勒索软件历史悠久,甚至可以追溯到1980年代后期。如今,勒索软件为其背后的犯罪集团创造了数十亿美元的收入。根据Sophos报告数据,2020年勒索软件攻击受害的平均成本是惊人的。支付赎金的受害组织损失接近150万美元,而未支付赎金的组织损失约73.2万美元。.在经济利益的驱动下,勒索软件团伙和恶意软件激增。能够开发和交付代码的勒索软件运营商有数百家,分销商也有数不胜数,即向勒索软件作者购买RaaS服务并分发利益的恶意分子。本文总结了主要的勒索软件组及其操作。尽管其中一些团体的活动有所下降,但不能保证它们会大规模卷土重来。CerberCerber是一个RaaS平台,于2016年首次出现,并于当年7月使攻击者净赚20万美元。工作原理:Cerber利用Microsoft漏洞感染网络。其功能与其他勒索软件类似。它主要使用AES-256算法对文件进行加密。攻击涵盖多种文件类型,包括文档、图片、音频文件、视频、档案和备份。扫描并加密可用的网络共享,即使它们未映射到您计算机中的驱动器盘符。攻击成功后,Cerber会在受害者的桌面上放置三个文件,其中包含赎金要求和付款说明。目标受害者:所有归因:Cerber的创建者在私人俄语论坛上销售服务。ContiContiRaaS平台于2020年5月首次出现,被认为是Ryuk勒索软件的继任者。截至2021年1月,Conti已经感染了150多个组织,并为其网络犯罪开发商和附属机构赚取了数百万美元。到目前为止,至少发现了三个新版本。工作原理:Conti使用双重威胁策略,即保留解密密钥并出售或泄露受害者的敏感数据。事实上,Conti团伙还经营着一个名为ContiNews的网站,该网站列出受害者名单并公开泄露被盗数据。一旦恶意软件感染受害系统,它就会尝试横向移动以访问更敏感的内容。此外,Conti通过使用多线程快速加密文件。目标受害者:2021年1月的最新一波感染似乎是针对政府组织,但作为RaaS操作,它对任何组织/个人都构成威胁。归因:康蒂作为一个独立的团伙运作,其成员不详。CryptoLockerCryptoLocker于2013年首次被发现,开启了勒索软件的现代时代,并在其高峰期感染了多达500,000台Windows计算机,也称为TorrentLocker。2014年7月,美国司法部宣布关闭CryptoLocker。工作原理:CryptoLocker是一种特洛伊木马程序,它会在受感染的计算机和任何内部或网络附加存储设备中搜索要加密的文件。通常通过带有包含恶意链接的文件附件的网络钓鱼电子邮件进行分发。一旦文件被打开,下载器就会被激活,从而感染计算机。目标受害者:似乎没有针对任何特定实体。归因:CryptoLocker是由犯罪团伙的成员创建的,该团伙还开发了银行木马GameoverZeus。CryptoWallCryptoWall,又名CryptoBit或CryptoDefense,最早出现于2014年,在CryptoLocker关闭后流行起来。据报道,该恶意软件已经发生了一些变化。工作原理:通过垃圾邮件或漏洞利用工具包分发。CryptoWall的开发人员似乎避免使用复杂的方法,而倾向于使用简单但有效的经典勒索软件方法。在运行的前六个月,它感染了625,000台计算机。目标受害者:这种勒索软件已经危害了全球数以万计的组织,但避开了俄语国家。归因:CryptoWall开发人员可能来自俄语国家。此外,CryptoWall3.0能够检测它是否在白俄罗斯、乌克兰、俄罗斯、哈萨克斯坦、亚美尼亚或塞尔维亚的计算机上运行,??如果是,它将自行卸载。CTB-LockerCTB-Locker于2014年首次报道,以其高感染率而闻名。2016年,发布了针对Web服务器的新版本CTB-Locker。工作原理:勒索软件分支机构必须按月向CTB-Locker开发人员支付费用,才能访问托管的勒索软件代码。该勒索软件使用椭圆曲线密码术来加密数据。它还以其多语言能力而闻名,将潜在的受害者传播到全球各地。