不容忽视的是,勒索软件团伙正在加速创新步伐!事实上,我们几乎每天都能看到各种关于加密恶意软件受害者的新闻曝光。随着最近有关Maze和Lockbit团伙与REvil(又名Sodinokibi)之间合作的报道,这些勒索软件运营商不会选择在受害者拒绝支付赎金时免费泄露被盗数据,而是将其拍卖给出价最高的人。尽管冠状病毒(COVID-19)肆虐全球,但许多勒索软件团伙并未停止对医疗保健行业及其供应商的攻击。以下是勒索软件最新的7大发展趋势:1.Maze勒索软件集团提供“数据泄露即服务”的演化。多年来,勒索软件运营商一直声称他们会窃取数据,然后威胁如果受害者不付钱就释放数据。然而,直到2019年11月,Maze勒索软件的运营者才真正实施威胁,并公开发布了被盗文件。“迷宫”勒索团伙是首个“加密”+“窃取”组合。他们不仅会对受害者的系统进行加密,还会窃取数据并以“payorleak”的形式强迫受害者支付赎金。2019年下半年,以Labyrinth为首的各大勒索家族(包括Nefilim、Sekhmet、REvil等)掀起??了一股“窃密”风潮。创建“泄漏站点”的“撕裂”似乎是越来越少的受害者向攻击者支付赎金的结果。“我认为,他们创建泄密网站的原因是人们为满足勒索者的胃口而支付的费用越来越少,”McAfee的首席科学家RajSamani说。据IBMX-Force研究人员称,Maze作为“窃密”趋势的领头羊,勒索软件现在已经向前迈进了一大步。它已经开始与Lockbit勒索软件团伙合作,通过在Maze的专用泄密网站上发布Lockbit窃取的数据来赚钱。据报道,该组织之前没有数据泄露站点。研究人员推测,此举可能是Maze团伙通过Maze相对知名的数据泄露网站向其他勒索软件团伙提供数据泄露即服务的一部分。“我们没有任何关于Maze通过向其他团体提供这项服务赚了多少钱的具体信息,但我们强烈怀疑他们一定是在威胁要泄露受害者的数据,”网络威胁狩猎公司OleVilladsen说。IBMX-ForceIRIS分析师。收到一定比例的付款。”不幸的是,Maze继续发挥其帮派建设技能,最近,它开始托管来自RagnarLocker帮派的泄露数据,该团伙之前使用Mega文件共享站点转储其数据,但托管http://mega.nz上泄露的数据很容易被删除,并将其托管在Maze的基础设施上意味着他们不必再担心了。2.新的勒索软件游戏:拍卖被盗数据最近的另一项创新是不泄露数据,但将其拍卖给出价最高的人。上个月,REvil团伙开始在其泄密网站上推出一项新的“拍卖”功能,该功能将使该组织能够将被盗文件货币化,而不是像以前那样免费发布它们他们的第一次拍卖目标是加拿大农业公司AgromartGroup(包括SollioAgriculture)的数据,这些数据上个月被该集团成功破解和加密,但选择不支付赎金。nts在Monero中起价为50,000美元。REvil团伙还承诺在不久的将来会“挂起”更多的受害者数据。Emsisoft的威胁分析师BrettCallow表示:“虽然勒索软件集团过去可能出售和交易过数据,但这是第一次有意义的拍卖,而且很明显,这可能不会是最后一次。”以这种方式出售数据,不仅为犯罪分子提供了更多的获利选择,也给未来的受害者带来了更大的压力。与以往在神秘的Tor网站上发布的数据相比,受害者的数据一旦被拍卖并出售给竞争对手或其他犯罪集团,别说公司发展前景不容乐观,甚至可能涉及更多公司。”另一方面,勒索还是勒索,本质没变吧?Callow补充说:“虽然没有实质性差异,但我怀疑企业组织可能比以往任何时候都感受到更大的压力来拍卖其数据的后果。随着REvil最近几天开始对另外两名受害者——路易斯安那州查尔斯湖的FraserWheeler&CourtneyLLP和加利福尼亚州戴利的VierraMagenMarcusLLP进行数据拍卖威胁,这一索赔也将随之而来。它已得到进一步验证。据悉,上个月,为了给律师事务所施压,REvil团伙扬言要拍卖麦当娜的私人法律文件。虽然麦当娜的档案还没有被拍卖,但REvil团伙表示他们“记住了麦当娜”,暗示她的档案和其他从律师事务所被盗的文件也将很快公之于众。不过,截至目前,两家律师事务所均未对此事作出回应。3.有针对性的勒索软件攻击仍在继续安全测试和咨询公司7Elements的负责人兼事件响应专家DavidStubley表示,勒索软件攻击通常属于以下两种情况之一:一些攻击者“破坏和掠夺”以获得网络访问权限,感染大量Endpoints,然后水平或垂直攻击;另一种类型的攻击者更高级,他们花时间进行侦察、收集凭据、研究攻击业务合作伙伴的潜在路线等。携带各种恶意软件的攻击者可能会采取更高级的措施,包括“LivingofftheLand”(LotL)策略——使用合法的网络管理工具来帮助逃避检测。但某些类型的勒索软件似乎只用于有针对性的攻击。例如,BlackBerry和KPMG位于英国的网络响应服务的研究人员刚刚发布了一份关于Tycoon的报告,这是一种新型勒索软件,与迄今为止发现的大多数勒索软件不同,它是将新的勒索软件模块编译成Java图像文件格式(JIMAGE).JIMAGE是一种用于存储自定义JRE图像的文件格式,旨在供Java虚拟机(JVM)在运行时使用。