得益于“網(wǎng)絡(luò)犯罪即服務(wù)”（cybercrime-as-a-service）生態(tài)系統(tǒng)的蓬勃發(fā)展，勒索軟件業(yè)務(wù)仍在愈演愈烈。

　　其中一些服務(wù)主要基于犯罪分子利用組織尚未修補(bǔ)的已知漏洞，或強(qiáng)制訪問遠(yuǎn)程桌面協(xié)議（RDP）連接，然后將此訪問權(quán)限出售給其他人。針對(duì)這種情況，改進(jìn)補(bǔ)丁管理和RDP安全實(shí)踐是行之有效的防御措施。

　　然而，除非采取強(qiáng)有力的措施，否則其他勒索軟件的“助推器”可能會(huì)繼續(xù)蓬勃發(fā)展。破壞勒索軟件運(yùn)營商招募專家和出售服務(wù)的網(wǎng)絡(luò)犯罪論壇，通常需要執(zhí)法干預(yù)。

　　接下來為大家介紹9種勒索軟件“助推器”，以及可以采取的應(yīng)對(duì)措施：

　　1. 新論壇助長勒索軟件

　　有時(shí)，網(wǎng)絡(luò)犯罪社區(qū)似乎是遵循“自我監(jiān)管”原則——至少在理論上是這樣。例如，今年5月份，在DarkSide針對(duì)美國的Colonial Pipeline以及Conti針對(duì)愛爾蘭衛(wèi)生服務(wù)機(jī)構(gòu)的攻擊造成政治影響之后，一些最大的俄語網(wǎng)絡(luò)犯罪論壇——包括XSS和Exploit——已經(jīng)正式禁止任何涉及勒索軟件的通信。

　　然而，一些安全專家表示，許多論壇總是能“鉆漏洞”找到變通方法，例如“滲透測(cè)試者”和“訪問代理”的廣告貼，前提是這些廣告沒有特別提及加密鎖定惡意軟件的字眼。

　　盡管一些較大的論壇已經(jīng)禁止討論勒索軟件，但一些較小的參與者似乎并不排斥它們，其中還不乏一些新涌現(xiàn)的論壇。

　　據(jù)以色列威脅情報(bào)公司Kela稱，7月12 日，Babuk勒索軟件運(yùn)營商的數(shù)據(jù)泄露站點(diǎn)（6月份已從Babuk更名為Payload.bin）再次變成一個(gè)名為RAMP的網(wǎng)絡(luò)犯罪論壇。Kela公司威脅情報(bào)分析師Victoria Kivilevich在一份新的研究報(bào)告中表示。

　　據(jù)官方介紹，RAMP代表“Ransom Anon Mark Place（勒索軟件匿名市場(chǎng)）”，但事實(shí)上它也是在致敬已解散的“俄羅斯匿名市場(chǎng)”（Russian Anonymous Marketplace，簡(jiǎn)稱RAMP，于2017年關(guān)閉）。

　　該新論壇稱其旨在支持勒索軟件即服務(wù)（RaaS）操作，這是當(dāng)今涉及勒索軟件的主要商業(yè)模式。在RaaS模式下，運(yùn)營商或管理員負(fù)責(zé)開發(fā)加密鎖定惡意軟件，附屬機(jī)構(gòu)（affiliate）通過門戶獲取該惡意軟件，用于感染受害者，并從支付的每筆贖金中抽取一部分傭金。

　　Kela公司介紹稱，一個(gè)最初名為“TetyaSluha”——現(xiàn)在是“Orange”的新管理員宣布它現(xiàn)在是一個(gè)可以保護(hù)勒索軟件附屬公司免受不道德RaaS程序侵害的地方。該管理員聲稱，在其他論壇禁止勒索軟件通信之后，他想創(chuàng)建一個(gè)新社區(qū)，并指出該論壇目前已經(jīng)有專門介紹初始訪問經(jīng)紀(jì)人、勒索軟件供應(yīng)商和附屬程序的部分。