目标受害者:鉴于其RaaS模型,CTBLocker对任何组织都是一种威胁,尤其是来自西欧、北美和澳大利亚等国家/地区的支付赎金的组织。DoppelPaymer于2019年6月首次出现,至今仍然活跃。最值得注意的是,2020年9月,DoppelPaymer勒索软件攻击了一家德国医院,导致该医院被迫将患者转往另一家医院,导致患者死亡。运作方式:DoppelPaymer团伙使用一种不同寻常的策略,用假的美国电话号码给受害者打电话并索要赎金,赎金通常约为50个比特币(原价60万美元)。他们声称来自朝鲜,并威胁要泄露或出售被盗数据。在某些情况下,他们还威胁受害公司的员工。据悉,DoppelPaymer似乎是基于BitPaymer勒索软件的变种,但两者之间存在一些关键差异。例如,DoppelPaymer使用线程文件加密来提高加密率,并使用一种名为ProcessHacker的工具来终止安全措施、电子邮件服务器、备份和数据库进程等,以削弱受害者的防御能力,防止加密过程被中断.目标受害者:医疗保健、紧急服务和教育等关键行业。归因:怀疑由TA505负责,TA505是Dridex木马背后的一个分支。EgregorEgregor于2020年9月现身。直到2021年2月9日,美国、乌克兰和法国当局联合行动逮捕了Egregor的集团成员和附属机构,使其网站下线。运作方式:Egregor遵循“双重勒索”趋势,既加密数据又威胁如果不支付赎金则泄露敏感信息。其代码库相对复杂,可以通过混淆和反分析技术规避检测。目标受害者:截至11月下旬,Egregor已经入侵了全球19个行业的至少71个组织。归因:Egregor的崛起恰逢Maze勒索团伙的关闭,因此判断Maze的分支似乎已经转移到Egregor。此外,Egregor还是与Qakbot恶意软件相关联的Sekhmet勒索软件系列的变体。FONIXFONIX是2020年7月首次发现的RaaS产品。经过多次代码修改后,它于2021年1月突然关闭。FONIX小组随后发布了其主密钥。运作方式:FONIX团伙在网络犯罪论坛和暗网上宣传其服务。FONIX的买家会将电子邮件地址和密码发送给该团伙。然后,该团伙将定制的勒索软件有效负载发送给买家。攻击成功后,操作团伙收取赎金的25%作为报酬。目标受害者:全部归因:未知GandCrabGandCrab可能是有史以来最赚钱的RaaS产品。GandCrab于2018年1月首次被发现,截至2019年7月,其开发商已向受害者索赔超过20亿美元的损失。工作原理:恶意软件通常通过网络钓鱼电子邮件中发送的恶意MicrosoftOffice文档进行传播。目前,GandCrab的变种通过利用Atlassian的Confluence等软件中的漏洞注入恶意模板来实现远程代码执行。目标受害者:GandCrab感染了全球多个行业的系统,但避免在俄语地区活动。归因:链接到俄罗斯。GoldenEyeGoldenEye出现于2016年,疑似基于Petya勒索软件开发。运作方式:GoldenEye最初以人力资源部门为目标,通过提供虚假的求职信和简历发起攻击。一旦它的有效载荷感染了计算机,它就会执行一个宏来加密计算机上的文件,并在每个文件的末尾添加一个随机的8字符扩展名。然后,勒索软件使用自定义引导加载程序修改计算机的硬盘驱动器主引导记录。目标受害者:目标是讲德语的用户。归因:未知JigsawJigsaw于2016年首次出现,但研究人员很快发布了解密工具。工作原理:Jigsaw的独特之处在于它会加密一些文件,要求赎金,然后逐渐删除文件,直到受害者支付赎金。基本上每小时删除一个文件,一般持续72小时。这段时间之后,所有剩余的文件将被删除。预期受害者:无具体目标归因:未知KeRangerKeRanger于2016年被发现,据信是第一个旨在攻击MacOSX应用程序的可操作勒索软件。工作原理:通过合法但受感染的BitTorrent客户端分发,该客户端具有有效证书并能够逃避检测。