得益于“網(wǎng)絡犯罪即服務”（cybercrime-as-a-service）生態(tài)系統(tǒng)的蓬勃發(fā)展，勒索軟件業(yè)務仍在愈演愈烈。

　　其中一些服務主要基于犯罪分子利用組織尚未修補的已知漏洞，或強制訪問遠程桌面協(xié)議（RDP）連接，然后將此訪問權限出售給其他人。針對這種情況，改進補丁管理和RDP安全實踐是行之有效的防御措施。

　　然而，除非采取強有力的措施，否則其他勒索軟件的“助推器”可能會繼續(xù)蓬勃發(fā)展。破壞勒索軟件運營商招募專家和出售服務的網(wǎng)絡犯罪論壇，通常需要執(zhí)法干預。

　　接下來為大家介紹9種勒索軟件“助推器”，以及可以采取的應對措施：

　　1. 新論壇助長勒索軟件

　　有時，網(wǎng)絡犯罪社區(qū)似乎是遵循“自我監(jiān)管”原則——至少在理論上是這樣。例如，今年5月份，在DarkSide針對美國的Colonial Pipeline以及Conti針對愛爾蘭衛(wèi)生服務機構的攻擊造成政治影響之后，一些最大的俄語網(wǎng)絡犯罪論壇——包括XSS和Exploit——已經(jīng)正式禁止任何涉及勒索軟件的通信。

　　然而，一些安全專家表示，許多論壇總是能“鉆漏洞”找到變通方法，例如“滲透測試者”和“訪問代理”的廣告貼，前提是這些廣告沒有特別提及加密鎖定惡意軟件的字眼。

　　盡管一些較大的論壇已經(jīng)禁止討論勒索軟件，但一些較小的參與者似乎并不排斥它們，其中還不乏一些新涌現(xiàn)的論壇。

　　據(jù)以色列威脅情報公司Kela稱，7月12 日，Babuk勒索軟件運營商的數(shù)據(jù)泄露站點（6月份已從Babuk更名為Payload.bin）再次變成一個名為RAMP的網(wǎng)絡犯罪論壇。Kela公司威脅情報分析師Victoria Kivilevich在一份新的研究報告中表示。

　　據(jù)官方介紹，RAMP代表“Ransom Anon Mark Place（勒索軟件匿名市場）”，但事實上它也是在致敬已解散的“俄羅斯匿名市場”（Russian Anonymous Marketplace，簡稱RAMP，于2017年關閉）。

　　該新論壇稱其旨在支持勒索軟件即服務（RaaS）操作，這是當今涉及勒索軟件的主要商業(yè)模式。在RaaS模式下，運營商或管理員負責開發(fā)加密鎖定惡意軟件，附屬機構（affiliate）通過門戶獲取該惡意軟件，用于感染受害者，并從支付的每筆贖金中抽取一部分傭金。

　　Kela公司介紹稱，一個最初名為“TetyaSluha”——現(xiàn)在是“Orange”的新管理員宣布它現(xiàn)在是一個可以保護勒索軟件附屬公司免受不道德RaaS程序侵害的地方。該管理員聲稱，在其他論壇禁止勒索軟件通信之后，他想創(chuàng)建一個新社區(qū)，并指出該論壇目前已經(jīng)有專門介紹初始訪問經(jīng)紀人、勒索軟件供應商和附屬程序的部分。

　　Kela補充道，在遭受垃圾郵件攻擊后，RAMP于7月底下線，但網(wǎng)站上的一條消息稱它將于 8月13日恢復。當再次恢復運行時，它無疑將繼續(xù)成為想要竊聽討論的威脅情報公司的目標，也可能成為尋求識別地下網(wǎng)絡犯罪成員并試圖逮捕他們的執(zhí)法機構的目標。

　　2. 勒索軟件團體有其他溝通策略/渠道

　　安全公司Trend Micro的網(wǎng)絡犯罪研究主管Bob McArdle表示，更大的勒索軟件操作團體可能還構建了廣泛的連接列表和完善的關系拓撲，因此它們對論壇的依賴程度較低。

　　同樣地，威脅情報公司Flashpoint也表示，勒索軟件運營歷來都是通過多個渠道進行招募。它說，有些團體，例如Black Shadow，主要依賴Telegram帳戶；其他人，例如LockBit 2.0，則會在他們的論壇上進行勒索軟件即服務招聘。

　　與此同時，據(jù)安全公司稱，近日，AvosLocker勒索軟件運營商使用了一項通過Jabber和Telegraph分發(fā)垃圾郵件的服務，來宣傳其勒索軟件合作伙伴計劃。