　　Kela補(bǔ)充道，在遭受垃圾郵件攻擊后，RAMP于7月底下線，但網(wǎng)站上的一條消息稱它將于 8月13日恢復(fù)。當(dāng)再次恢復(fù)運(yùn)行時(shí)，它無疑將繼續(xù)成為想要竊聽討論的威脅情報(bào)公司的目標(biāo)，也可能成為尋求識(shí)別地下網(wǎng)絡(luò)犯罪成員并試圖逮捕他們的執(zhí)法機(jī)構(gòu)的目標(biāo)。

　　2. 勒索軟件團(tuán)體有其他溝通策略/渠道

　　安全公司Trend Micro的網(wǎng)絡(luò)犯罪研究主管Bob McArdle表示，更大的勒索軟件操作團(tuán)體可能還構(gòu)建了廣泛的連接列表和完善的關(guān)系拓?fù)?，因此它們?duì)論壇的依賴程度較低。

　　同樣地，威脅情報(bào)公司Flashpoint也表示，勒索軟件運(yùn)營歷來都是通過多個(gè)渠道進(jìn)行招募。它說，有些團(tuán)體，例如Black Shadow，主要依賴Telegram帳戶；其他人，例如LockBit 2.0，則會(huì)在他們的論壇上進(jìn)行勒索軟件即服務(wù)招聘。

　　與此同時(shí)，據(jù)安全公司稱，近日，AvosLocker勒索軟件運(yùn)營商使用了一項(xiàng)通過Jabber和Telegraph分發(fā)垃圾郵件的服務(wù)，來宣傳其勒索軟件合作伙伴計(jì)劃。

　　圖片

　　3. 專家提供按需服務(wù)

　　安全專家表示，勒索軟件運(yùn)營商不只是尋求招募新的附屬機(jī)構(gòu)。一些規(guī)模更大、更復(fù)雜的行動(dòng)——例如REvil、DarkSide 和 Ryuk——還會(huì)通過招募不同的專家來增加攻擊成功率并助力勒索業(yè)務(wù)蓬勃發(fā)展。

　　勒索軟件事件響應(yīng)公司Coveware表示，對(duì)于一次完整的勒索軟件攻擊活動(dòng)，可能涉及十多個(gè)獨(dú)特的參與者，每個(gè)參與者都有不同的專業(yè)技能，對(duì)攻擊的不同階段做出貢獻(xiàn)。當(dāng)勒索軟件組織專注于特定的入侵方法時(shí)，他們很可能會(huì)去尋找正在向符合RaaS組特征的未來受害者出售網(wǎng)絡(luò)訪問權(quán)限的上游專家，這些上游專家已經(jīng)不止一次地出售這種訪問權(quán)限，因此能夠在競(jìng)爭(zhēng)對(duì)手之前獲取競(jìng)爭(zhēng)優(yōu)勢(shì)來影響網(wǎng)絡(luò)。

　　不過，并非所有專家都會(huì)參與直接入侵組織的活動(dòng)。有些只是提供輔助服務(wù)，例如與受害者談判。其他人還可以給受害者帶來其他類型的支付壓力，例如，通過分發(fā)似乎不需要頂級(jí)技術(shù)技能的拒絕服務(wù)攻擊。

　　威脅情報(bào)公司英特爾471表示，它曾經(jīng)跟蹤過一名網(wǎng)絡(luò)犯罪分子，該人于1月首次出現(xiàn)在一個(gè)著名的網(wǎng)絡(luò)犯罪論壇上，該論壇在Colonial Pipeline攻擊事件被關(guān)閉后，他又成為了臭名昭著的DarkSide行動(dòng)的同伙。據(jù)該名犯罪分子交代，他主要負(fù)責(zé)對(duì)DarkSide的受害者發(fā)起DDoS攻擊。在任何給定時(shí)間，都會(huì)有10到20個(gè)目標(biāo)受到DDoS攻擊，攻擊會(huì)持續(xù)1到21天不等，受害者每次支付贖金，他們就能賺取500到7,000美元。

　　4. 初始訪問經(jīng)紀(jì)人為您鋪平道路

　　在勒索軟件攻擊者利用的各種專家中，有一個(gè)角色叫做“初始訪問經(jīng)紀(jì)人”，這是描述黑客獲得組織網(wǎng)絡(luò)訪問權(quán)，然后將該訪問權(quán)出售給其他人的一種奇特方式。對(duì)于使用勒索軟件的攻擊者來說，購買訪問權(quán)限意味著他們可以花更多時(shí)間來感染受害者，而不必先侵入他們的系統(tǒng)。