目标受害者:Mac用户归因:未知LeatherlockerLeatherlocker于2017年在两个Android应用程序中被发现:Booster&Cleaner和WallpaperBlurHD。发现后不久,谷歌从商店中删除了这些应用程序。工作原理:在受害者下载看似合法的应用程序后,该应用程序会请求权限以授予恶意软件执行所需的访问权限。勒索软件不会加密文件,而是锁定设备的主屏幕,防止受害者访问数据。目标受害者:下载受感染应用程序的Android用户归因:未知LockerGogaLockerGoga在2019年针对工业公司的攻击中很活跃。尽管攻击者索要赎金,但LockerGoga似乎旨在让受害者难以实际支付赎金。这导致一些研究人员认为其意图是破坏而不是纯粹的经济利益。工作原理:LockerGoga通过包含恶意文档附件的网络钓鱼活动感染系统。有效负载使用有效证书签名,允许它们绕过安全性。目标受害者:欧洲的制造公司,其中最著名的是NorskHydro,其全球IT系统因攻击而瘫痪。LockyLocky于2016年开始传播,使用类似于银行恶意软件Dridex的攻击模式。据悉,Locky启发了包括Osiris和Diablo6在内的多个变种。工作原理:向受害者发送一封带有MicrosoftWord文档的电子邮件,声称是发票,其中包含恶意宏。通常情况下,Microsoft会禁用宏,但如果启用宏,文档就会运行宏并下载Locky(Dridex也使用相同的技术来窃取帐户凭据)。目标受害人:前期以医院为目标,后期不以医院为目标。归因:Locky背后的网络犯罪组织疑似隶属于Dridex背后的组织。MazeMaze是一个相对较新的勒索软件组,于2019年5月被发现。如果受害者不支付解密费用,它会将窃取的数据公之于众。2020年9月,Maze宣布将停止运营。工作原理:迷宫攻击者通常使用可以通过网络钓鱼活动猜测或获得的有效凭证来远程访问网络。然后,恶意软件使用开源工具扫描网络中的漏洞。然后它在网络中横向移动以搜索可用于特权升级的其他凭据。找到域管理员凭据后,您就可以访问和加密网络上的任何内容。目标受害者:遍及全球所有行业。归因:具有共同专长的多个犯罪集团,而非单一团伙。NetwalkerNetwalker自2019年以来一直活跃,它使用隐瞒解密密钥和出售或泄露被盗数据的双重威胁。然而,在2021年1月下旬,美国司法部宣布了一项破坏Netwalker运营的全球行动。工作原理:从技术角度来看,Netwalker是一种比较常见的勒索软件,它利用钓鱼邮件获得立足点,加密和窃取数据,并发送勒索要求。据悉,该公司发布被盗数据的方式是将数据放在暗网上一个受密码保护的文件夹中,然后公开发布密钥。目标受害者:医疗保健和教育机构归因:由CircusSpider运营NotPetya于2016年首次出现,实际上是数据破坏恶意软件(“scraper”),但伪装成勒索软件。工作原理:NotPetya与Petya相似,因为它加密文件并要求以比特币支付赎金。但与Petya不同,后者需要受害者点击恶意电子邮件才能启动恶意软件并获得管理员权限,NotPetya可以在没有人为干预的情况下传播。最初的感染媒介似乎是通过植入MEDoc的后门实现的,所有乌克兰公司都多次使用该后门。一旦攻击者通过Medoc服务器感染了计算机,NotPetya还可以使用各种技术感染其他计算机,包括EternalBlue和EternalRomance。它甚至可以使用Mimikatz在被感染机器的内存中找到网络管理凭据,然后使用WindowsPsExec和WMIC工具远程访问并感染本地网络上的其他计算机。目标受害者:专注于乌克兰归因:PetyaPetya恶意软件的初始版本是俄罗斯GRU内部的沙虫组织,于2016年3月开始传播。该名称来自1995年邦德电影《黄金眼》中的一颗卫星。一个被怀疑是恶意软件作者的Twitter帐户使用了扮演恶棍的演员艾伦卡明的照片作为他的头像。工作原理:Petya收到一封声称是求职者简历的电子邮件,其中包含两个文件:一个年轻人的图像和一个可执行文件。