勒索软件即服务已成为新流行的“疫情”
现在人尽皆知,勒索软件变成了一个巨大的麻烦。
过去的一年中,我们见证了一系列勒索软件的攻击,攻击摧毁了全球的很多企业。即使不是网络安全行业的从业人员,都已经知道犯罪分子已经找到通过网络进入公司的方法,然后犯罪分子可以锁定计算机使之不可用,直到公司支付了相关的赎金才会恢复。
COVID-19 的大流行使得很多国家的经济处于下滑的边缘,勒索软件猛烈的攻击势头进一步考验了许多公司的经营状况。
众所周知,勒索软件背后的网络犯罪团伙正在蓬勃发展,不断创造新的变种,并且在非法市场提供了能够访问其他公司内部网络的权限。过去一年中,Intel 471 追踪了 25 个不同的勒索软件即服务(RaaS)的服务。我们旨在更好地了解网络犯罪的的真实情况,全社会可以更好地了解这一日益严重的问题。
新兴的 RaaS
| 名称 | 发现时间 | 重大事件 | 市场 | 博客 |
|---|---|---|---|---|
| CVartek.u45 | March 2020 | 无 | Torum | 无 |
| Exorcist | July 2020 | 无 | XSS | 无 |
| Gothmog | July 2020 | 无 | Exploit | 无 |
| Lolkek | July 2020 | 无 | XSS | 无 |
| Muchlove | April 2020 | 无 | XSS | 无 |
| Nemty | February 2020 | 1 | XSS | 有 |
| Rush | July 2020 | 无 | XSS | 无 |
| Wally | February 2020 | 无 | Nulled | 无 |
| XINOF | July 2020 | 无 | Private Telegram channel | 无 |
| Zeoticus | 1.0 Dec. 2019, 2.0 Sept 2020 | 无 | XSS/Private channels | 无 |
崛起的 RaaS
以下变种确认与许多攻击有关,其攻击频率在 2020 年有所增加,通常会在博客上挂出受害者的相关信息以羞辱拒绝支付赎金的公司。
| 名称 | 发现时间 | 相关攻击数量 | 市场 | 博客 |
|---|---|---|---|---|
| Avaddon | March 2020 | 低于 10 | Exploit | 有 |
| Conti | August 2020 | 142 | Private | 有 |
| Clop | March 2020 | 超过 10 | N/A | 有 |
| DarkSide | August 2020 | 低于 5 | Exploit | 有 |
| Pysa/Mespinoza | August 2020 | 超过 40 | N/A | 有 |
| Ragnar | December 2019 | 超过 25 | Exploit | 有 |
| Ranzy | October 2020 | 1 | Exploit & XSS | 有 |
| SunCrypt | October 2019 | 超过 20 | Mazafaka | 有 |
| Thanos | August 2020 | 超过 5 | Raid | 无 |
规模庞大的 RaaS
这些规模庞大的 RaaS 在江湖中占有很高的地位,很多攻击都与他们有关,整体俩看已经赚到了数亿美元的收入,考虑到有些未披露的攻击事件,实际数字会比这更高。
DoppelPaymer
自 2019 年以来,DoppelPaymer 与 BitPaymer(又名 FriedEx )有关。CrowdStrike 强调了这些变体之间的一些相似之处,并推测 DoppelPaymer 可能是出自前 BitPaymer 开发成员的手笔。
DoppelPaymer 团队基于 Tor 运营着一个名为 “Dopple leaks” 的博客,该博客用于发布有关受感染公司及其被盗数据的信息。受害者包括诸如墨西哥能源巨头 Pemex 和与美国联邦政府合作的 IT 承包商等。
DoppelPaymer 勒索软件最受关注、最引起争议的是 2020 年 9 月针对杜塞尔多夫大学医院的攻击。攻击者者实际上是想以杜塞尔多夫大学为目标,但最终先感染了其医院。攻击者后续向医院发送了数字密钥使医院恢复正常运转。
Egregor/Maze
在发布此报告时,Maze 勒索软件即服务背后的维护者宣布将关闭运营。有人猜测,Maze 组织的成员可能会被纳入 Egregor 勒索软件背后的维护组织中。Egregor 在操作中遵循一种熟悉的模式:“攻陷公司网络以窃取敏感数据并部署勒索软件,与受害者进行通信并索取赎金,然后在受害者拒绝支付赎金时将敏感数据在博客上发布”。
有证据表明,Egregor 也与 Sekhmet 勒索软件有关。Intel 471 的研究人员发现,Egregor 包含与 Sekhmet 相同的 Base64 编码数据,其中最后一行包含来自失陷主机的其他参数。研究人员还发现,Egregor 的勒索信息与 Sekhmet 所使用的勒索信息是极为相似的。
在 Crytek、Ubisoft 和 Barnes&Noble 的攻击事件中也发现了 Egregor 的身影。
Netwalker
NetWalker 最早在 2019 年 9 月被发现,是 Intel 471 跟踪的最活跃的服务之一。它背后的攻击者在 2020 年率先使用了与 COVID-19 疫情大流行有关的钓鱼邮件感染受害者。5月,其运营者启用了一个基于 Tor 的博客,以发布那些拒绝支付赎金的受害者那里偷来的敏感数据。
攻击者使用了无文件感染技术,据称可以绕过 Windows 7 和更新版本操作系统的 UAC。NetWalker 可以在两种模式下操作:在“网络模式”下,可以控制单个计算机扩展到整个网络进行勒索,而受害者可以购买具有主密钥的解密工具或购买必要的密钥以对某些计算机进行解密。在“个人模式”下,一次赎金只针对一台计算机。
据称,该组织仅在上个月就披露了 25 起与之有关的事件。Netwalker 攻击中最引人注目的目标是密歇根州立大学,且该大学拒绝支付赎金。
REvil
REvil 是市场上最常见的勒索软件变体之一,首次被发现于 2019 年 4 月 17 日,攻击者利用了 Oracle WebLogic 服务器中的漏洞(CVE-2019-2725)。两个月后,在 XSS 论坛上开始出现销售广告。
REvil 一直是最活跃的勒索软件团伙之一,声称对诸如英国金融服务提供商 Travelex,美国娱乐和媒体法律公司 Grubman Shire Meiselas&Sacks 以及美国德克萨斯州 23 个地方政府的攻击负责。
REvil 获得访问权限的最常见方式之一是通过远程桌面协议(RDP)漏洞,例如 BlueGate 漏洞,该漏洞允许用户远程执行代码。在 Travelex 和 Grubman Shire Meiselas&Sacks 的攻击案例中,通过利用过时的 Citrix 和 Pulse Secure 远程访问软件可在“大约三分钟内”访问整个网络。
REvil 发现 RaaS 的运营模式有利可图,这种模式显然导致了利润的飞涨。根据 REvil 的说法,一个会员的收入从每个目标约 2 万美元已经增长到 3 万美元。
Ryuk
Ryuk 几乎可以说是勒索软件的同义词,因为该变种是最受欢迎的勒索软件之一,有着大量的受害者。一开始,Ryuk 与 Trickbot 和 Emotet 在感染链中联合攻击。最近,我们还发现了 Ryuk 通过 Bazar Loader 投递。
过去一年里,Ryuk 爆炸式增长,对全球数百万起勒索软件事件负责。一些安全研究人员估计,在今年发起的勒索软件攻击中,有多达三分之一都与 Ryuk 有关。而 Ryuk 今年的攻击目标一直集中在医疗保健领域。
参考来源