　　此類經(jīng)紀(jì)人的服務(wù)似乎正在激增。回顧今年前三個(gè)月最受歡迎的10個(gè)俄語和英語犯罪論壇，安全公司Positive Technologies統(tǒng)計(jì)了近600個(gè)訪問報(bào)價(jià)，而上一季度這一數(shù)字僅為255個(gè)。

　　該數(shù)字還并不包括所有此類出售的訪問權(quán)限，因?yàn)橐恍├账鬈浖僮髋c初始訪問經(jīng)紀(jì)人建立了合作伙伴關(guān)系，或者向他們提供“回扣”以獲得優(yōu)先購買權(quán)。其他經(jīng)紀(jì)人會(huì)列出他們提供出售的一些“訪問權(quán)限”，但會(huì)告訴潛在買家直接與他們聯(lián)系以獲取有關(guān)其他目標(biāo)的信息。

　　然而，公開可用報(bào)價(jià)的增加表明，更多的組織有可能成為犯罪分子的受害者，這些犯罪分子獲得了對(duì)其網(wǎng)絡(luò)的遠(yuǎn)程訪問權(quán)限，并將這種訪問權(quán)限出售給出價(jià)最高的人。

　　5. 網(wǎng)絡(luò)釣魚和遠(yuǎn)程桌面協(xié)議（RDP）提供訪問權(quán)限

　　Coveware警告稱，對(duì)于使用勒索軟件的攻擊者來說，網(wǎng)絡(luò)釣魚和暴力破解RDP訪問憑證仍然是獲得系統(tǒng)初始訪問權(quán)限最常用的兩種策略。

　　因此，擁有強(qiáng)大的網(wǎng)絡(luò)釣魚解決方案并鎖定RDP仍然是增強(qiáng)防御能力的明智之舉。

　　6. 未修補(bǔ)的漏洞同樣提供訪問權(quán)限

　　在使用勒索軟件的攻擊者獲取訪問權(quán)限的列表中，排名第三的是利用安全漏洞。Coveware表示，從4月到6月，它發(fā)現(xiàn)攻擊者特別喜歡利用兩個(gè)漏洞作為切入點(diǎn)，以獲取對(duì)組織網(wǎng)絡(luò)的遠(yuǎn)程訪問權(quán)限。這些漏洞分別為影響SSL VPN設(shè)備的Fortinet FortiOS路徑遍歷漏洞（CVE-2018-13379），以及SonicWall SRA 4600設(shè)備中的漏洞（CVE-2019-7481）。

　　FireEye的Mandiant事件響應(yīng)小組在一份報(bào)告中表示，在供應(yīng)商發(fā)布補(bǔ)丁之前，它觀察到一群使用FiveHands勒索軟件的組織于2月開始針對(duì)SonicWall SMA 100系列VPN設(shè)備中的漏洞。

　　英特爾471補(bǔ)充道，F(xiàn)iveHands的成員之后還利用了VMware Sphere Client漏洞（供應(yīng)商已于5月份完成修補(bǔ)）以及被稱為“PrintNightmare”的Windows Print Spooler Service漏洞（微軟于7月對(duì)其進(jìn)行了全面修補(bǔ)）。

　　永恒存在的“補(bǔ)丁或滅亡”的問題意味著，一旦供應(yīng)商發(fā)布安全修復(fù)程序，攻擊者就會(huì)競(jìng)相對(duì)其進(jìn)行逆向工程，以找到他們可能利用的漏洞，從而輕松聚焦尚未安裝更新的新受害者。

　　英特爾471表示，網(wǎng)絡(luò)犯罪分子和其他任何人一樣關(guān)注CVE，而且他們清楚地知道組織在修復(fù)漏洞方面存在拖延現(xiàn)象，而正是這些漏洞為犯罪分子提供了執(zhí)行攻擊所需的訪問權(quán)限。