当受害者单击该文件时,Windows用户访问控制警告会告诉他们可执行文件将对计算机进行更改。一旦受害者接受更改,恶意软件就会加载,然后通过攻击存储介质上的低级结构来拒绝访问。目标受害者:任何Windows系统都是潜在目标,但乌克兰是此次攻击的重灾区。归因:未知PureLockerRaaS平台由Purelocker在2019年发现,针对运行Linux或Windows的企业生产服务器。因为它是用PureBasic语言编写的,因此得名。工作原理:PureLocker依靠more_eggs后门恶意软件来获取访问权限,而不是网络钓鱼尝试。攻击者有选择地加密受感染计算机上的数据。目标受害者:只有少数犯罪团伙能够负担得起PureLocker,因此会瞄准更高价值的目标。归因:恶意软件即服务提供商可能支持PureLocker。RobbinHoodRobbinHood是一种使用EternalBlue的勒索软件变种。工作原理:RobbinHood最独特之处在于其有效负载如何绕过端点安全。它有五个部分:杀死安全产品进程和文件的可执行文件,部署签名的第三方驱动程序和恶意未签名内核驱动程序的代码,易受攻击的旧版本Authenticode签名驱动程序,并杀死内核空间进程和删除文件,以及一个文本包含要终止和删除的应用程序列表的文件。目标受害者:巴尔的摩和格林维尔的地方议会受到的打击最为严重。归因:未知Ryuk于2018年8月首次出现,基于名为Hermes的旧勒索软件程序,该程序于2017年在网络犯罪地下论坛上出售。工作原理:通常与TrickBot等其他恶意软件结合使用。Ryuk运营团伙以使用手动黑客技术和开源工具横向移动私有网络并在启动文件加密之前获得尽可能多的系统管理访问权限而闻名。通常,Ryuk攻击者向受害者索要高额赎金,即15到50个比特币(约100,000到500,000美元)。目标受害者:企业、医院和政府组织归因:最初归因于朝鲜的Lazarus集团,该集团于2017年10月使用Hermes攻击台湾的远东国际银行(FEIB)。据信,Ryuk是由讲俄语的网络犯罪分子创建的也获得了爱马仕的访问权的小组。此外,Ryuk运营团伙还运营着TrickBot。一些研究人员认为,Ryuk可能是由Hermes的原作者或CryptoTech旗帜下的人创建的。SamSamSamSam自2015年以来一直活跃,主要针对医疗保健组织,并在接下来的几年中显着增加。工作原理:SamSam的控制器探测预选目标的弱点,利用从IIS到FTP到RDP的一系列漏洞。一旦进入系统,攻击者就会提升他们的权限,以确保当他们开始加密文件时,攻击具有极大的破坏性。预期受害者:医疗保健和政府组织归因:最初认为起源于东欧。2018年末,美国司法部起诉了两名伊朗人,称其为此次袭击的幕后黑手。SimpleLockerSimpleLocker出现于2014年,是第一个广泛针对移动设备,尤其是Android设备的勒索软件。工作原理:当受害者下载恶意应用程序时,SimpleLocker会感染设备。然后,恶意软件会扫描设备SD卡上的某些文件类型并对其进行加密。最后,显示赎金和有关付款方式的说明。目标受害者:由于赎金票据是俄语并要求以乌克兰货币付款,因此推测攻击者最初的目标是该地区。归因:由开发其他俄罗斯恶意软件(如SlemBunk和GMBot)的黑客所写。Sodinokibi/REvilSodinokibi是一个RaaS平台,于2019年4月首次出现,并于2019年除夕关闭了英国货币兑换服务Travelex。该勒索软件与GandCrab相关联,代码在俄罗斯和几个邻国以及在叙利亚。工作原理:Sodinokibi以多种方式传播,包括利用OracleWebLogic服务器或PulseConnectSecure虚拟专用网络中的漏洞。它针对MicrosoftWindows系统并加密除配置文件之外的所有文件。如果受害者不支付赎金,他们的敏感数据就会被出售或发布在地下论坛上。目标受害者:在其排除区域之外的世界各地的不同组织。