱼邮件,利用大流行的影响和恐惧来诱使受害者在他们的设备上安装恶意软件系统。5月,该运营商推出了一个基于Tor的博客,用于发布从受害组织拒绝支付赎金后窃取的敏感数据。NetWalker背后的攻击者使用了一种无文件感染技术,他们说这种技术可以绕过Windows7和更新操作系统的用户帐户控制组件。NetWalker可以在两种模式下运行:在“网络模式”下,可以对单台计算机或整个计算机网络执行赎金,而受害者可以购买带有主密钥的解密工具或购买必要的密钥以防止所有网络计算机中的计算机对其进行解密。在“个人模式”下,一次赎金只能解密一台电脑。据说该组织仅在10月份就发起了25起勒索软件事件。其中最引人注目的是对密歇根州立大学的袭击,尽管学校最终选择不支付赎金。(4)REvilREvil是市场上最常见的勒索软件变种之一。首次部署于2019年4月17日,攻击者利用OracleWebLogic服务器中的CVE-2019-2725漏洞进行攻击。两个月后,勒索软件服务的广告开始出现在XSS论坛上。REvil一直是最活跃的勒索软件团伙之一,声称参与了针对英国金融服务提供商Travelex、美国娱乐和媒体律师事务所GrubmanShireMeiselas&Sacks以及德克萨斯州23个地方政府等公司的攻击。组织获取公司系统访问权限的最常见方式之一是利用远程桌面协议(RDP)漏洞,例如BlueGate漏洞,该漏洞允许授权用户远程执行代码。该组织的代表承认,信息窃取程序最适合用于获取远程访问凭证,从而在企业网络中获得初步立足点。在谈到针对Travelex和GrubmanShireMeiselas&Sacks的攻击时,该代表表示,通过Citrix和PulseSecureVPN漏洞进行的远程代码攻击可以在三分钟内访问整个网络。当该团伙进行自己的攻击时,发现RaaS模式可以带来更多收益。REvil的分支机构负责访问目标网络、下载有价值的文件和部署实际的勒索软件,而REvil团伙则负责受害者谈判以及勒索、勒索和分发。这种模式显然导致了暴涨的利润:根据REvil的说法,一个附属公司的收入从每个目标约20,000美元增加到30,000美元,而另一个RaaS产品在与REvil联手后的短短六个月内就达到了每个目标约700万美元到800万美元。(5)RyukRyuk这个名字可以说已经发展成为勒索软件的同义词,因为该变体是最流行的变体之一,具有强大的附属程序和大量受害者。Ryuk是使用Trickbot僵尸网络和Emotet恶意软件在最后阶段交付的勒索软件。最近,该勒索软件还通过Bazar加载程序进行交付。Ryuk的分支机构在攻击中遵循的模式是雇佣演员发起垃圾邮件活动来传播银行恶意软件。然后,另一组参与者开始在受感染的企业网络内提升权限,最后,该团队开始部署勒索软件并处理与受害者的谈判。Ryuk勒索软件在过去一年中呈爆炸式增长,并导致了全球数百万起勒索软件事件。一些安全研究人员估计,Ryuk参与了今年发起的所有勒索软件攻击中多达三分之一。今年,Ryuk一直将勒索攻击的重点放在医疗保健行业。最令人担忧的事件之一是对美国最大的医院系统之一全民健康服务的勒索软件攻击。相关链接:https://www.techrepublic.com/article/ransomware-as-a-service-is-exploding-be-ready-to-pay/本文翻译自:https://intel471.com/blog/ransomware-as-a-service-2020-ryuk-maze-revil-egregor-doppelpaymer/