　　7. 開源選項(xiàng)催生更多攻擊

　　惡意軟件源代碼經(jīng)常被泄露或在野外轉(zhuǎn)儲(chǔ)，使犯罪分子能夠重用和改編它。這種例子比比皆是：例如，2011 年，臭名昭著的Zeus銀行木馬的源代碼因不明原因在網(wǎng)上泄露，并迅速被眾多不法分子濫用。

　　就在2016年8月針對(duì)物聯(lián)網(wǎng)的Mirai僵尸網(wǎng)絡(luò)出現(xiàn)幾周后，其創(chuàng)建者在網(wǎng)上泄露了源代碼，其最初的目的很可能是試圖讓調(diào)查人員偏離軌道。但糟糕的是，許多其他犯罪分子已經(jīng)迅速改編并重新利用了該惡意軟件。

　　在勒索軟件方面，2015年，安全研究人員Utku Sen將EDA2和Hidden Tear構(gòu)建為開源勒索軟件，并將源代碼發(fā)布在GitHub上。雖然研究人員表示該代碼是為教育目的而開發(fā)的，但它很快就被犯罪分子濫用，甚至衍生了具有“Pokemon Go”（一款結(jié)合了AR技術(shù)的游戲）主題的惡意軟件變體。

　　不過，這種事情對(duì)安全研究人員來說也具有警示意義：永遠(yuǎn)不要將概念驗(yàn)證（PoC）勒索軟件在野發(fā)布。

　　8. 泄漏滿足加密鎖定惡意軟件的需求

　　最近，有人泄露了一個(gè)名為“Babukbuilder”的Windows可執(zhí)行文件，結(jié)果證明它是Babuk使用的關(guān)鍵軟件。

　　該構(gòu)建器用于生成惡意軟件的唯一副本，在Babuk勒索軟件模式下，用于為每個(gè)不同的受害組織生成加密鎖定惡意軟件和解密工具。

　　該可執(zhí)行文件最初是由總部位于倫敦的時(shí)尚零售巨頭Arcadia Group的安全運(yùn)營中心負(fù)責(zé)人 Kevin Beaumont發(fā)現(xiàn)的，他報(bào)告稱它會(huì)生成惡意軟件并影響“Windows、VMware ESXi、網(wǎng)絡(luò)附加存儲(chǔ)x86和ARM，以及廣泛使用的VMware hyperviso和NAS設(shè)備”。

　　包括Beaumont在內(nèi)的安全專家已經(jīng)證實(shí)了該軟件的有效性。

　　顯然，一些不太先進(jìn)的犯罪分子也泄露了他們的工具。英特爾471報(bào)告稱，6月下旬，一名使用信息竊取惡意軟件Vidar的運(yùn)營商向機(jī)器人發(fā)出了‘下載和執(zhí)行’任務(wù)，旨在安裝由構(gòu)建者生成的Babuk勒索軟件變體。

　　9. 重用惡意軟件縮短開發(fā)周期

　　很顯然，一些惡意軟件開發(fā)人員正在借用、共享或竊取代碼。例如，英特爾471報(bào)告稱，“Conti 勒索軟件和BazarLoader之間的代碼存在多種相似之處”，BazarLoader是一種旨在提供對(duì)受感染端點(diǎn)的遠(yuǎn)程訪問的惡意軟件。

　　此類持有勒索軟件的攻擊者以前曾使用此類惡意軟件（包括BazarLoader）來獲得設(shè)備的初始訪問權(quán)限，然后下載并運(yùn)行其他工具和惡意軟件，例如Ryuk和Vaet。

　　但英特爾471 表示，開發(fā)Conti的人似乎借用了BazarLoader的一些代碼。它說，一個(gè)特別的相似之處在于代碼允許Conti在一個(gè)孤立的實(shí)例（比如沙箱或虛擬機(jī)）中逃避分析。該函數(shù)的代碼與BazarLoader使用的代碼幾乎相同，兩個(gè)函數(shù)都遵循精確的邏輯并在搜索hook時(shí)以相同的方式執(zhí)行。

　　不幸的是，一旦此類代碼被濫用，并沒有什么簡(jiǎn)單的方法可以消除它。然而，在某些情況下，安全公司可以根據(jù)它的工作方式推斷出發(fā)現(xiàn)它在野運(yùn)行的方法，以幫助組織防御它。