　　圖片

　　3. 專家提供按需服務

　　安全專家表示，勒索軟件運營商不只是尋求招募新的附屬機構。一些規(guī)模更大、更復雜的行動——例如REvil、DarkSide 和 Ryuk——還會通過招募不同的專家來增加攻擊成功率并助力勒索業(yè)務蓬勃發(fā)展。

　　勒索軟件事件響應公司Coveware表示，對于一次完整的勒索軟件攻擊活動，可能涉及十多個獨特的參與者，每個參與者都有不同的專業(yè)技能，對攻擊的不同階段做出貢獻。當勒索軟件組織專注于特定的入侵方法時，他們很可能會去尋找正在向符合RaaS組特征的未來受害者出售網(wǎng)絡訪問權限的上游專家，這些上游專家已經(jīng)不止一次地出售這種訪問權限，因此能夠在競爭對手之前獲取競爭優(yōu)勢來影響網(wǎng)絡。

　　不過，并非所有專家都會參與直接入侵組織的活動。有些只是提供輔助服務，例如與受害者談判。其他人還可以給受害者帶來其他類型的支付壓力，例如，通過分發(fā)似乎不需要頂級技術技能的拒絕服務攻擊。

　　威脅情報公司英特爾471表示，它曾經(jīng)跟蹤過一名網(wǎng)絡犯罪分子，該人于1月首次出現(xiàn)在一個著名的網(wǎng)絡犯罪論壇上，該論壇在Colonial Pipeline攻擊事件被關閉后，他又成為了臭名昭著的DarkSide行動的同伙。據(jù)該名犯罪分子交代，他主要負責對DarkSide的受害者發(fā)起DDoS攻擊。在任何給定時間，都會有10到20個目標受到DDoS攻擊，攻擊會持續(xù)1到21天不等，受害者每次支付贖金，他們就能賺取500到7,000美元。

　　4. 初始訪問經(jīng)紀人為您鋪平道路

　　在勒索軟件攻擊者利用的各種專家中，有一個角色叫做“初始訪問經(jīng)紀人”，這是描述黑客獲得組織網(wǎng)絡訪問權，然后將該訪問權出售給其他人的一種奇特方式。對于使用勒索軟件的攻擊者來說，購買訪問權限意味著他們可以花更多時間來感染受害者，而不必先侵入他們的系統(tǒng)。

　　此類經(jīng)紀人的服務似乎正在激增?；仡櫧衲昵叭齻€月最受歡迎的10個俄語和英語犯罪論壇，安全公司Positive Technologies統(tǒng)計了近600個訪問報價，而上一季度這一數(shù)字僅為255個。

　　該數(shù)字還并不包括所有此類出售的訪問權限，因為一些勒索軟件操作與初始訪問經(jīng)紀人建立了合作伙伴關系，或者向他們提供“回扣”以獲得優(yōu)先購買權。其他經(jīng)紀人會列出他們提供出售的一些“訪問權限”，但會告訴潛在買家直接與他們聯(lián)系以獲取有關其他目標的信息。

　　然而，公開可用報價的增加表明，更多的組織有可能成為犯罪分子的受害者，這些犯罪分子獲得了對其網(wǎng)絡的遠程訪問權限，并將這種訪問權限出售給出價最高的人。

　　5. 網(wǎng)絡釣魚和遠程桌面協(xié)議（RDP）提供訪問權限

　　Coveware警告稱，對于使用勒索軟件的攻擊者來說，網(wǎng)絡釣魚和暴力破解RDP訪問憑證仍然是獲得系統(tǒng)初始訪問權限最常用的兩種策略。

　　因此，擁有強大的網(wǎng)絡釣魚解決方案并鎖定RDP仍然是增強防御能力的明智之舉。

　　6. 未修補的漏洞同樣提供訪問權限

　　在使用勒索軟件的攻擊者獲取訪問權限的列表中，排名第三的是利用安全漏洞。Coveware表示，從4月到6月，它發(fā)現(xiàn)攻擊者特別喜歡利用兩個漏洞作為切入點，以獲取對組織網(wǎng)絡的遠程訪問權限。這些漏洞分別為影響SSL VPN設備的Fortinet FortiOS路徑遍歷漏洞（CVE-2018-13379），以及SonicWall SRA 4600設備中的漏洞（CVE-2019-7481）。

　　FireEye的Mandiant事件響應小組在一份報告中表示，在供應商發(fā)布補丁之前，它觀察到一群使用FiveHands勒索軟件的組織于2月開始針對SonicWall SMA 100系列VPN設備中的漏洞。