归因:Sodinokibi在GandCrab关闭后崭露头角。据称该组织的一名成员证实,该勒索软件是建立在旧代码库之上的。TeslaCryptTeslaCrypt是一种Windows勒索软件木马,首次出现于2015年,主要针对电脑游戏玩家。2016年5月,开发商关闭运营并发布了万能钥匙。工作原理:在受害者访问运行漏洞利用工具包的黑客网站后,TeslaCrypt会发现并加密游戏文件,例如游戏存档、录制的回放和用户配置文件。然后索要价值500美元的比特币来解密文件。目标受害者:电脑玩家归因:未知ThanosThanos出现于2019年底,是第一个使用RIPlace技术的勒索软件,该技术可以绕过大多数反勒索软件策略。工作原理:Thanos通常在地下论坛和其他封闭渠道上做广告,作为其附属机构用来创建勒索软件有效负载的自定义工具。Thanos提供的许多功能都是为了逃避检测而设计的,其开发人员已经发布了多个版本,例如添加了多个禁用第三方备份、删除WindowsDefender签名文件以及使响应团队更难取证的功能。功能。目标受害者:全部归因:未知由于美国国家安全局(NSA)开发的EternalBlue漏洞,WannaCry被黑客窃取。2017年5月,WannaCry蠕虫通过计算机网络迅速传播,感染了数百万台Windows计算机。工作原理:WannaCry由多个组件组成,这些组件以滴管的形式到达受感染的计算机。作为一个独立的程序,dropper可以提取嵌入自身的其他应用程序组件,包括:加密和解密应用程序、包含加密密钥的文件以及Tor的副本。一旦启动,WannaCry将尝试访问硬编码的URL。如果不能,它将继续搜索和加密重要格式的文件,包括MicrosoftOffice文件、MP3和MKV。然后显示赎金票据,要求比特币解密文件。目标受害者:此次攻击影响了全球的公司,但医疗保健、能源、交通和通信行业的公司受到的打击更大。归因于:朝鲜的拉撒路集团。WastedLockerWastedLocker是最近的勒索软件,于2020年5月开始攻击。该勒索软件相对复杂,其创建者以索取高额勒索费用而闻名。工作原理:该恶意软件使用SocGholish,这是一种基于JavaScript的攻击框架,它以ZIP文件的形式作为受感染网站上的虚假更新进行分发。一旦WastedLocker被激活,它就会下载并执行一个PowerShell脚本和一个名为CobaltStrike的后门。然后,恶意软件会探索网络并部署工具来窃取凭据并获得对高价值系统的访问权限。最后使用AES和RSA加密技术对数据进行加密。目标受害者:高价值目标最有可能支付高额赎金,主要在北美和西欧。归属:EvilCorp,知名犯罪团伙。WYSIWYEWYSIWYE(所见即所得)是2017年发现的适用于Windows系统的RaaS平台。工作原理:扫描网络以查找开放的远程桌面协议(RDP)服务器,然后使用弱凭证执行登录尝试。为所见即所得服务付费的不法分子一般可以选择加密哪些文件类型以及加密后是否删除原文件。扫描网络以查找开放的远程桌面协议(RDP)服务器,然后使用默认或弱凭据执行登录尝试以访问系统并在网络中移动。购买所见即所得服务的不法分子可以选择加密哪些文件类型以及加密后是否删除原文件。目标受害者:最初出现在德国、比利时、瑞典和西班牙。归因:未知ZeppelinZeppelin于2019年11月首次出现,它是Vega或VegasLockerRaaS产品的后代,已知曾给俄罗斯和东欧的会计师事务所造成损失。工作原理:Zeppelin功能丰富(尤其是在可配置性方面),勒索软件可以通过多种方式部署,包括作为EXE、DLL或PowerShell加载程序,尽管它的一些攻击仍然来自受感染的托管安全服务提供商。目标受害者:Zeppelin比Vega更具针对性,即不在俄罗斯、乌克兰、白俄罗斯或哈萨克斯坦运行的计算机上运行,??更多地针对北美和欧洲的医疗保健和技术公司。归因:疑似俄罗斯攻击者从Vega的代码库开发了Zeppelin。参考来源:csoonline
