现在每个人都知道勒索软件已成为一个巨大的麻烦。在过去的一年里,我们目睹了一系列勒索软件攻击,这些攻击摧毁了世界各地的企业。即使那些不在网络安全行业的人也已经知道,犯罪分子已经找到了通过网络访问公司的方法,然后犯罪分子可以锁定计算机并使其无法使用,直到公司支付相关赎金。COVID-19大流行使许多国家的经济处于衰退边缘,勒索软件的暴力攻击进一步考验了许多公司的经营状况。众所周知,勒索软件背后的网络犯罪团伙蓬勃发展,创造新的变体并提供对非法市场中其他公司内部网络的访问。在过去一年中,英特尔471跟踪了25种不同的勒索软件即服务(RaaS)服务。我们的目标是更好地了解网络犯罪的现实,以便社会能够更好地了解这一日益严重的问题。新兴的RaaS崛起以下RaaS变体与许多攻击有关,并且它们的频率在2020年有所增加,经常在博客上讲述受害者,以羞辱拒绝支付赎金的公司。大型RaaS这些大型RaaS在江湖上占有很高的地位,很多攻击都与它们有关。总的来说,他们已经赚取了数亿美元的收入。考虑到一些未公开的攻击,实际数字会比这高。(1)DoppelPaymer自2019年以来,DoppelPaymer与BitPaymer(又名FriedEx)相关联。CrowdStrike强调了变体之间的一些相似之处,并推测DoppelPaymer可能是前BitPaymer开发人员的作品。DoppelPaymer团队运营着一个名为“Doppleleaks”的基于Tor的博客,用于发布有关受感染公司及其被盗数据的信息。受害者包括墨西哥能源巨头Pemex等公司和与美国联邦政府合作的IT承包商。DoppelPaymer勒索软件在2020年9月对杜塞尔多夫大学医院的攻击中受到了最多的关注和争议。攻击者本想以杜塞尔多夫大学为目标,但最终先感染了该校医院。攻击者随后将数字密钥发送到医院以恢复正常运行。(2)Egregor/Maze在发布本报告时,Maze勒索软件即服务背后的维护者宣布他们将停止运营。有人猜测,Maze组的成员可能包含在Egregor勒索软件背后的维护组中。Egregor在其运营中遵循一种熟悉的模式:“破坏公司网络以窃取敏感数据并部署勒索软件,与受害者通信并索要赎金,然后在受害者拒绝支付赎金时将敏感数据发布到博客中。”有证据表明Egregor也与Sekhmet勒索软件有关。Intel471的研究人员发现Egregor包含与Sekhmet相同的Base64编码数据,其中最后一行包含来自受感染主机的附加参数。研究人员还发现,Egregor的勒索信息与Sekhmet使用的信息非常相似。Egregor还被发现在对Crytek、Ubisoft和Barnes&Noble的攻击中。(3)NetwalkerNetWalker于2019年9月首次被发现,是Intel471跟踪的最活跃的服务之一。其背后的攻击者率先在2020年向受害者发送与COVID-19大流行相关的钓鱼邮件。5月,它的运营商推出了一个基于Tor的博客,用于发布从拒绝支付赎金的受害者那里窃取的敏感数据。攻击者使用了一种无文件感染技术,据说可以绕过Windows7和更新操作系统上的UAC。NetWalker可以在两种模式下运行:在“网络模式”下,可以控制单台计算机扩散到整个网络进行勒索,而受害者可以购买带有主密钥的解密工具或购买必要的密钥来破坏某些计算机解密。在“个人模式”中,一次赎金仅适用于一台计算机。据说该组织仅在上个月就披露了25起涉及它的事件。Netwalker攻击最引人注目的目标是密歇根州立大学,该大学拒绝支付赎金。(4)REvilREvil是市场上最常见的勒索软件变种之一,于2019年4月17日首次被发现,当时攻击者利用了OracleWebLogicServer中的一个漏洞(CVE-2019-2725)。两个月后,销售广告开始出现在XSS论坛上。REvil一直是最活跃的勒索软件团伙之一,声称对英国金融服务提供商Travelex、美国娱乐和媒体律师事务所GrubmanShireMeiselas&Sacks以及美国德克萨斯州23个地方政府的攻击负责。REvil获得访问权限的最常见方式之一是通过远程桌面协议(RDP)漏洞,例如允许用户远程执行代码的BlueGate漏洞。在Travelex和GrubmanShireMeiselas&Sacks攻击事件中,利用过时的Citrix和PulseSecure远程访问软件在“大约三分钟”内访问了整个网络。REvil发现RaaS运营模式有利可图,这显然导致了暴涨的利润。据REvil称,会员的收入已从每个目标约20,000美元增长到30,000美元。(5)RyukRyuk几乎是勒索软件的代名词,因为该变种是最流行的勒索软件之一,受害者人数众多。最初,Ryuk在感染链中与Trickbot和Emotet联手。最近,我们还发现Ryuk是通过BazarLoader交付的。Ryuk在过去一年中呈爆炸式增长,并在全球范围内造成数百万起勒索软件事件。一些安全研究人员估计,今年发起的所有勒索软件攻击中,有多达三分之一与Ryuk有关。而今年Ryuk的攻击一直集中在医疗保健领域。参考来源:Intel471