　　英特爾471補充道，F(xiàn)iveHands的成員之后還利用了VMware Sphere Client漏洞（供應商已于5月份完成修補）以及被稱為“PrintNightmare”的Windows Print Spooler Service漏洞（微軟于7月對其進行了全面修補）。

　　永恒存在的“補丁或滅亡”的問題意味著，一旦供應商發(fā)布安全修復程序，攻擊者就會競相對其進行逆向工程，以找到他們可能利用的漏洞，從而輕松聚焦尚未安裝更新的新受害者。

　　英特爾471表示，網(wǎng)絡犯罪分子和其他任何人一樣關注CVE，而且他們清楚地知道組織在修復漏洞方面存在拖延現(xiàn)象，而正是這些漏洞為犯罪分子提供了執(zhí)行攻擊所需的訪問權限。

　　7. 開源選項催生更多攻擊

　　惡意軟件源代碼經(jīng)常被泄露或在野外轉儲，使犯罪分子能夠重用和改編它。這種例子比比皆是：例如，2011 年，臭名昭著的Zeus銀行木馬的源代碼因不明原因在網(wǎng)上泄露，并迅速被眾多不法分子濫用。

　　就在2016年8月針對物聯(lián)網(wǎng)的Mirai僵尸網(wǎng)絡出現(xiàn)幾周后，其創(chuàng)建者在網(wǎng)上泄露了源代碼，其最初的目的很可能是試圖讓調查人員偏離軌道。但糟糕的是，許多其他犯罪分子已經(jīng)迅速改編并重新利用了該惡意軟件。

　　在勒索軟件方面，2015年，安全研究人員Utku Sen將EDA2和Hidden Tear構建為開源勒索軟件，并將源代碼發(fā)布在GitHub上。雖然研究人員表示該代碼是為教育目的而開發(fā)的，但它很快就被犯罪分子濫用，甚至衍生了具有“Pokemon Go”（一款結合了AR技術的游戲）主題的惡意軟件變體。

　　不過，這種事情對安全研究人員來說也具有警示意義：永遠不要將概念驗證（PoC）勒索軟件在野發(fā)布。

　　8. 泄漏滿足加密鎖定惡意軟件的需求

　　最近，有人泄露了一個名為“Babukbuilder”的Windows可執(zhí)行文件，結果證明它是Babuk使用的關鍵軟件。

　　該構建器用于生成惡意軟件的唯一副本，在Babuk勒索軟件模式下，用于為每個不同的受害組織生成加密鎖定惡意軟件和解密工具。

　　該可執(zhí)行文件最初是由總部位于倫敦的時尚零售巨頭Arcadia Group的安全運營中心負責人 Kevin Beaumont發(fā)現(xiàn)的，他報告稱它會生成惡意軟件并影響“Windows、VMware ESXi、網(wǎng)絡附加存儲x86和ARM，以及廣泛使用的VMware hyperviso和NAS設備”。

　　包括Beaumont在內的安全專家已經(jīng)證實了該軟件的有效性。

　　顯然，一些不太先進的犯罪分子也泄露了他們的工具。英特爾471報告稱，6月下旬，一名使用信息竊取惡意軟件Vidar的運營商向機器人發(fā)出了‘下載和執(zhí)行’任務，旨在安裝由構建者生成的Babuk勒索軟件變體。

　　9. 重用惡意軟件縮短開發(fā)周期

　　很顯然，一些惡意軟件開發(fā)人員正在借用、共享或竊取代碼。例如，英特爾471報告稱，“Conti 勒索軟件和BazarLoader之間的代碼存在多種相似之處”，BazarLoader是一種旨在提供對受感染端點的遠程訪問的惡意軟件。

　　此類持有勒索軟件的攻擊者以前曾使用此類惡意軟件（包括BazarLoader）來獲得設備的初始訪問權限，然后下載并運行其他工具和惡意軟件，例如Ryuk和Vaet。

　　但英特爾471 表示，開發(fā)Conti的人似乎借用了BazarLoader的一些代碼。它說，一個特別的相似之處在于代碼允許Conti在一個孤立的實例（比如沙箱或虛擬機）中逃避分析。該函數(shù)的代碼與BazarLoader使用的代碼幾乎相同，兩個函數(shù)都遵循精確的邏輯并在搜索hook時以相同的方式執(zhí)行。

　　不幸的是，一旦此類代碼被濫用，并沒有什么簡單的方法可以消除它。然而，在某些情況下，安全公司可以根據(jù)它的工作方式推斷出發(fā)現(xiàn)它在野運行的方法，以幫助組織防御它。