实施“双重敲诈勒索”经过今年年中一系列备受瞩目的勒索攻击,一些规模最大、最臭名昭著的勒索团伙已经销声匿迹。自今年5月以来,勒索软件攻击一直占据着头条新闻。俄语组织Conti对爱尔兰卫生局发起勒索软件攻击,DarkSide对总部位于美国的ColonialPipeline发起勒索软件攻击,REvil对肉类加工巨头JBS和远程管理软件公司Kaseya发起勒索软件攻击……这条链事件迫使拜登政府直接发出警告,将采取行动破坏勒索软件商业模式。白宫已正式通知俄罗斯政府,如果不打击使用勒索软件在其境内活动的犯罪分子,美国政府将代为行使这一权力。白宫宣布后不久,DarkSide和REvil就像他们之前的Avaddon小组一样消失了。事实上,这些团体都在“勒索软件即服务”(RaaS)模型上运作,在该模型中,运营商主要负责开发加密锁定的勒索软件,并将其提供给“附属机构”——实际进行黑客攻击的人用于攻击和勒索软件部署的第三方承包商。每次受害人支付赎金时,附属公司和运营商都会根据预先确定的分配比例分配战利品。或者,至少在理论上。Record是安全公司RecordedFuture的新网站,最近报道称,心怀不满的Conti附属公司泄露了该组织用于培训附属公司的手册和技术指南,理由是对他们提供的低薪感到不满。新的和“改头换面”的运营商出现考虑到目前许多企业的防御状态仍然存在,勒索软件将继续具有巨大的盈利潜力,许多安全专家认为,Avaddon、DarkSide和REvil背后的核心运营商可能会面临新的挑战重新打开。同时,分支机构经常处理多个勒索软件操作,有时是同时处理。因此,虽然一些组织可能不复存在,但勒索软件商业模式仍在不断涌现。与往常一样,新的勒索软件团伙会定期亮相。最近几周,执法和信息安全专家追踪到鲜为人知的攻击者发起的攻击有所增加。所有这些团体都在使用“双重勒索”策略,这意味着他们声称在加密锁定系统之前窃取了数据,并威胁要在数据泄露站点上泄露被盗数据,除非受害者支付赎金。这种情况下,即使受害组织有备份数据,也于事无补。以下是7个新兴勒索软件集团的更多详细信息:1.ALTDOS近日,新加坡网络安全局、警察部队和个人数据保护委员会警告称,ALTDOS网络犯罪集团一直在利用孟加拉国、新加坡和泰国的商业组织是有针对性的。根据他们关于ALTDOS的联合声明,目前尚不清楚ALTDOS使用的是哪种勒索软件变体。ALTDOS将使用托管在ProtonMail上的电子邮件地址联系受害者以要求付款或释放受损数据。此外,如果受害者在给定时间内没有响应或不遵守赎金要求,ALTDOS还可能对受害者的面向互联网的系统发起分布式拒绝服务攻击,以扰乱他们的运营服务并提醒他们支付赎金。赎金。与上述勒索组织一样,ALTDOS也实施了“双重勒索”策略,即不仅会通过获取解密工具胁迫受害人支付赎金,还会窃取受害人在加密锁定系统前的数据,并利用此胁迫受害者付款,否则被盗数据将被删除或披露。该公告还指出,该组织有时会要求受害者为解密服务支付单独的赎金,并要求支付第二笔赎金以防止被盗数据被删除。2.AvosLocker研究人员表示,AvosLocker集团于今年6月首次被发现,似乎主要针对美国、英国和欧洲部分地区的小型律师事务所,以及货运、物流和房地产公司。但研究发现,截至上月底,AvosLocker勒索软件运营商正在使用一项服务,该服务通过Jabber和Telegraph分发垃圾邮件来宣传他们的勒索软件合作伙伴计划,以试图招募更多分支机构。截至8月底,AvosLocker基于Tor的数据泄露网站列出了11名受害者,其中包括阿拉伯联合酋长国的Moorfields眼科医院,该医院是英国国家卫生服务部Moorfields眼科医院基金会信托基金的一个分支机构,该组织称其超过60GB的数据被盗。Moorfields已经证实了这次袭击,但没有将事件归咎于此。帕洛阿尔托Unit42威胁研究小组的DoelSantos和RuchnaNigam在一篇博文中表示,与许多竞争对手一样,AvosLocker提供技术支持服务,帮助受害者在受到加密软件攻击后恢复。该组织声称该软件是“防故??障”的,检测率低,并且能够处理大文件。我们观察到初始赎金要求从50,000美元到75,000美元不等。3.据Hive勒索软件专家称,新出现的Hive勒索软件是在6月26日被自称来自韩国的@fbgwls245推特账号背后的“勒索软件猎人”首次发现的。据悉,他在将恶意可执行文件上传到VirusTotal恶意软件扫描服务后,成功发现了该团伙的恶意可执行文件。截至8月底,Hive的数据泄露网站列出了34名受害者。根据PaloAlto的Santos和Nigam的说法:Hive使用勒索软件工具集中可用的所有工具来向受害者施压,包括最初妥协的日期、倒计时、泄漏站点上的实际披露日期,甚至在社交媒体选项上分享已披露的泄漏。虽然该组织可能已经磨练了其策略,但黑莓的研究和情报团队最近表示,根据观察到的Hive样本,该恶意软件似乎“仍在开发中”。