隨著全球新冠病毒大流行,世界各地的經(jīng)濟(jì)處于崩潰的邊緣,失業(yè)率攀升。然而,勒索軟件由于其匿名性和暴力性,導(dǎo)致一些使用勒索軟件進(jìn)行分發(fā)斂財(cái)?shù)膱F(tuán)隊(duì)愈發(fā)增多。
2020年以來,這些制造勒索軟件的服務(wù)商,以及從這些服務(wù)商購置勒索軟件用于投遞給受害者的攻擊者(會(huì)員),二者配合,外加服務(wù)商提供的恐嚇勒索之?dāng)?shù)據(jù)曝光服務(wù),讓世界各地公司,政府,學(xué)校等等機(jī)構(gòu)深惡痛疾。
但勒索軟件也并不是不能醫(yī)治,如果殺毒軟件廠商及時(shí)更新勒索軟件特征,用戶及時(shí)更新殺毒軟件,便能在一定程度上降低系統(tǒng)被殺毒軟件加密的概率,下面黑鳥就來給大家看一下2020年以來活躍的提供勒索軟件使用服務(wù)團(tuán)伙,也就是我們平常說的勒索軟件即服務(wù)(RaaS)。
如下面的表格顯示,一般有博客的團(tuán)伙都會(huì)使用恐嚇方法,即將加密公司系統(tǒng)前的數(shù)據(jù),發(fā)布在博客上,從而要挾公司趕緊交贖金。
新成立的Raas團(tuán)伙:
勒索市場的中堅(jiān)力量:
勒索軟件市場的最強(qiáng)力量:
DopplePaymer
自2019年以來,DoppelPaymer,由前BitPaymer(FriedEx)勒索軟件成員組成。勒索軟件本身通常是在拷貝敏感數(shù)據(jù)后,再手動(dòng)部署。DoppelPaymer團(tuán)隊(duì)運(yùn)營著一個(gè)基于Tor的博客,該博客用于發(fā)布有關(guān)受感染公司及其被盜數(shù)據(jù)的信息。
Egregor/Maze
目前Maze(迷宮)勒索軟件服務(wù)幕后團(tuán)伙已經(jīng)宣布將關(guān)閉其運(yùn)營。然而,有分析人員指出Maze的成員或者會(huì)員已經(jīng)融入Egregor勒索軟件背后的服務(wù)中。
Egregor在操作中遵循一種熟悉的模式:破壞公司網(wǎng)絡(luò)以竊取敏感數(shù)據(jù)并部署勒索軟件,與受害者進(jìn)行通信并索取贖金,然后在受害者組織拒絕支付贖金時(shí)將敏感數(shù)據(jù)轉(zhuǎn)儲(chǔ)到博客中。
有證據(jù)表明,Egregor也與Sekhmet勒索軟件有關(guān)。Egregor包含與Sekhmet相同的Base64編碼數(shù)據(jù),其中最后一行包含來自受感染系統(tǒng)的其他參數(shù)。研究人員還發(fā)現(xiàn),Egregor贖金記錄與Sekhmet所使用的記錄極為相似。
Netwalker
NetWalker最早在2019年9月被發(fā)現(xiàn),背后的攻擊者在2020年使用了釣魚郵件攻擊,這些郵件利用了對(duì)疫情大流行的影響和恐懼來誘使受害者將惡意軟件安裝到系統(tǒng)中。5月,運(yùn)營商啟動(dòng)了一個(gè)基于Tor的博客,以發(fā)布從受害者組織那里偷來的敏感數(shù)據(jù),這些組織拒絕支付所要求的贖金。
NetWalker的會(huì)員使用了無文件感染技術(shù),據(jù)稱可以繞過Windows 7和更新版本操作系統(tǒng)的用戶帳戶控制組件。NetWalker可以在兩種模式下操作:在網(wǎng)絡(luò)模式下,可以對(duì)單個(gè)計(jì)算機(jī)或整個(gè)網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行勒索,而受害者可以購買具有主密鑰的解密工具或購買必要的密鑰以對(duì)所有網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行解密。在個(gè)人模式下,一次贖金僅解密一臺(tái)計(jì)算機(jī)。
REvil/Sodinokibi
REvil是市場上最普遍的勒索軟件變體之一,首次部署于2019年4月17日,攻擊者利用了Oracle WebLogic服務(wù)器中的漏洞CVE-2019-2725。兩個(gè)月后,XSS論壇上開始出現(xiàn)售賣勒索軟件服務(wù)的廣告。
該組織攻擊方法,最常見采用遠(yuǎn)程桌面協(xié)議(RDP)漏洞,例如 BlueGate漏洞,該漏洞允許授權(quán)用戶遠(yuǎn)程執(zhí)行代碼。此外還有通過Citrix 和 Pulse Secure VPN漏洞進(jìn)行遠(yuǎn)程代碼攻擊。據(jù)稱攻擊者在大約三分鐘內(nèi)就可以訪問整個(gè)網(wǎng)絡(luò)。
REvil的會(huì)員負(fù)責(zé)攻擊和訪問目標(biāo)網(wǎng)絡(luò),下載有價(jià)值的文件并部署實(shí)際的勒索軟件,而REvil團(tuán)伙則負(fù)責(zé)受害者談判以及勒索,勒索贖金和分發(fā)。這種模式顯然導(dǎo)致了利潤的飛漲:根據(jù)REvil的說法,一個(gè)會(huì)員的收入從每個(gè)目標(biāo)約20,000美元增加到30,000美元,而另一家RaaS提供的收益在與REvil聯(lián)手后僅六個(gè)月內(nèi)就達(dá)到了每個(gè)目標(biāo)約700萬美元至800萬美元。
Ryuk
Ryuk勒索軟件,是一個(gè)通過使用Trickbot僵尸網(wǎng)絡(luò)和Emotet惡意軟件進(jìn)行最后階段分發(fā)的勒索軟件。
Ryuk的會(huì)員在攻擊中遵循一種模式:雇用黑客發(fā)起釣魚郵件活動(dòng),以傳播黑客的銀行惡意軟件。然后,另一組黑客在公司網(wǎng)絡(luò)內(nèi)進(jìn)行提升權(quán)限并部署勒索軟件。
2020年以來,Ryuk勒索軟件爆炸式增長,全球數(shù)百萬起勒索軟件事件中都有它的影子。一些安全研究人員估計(jì),在今年發(fā)起的勒索軟件攻擊中,有多達(dá)三分之一發(fā)現(xiàn)了Ryuk。
Ryuk今年一直集中針對(duì)醫(yī)療保健領(lǐng)域進(jìn)行勒索攻擊,曾針對(duì)美國最大的醫(yī)院系統(tǒng):全民健康服務(wù)公司進(jìn)行勒索。