Tycoon是一种针对Windows和Linux的多平台Java勒索软件,至少从2019年12月开始就在野外观察到它。它作为特洛伊木马化Java运行时环境(JRE)部署,并在安全环境中利用晦涩的Java图像格式运行。据观察,Tycoon背后的攻击者使用高度针对性的交付机制渗透到教育和软件行业的中小型公司和机构,他们在那里加密文件服务器并索要赎金。然而,由于公共RSA私钥的重用,数据可以在早期变体中无需付费即可恢复。BlackBerry威胁情报副总裁EricMilam说:“要部署这种类型的勒索软件,威胁行为者需要在组织内建立、渗透、侦察、瞄准并获得访问权限。”4.医疗保健行业继续受到冲击。尽管新冠病毒仍在全球肆虐,部分勒索软件团伙已承诺在此期间不会攻击医疗机构,但安全专家表示,针对该行业的攻击并未停止。事实上,在此期间,医疗保健行业甚至可能比以往任何时候都受到更多的攻击。最近两次针对医疗保健组织的勒索软件攻击涉及俄亥俄州剑桥的Woodlawn牙科中心和阿拉斯加帕尔默的Mat-Su外科医生协会。据悉,这两起事件都可能涉及攻击者窃取敏感数据,并已向卫生与公共服务部民权办公室报告。5.更多免费解密器值得庆幸的是,当前的勒索软件趋势并不全是“黑暗与破坏”。NoMoreRansom项目旨在为许多勒索软件提供免费解密器,最近为JavaLocker和Vcryptor勒索软件添加了免费解密器。同样在最近几天,Emsisoft发布了RedRum勒索软件的免费解密器。此外,Emsisoft发布了Jigsaw的更新解密器,使其能够解密.ElvisPresley变体;以及Tycoon勒索软件的解密工具,使受害者无需支付赎金即可恢复被Tycoon勒索软件攻击加密的文件;还更新了其Mapol勒索软件解密工具,增加了对更多变体的覆盖范围。安全专家建议勒索软件受害者可以使用由Emsisoft员工MichaelGillespie(@demonslay335)维护的NoMoreRansom和IDRansomware来识别受到攻击的勒索软件类型,看看是否有免费的解密器或解决方法可以用来恢复加密数据。NoMoreRansom通过网站的“CryptoSheriff”页面提供此功能,而IDRansomware从主页提供此功能。这两种服务都允许受害者上传加密文件以供识别,而IDRansomware还允许受害者上传赎金票据以供识别。6.未打补丁的漏洞被利用不幸的是,安全专家并没有破解每一种勒索软件,这意味着对于许多类型的加密恶意软件,没有免费的解密程序。但对于发现自己的系统被勒索软件团伙强行加密并勒索赎金以换取解密密钥的组织来说,这可能不是问题的一部分。事实上,安全专家长期以来一直警告说,许多成功的勒索软件攻击必须被视为更大的事件响应挑战的一部分。也就是说,许多违规行为并非以勒索软件开始或结束。在用加密恶意软件感染系统之前,攻击者可能已经通过暴力攻击或网络钓鱼攻击破坏了远程桌面协议凭据,从而获得了对网络的远程访问权限。然后,他们可以花费数周或数月的时间进行侦察,以横向侵入其他系统,窃取ActiveDirectory的管理员级访问凭据,并窃取敏感数据,以便在受害者拒绝支付赎金时泄露这些数据。即使一家公司刚刚经历了一波勒索软件攻击,目前的攻击者可能还不止于此,他们可能还在打电话试图寻找该公司尚未修补的漏洞。Emsisoft的Callow表示:“由于漏洞没有及时修复,接连遭遇二次攻击也很常见。例如,澳大利亚航运巨头TollGroup在四个月内遭受了两次恶意软件攻击。今年3月,该公司它遭到Netwalker(又名Mailto)恶意软件的攻击,仅仅大约6周后,该公司再次遭到Nefilim勒索软件(从Nemty演变而来的新一代病毒)的攻击。同样,全球航运巨头PitneyBowes在2019年遭到勒索软件攻击后2009年10月,近日遭到疑似Maze勒索软件的攻击。”7.团伙仍可能在网络中的企业网络上建立。对于受害者来说,挑战之一可能是攻击者可以窃听他们的入侵后响应计划。例如,最近,研究人员表示,在勒索事件发生后,REvil和Maze似乎仍然可以访问Agromark和STEngineering的网络。在STEngineering攻击中,总部位于新加坡的国防承包商STEngineering证实其北美子公司VTSanAntonioAerospace遭到Maze勒索软件团伙的攻击。STEngineering没有说明攻击何时开始,但攻击者继续通过攻击者泄露的文件中包含的事件响应报告远程访问受害企业系统。同样,在AgromarkGroup攻击事件中,REvil泄露了一封6月2日的电子邮件,这封电子邮件似乎是该公司的内部通信,详细说明了该公司准备如何应对勒索软件感染,其中包括建立内部通信规则、与律师沟通、以及“与安全顾问交谈以更好地了解勒索软件的情况”等。据悉,该内部邮件还以红色文字着重标示:“请勿转发此邮件”。威胁愈演愈烈,勒索病毒从未停止过创新发展的步伐。随着勒索软件即服务的爆发式发展,未来,受害人受到勒索软件攻击的影响势必会增加。组织必须提高警惕,加强内部培训,完善自身数据保护工作,部署安全威胁监测和应急响应程序,以更好的态度迎接挑战。