安全公司Emsisoft的威胁分析师BrettCallow甚至直接批评了糟糕的代码质量。他说,目前看到的Hive样本使用了一种愚蠢且业余的加密方案,其中使用100个不同位大小的RSA密钥来加密文件。4.HelloKitty涉及HelloKitty勒索软件的攻击于2020年初首次被发现。4月,FireEye警告说,使用HelloKitty的攻击者一直以未打补丁的SonicWallSMA100系列统一接入网关为目标。该供应商已于1月23日确认并于2月23日修补了设备中的零日漏洞(名为CVE-2021-20016)。7月,PaloAlto研究人员表示他们发现了“HelloKitty的一个Linux变体,它针对VMware的ESXi管理程序,它广泛用于云和本地数据中心。”ESXi管理程序很可能成为目标,因为攻击者正在寻找这个易受攻击且广泛部署的程序以获取最大利益。一旦攻击者成功地以密码方式锁定了这些系统,就可能需要支付巨额赎金。PaloAlto说,使用HelloKitty的攻击者索要高达1000万美元的赎金,但他们最近收到的三笔赎金总额仅为150万美元。5.LockBit2.0LockBit2.0,以前称为ABCD勒索软件,也是一个以勒索软件即服务(RssS)模式运行的组织。虽然早在2019年9月就很活跃,但帕洛阿尔托最近发现其攻击方法发生了变化,并引入了一种名为LockBit2.0的勒索软件。自6月以来,该组织已攻击了全球52家组织,咨询公司埃森哲(Accenture)是最新的受害者之一。研究人员表示,威胁行为者在泄露网站上的所有帖子中都设置了倒计时,直到机密信息向公众发布,这给受害者带来了额外的压力。安全公司TrendMicro在最近的一份报告中表示,LockBit2.0以拥有当今勒索软件威胁环境中最快、最有效的加密方法之一而自豪。尽管如此,这些声明显然旨在提高该集团的知名度并吸引更多附属公司。最近,名为“LockBitSupp”的组织发言人接受了俄罗斯OSINTYouTube频道的采访,并赞扬了他们的行动计划的优点,称他们将把每笔赎金的80%分配给“负责任的人”。“附属机构。LockBitSupp还表示,运营商继续改进恶意软件和其他工具,试图使攻击不仅更快而且更自动化,包括泄露数据并将其路由到专用数据泄露站点。截至8月底,LockBit2.0泄露网站列出了64名受害者,其中一些人已经公布了他们被盗的信息,而其他人的倒计时仍在运行6.OnePercentGroup8月,FBI发布了关于OnePercentGroup的警报通知,称该组织一直处于活动状态自2020年11月以来,使用网络钓鱼攻击使受害者感染IcedID(又名BokBot)银行木马病毒。网络钓鱼电子邮件的附件是一个zip文件,其中包含一个MicrosoftWord或Excel文档,其中包含一个恶意宏,旨在安装恶意软件,该恶意软件会投放并执行CobaltStrike渗透测试工具。FBI表示,攻击者使用PowerShell脚本在网络中横向移动,使用Rclone工具将数据泄露到云存储,然后最终尽可能部署他们的加密锁定恶意软件。美国联邦调查局报告说,攻击者在部署勒索软件之前已经在受害者的网络中潜伏了大约一个月。攻击实施后,攻击者通过伪造的电话号码向受害者索要赎金,并向他们提供ProtonMail电子邮件地址以供进一步通信。攻击者不断要求与受害公司指定的谈判代表交谈,或威胁要公布被盗数据。FBI表示,该组织此前曾威胁要将被盗数据出售给REvil(又名Sodinokibi)组织,以换取任何拒绝付款的受害者。电子邮件安全公司Armorblox指出,FBI描述的妥协指标(IoC)与“Shathak(也称为TA551)”组织的活动重叠。7.BlackMatter勒索软件7月下旬,一个名为“BlackMatter”的网络犯罪论坛用户宣布推出一项“结合了DarkSide、REvil和LockBit的最佳功能”的新操作。然而,在分析了一个在野外发现的BlackMatter解密器后,安全公司Emsisoft的首席技术官兼勒索软件搜寻专家FabianWosar宣称,“BlackMatter应该正是DarkSide对自己进行的改造。”对BlackMatter使用的加密货币钱包的分析得出结论,这是DarkSide的新身份。从那时起,勒索软件运营商将以不同的面孔重新开放的预测似乎已经成真。50年来,我们清楚地了解到黑客行为会让人上瘾,更不用说勒索软件这个利润丰厚的领域了,安全专家表示,期望白宫通过简单的公告来扭转局面是天真的,这比改革或洗手更有可能金盆地。本文翻译自:https://www.bankinfosecurity.com/7-emerging-ransomware-groups-practicing-double-extortion-a-17384如有转载请注明出处。
