勒索軟件是一個(gè)非常棘手的問(wèn)題，這一點(diǎn)可謂是眾所周知的事實(shí)。

在過(guò)去一年中，無(wú)論是技術(shù)小白還是經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全專業(yè)人員都已經(jīng)見(jiàn)證了一系列的勒索軟件事件，這些事件對(duì)全球范圍內(nèi)的企業(yè)造成了毀滅性的打擊。勒索軟件的猖獗已經(jīng)到了即便是網(wǎng)絡(luò)安全領(lǐng)域以外的人，現(xiàn)在也已經(jīng)熟悉了這個(gè)概念：網(wǎng)絡(luò)背后的犯罪分子找到入侵組織系統(tǒng)的方法，通過(guò)鎖定它來(lái)阻止任何人的操作行為，并且直至受害者組織支付完高額贖金后，該系統(tǒng)才能重新恢復(fù)運(yùn)行。

新冠（COVID-19）疫情使全球各地的經(jīng)濟(jì)處于災(zāi)難邊緣，而2020年勒索軟件一路高歌猛進(jìn)的攻勢(shì)無(wú)疑又讓企業(yè)組織的經(jīng)營(yíng)能力雪上加霜。企業(yè)組織、政府機(jī)構(gòu)、學(xué)校以及任何與之相關(guān)的事物一直是地下犯罪集團(tuán)的攻擊目標(biāo)，而這類組織一旦被犯罪分子鎖定，通常毫無(wú)招架之力。

缺乏抵抗能力并不意味著它們沒(méi)有努力對(duì)抗敵人。但是，即便對(duì)經(jīng)驗(yàn)豐富的專業(yè)人士而言，衡量和量化勒索軟件的品質(zhì)與它所能造成的傷害也是一個(gè)巨大的挑戰(zhàn)。盡管此類事件持續(xù)曝光，但鑒于許多組織選擇在遭受攻擊后保持沉默，而使得安全產(chǎn)業(yè)難以估算攻擊體量以及受害者的平均恢復(fù)成本。

眾所周知，勒索軟件背后的犯罪集團(tuán)正在蓬勃發(fā)展，并且成功創(chuàng)造了眾多新的變種，更糟糕的是，他們還正在向有權(quán)訪問(wèn)公司網(wǎng)絡(luò)并希望以此獲取大量非法資金的任何人提供勒索軟件及服務(wù)（RaaS）。

何為勒索軟件及服務(wù)（RaaS）？

勒索軟件不僅購(gòu)買和下載都很方便，而且價(jià)格便宜。這種攻擊模式很容易傳播，與其他類型的流行攻擊相比，你不需要技術(shù)嫻熟或擁有昂貴的設(shè)備，這就意味著越來(lái)越多的網(wǎng)絡(luò)犯罪分子正在轉(zhuǎn)向這種類型的惡意行為。此外，與竊取信用卡數(shù)據(jù)或個(gè)人信息相比，它還可以產(chǎn)生更快的付款。也許最重要的是，由于比特幣的匿名性加持，犯罪者被捕獲的風(fēng)險(xiǎn)也較低。

而為了實(shí)現(xiàn)勒索軟件收益最大化，勒索軟件即服務(wù)（RaaS）便應(yīng)運(yùn)而生。

勒索軟件即服務(wù)（RaaS）借鑒了軟件即服務(wù)（SaaS）模型。這種基于訂閱的惡意模型使即使是新手網(wǎng)絡(luò)犯罪分子也能夠毫不費(fèi)力地發(fā)起勒索軟件攻擊。您可以在市場(chǎng)上找到各種RaaS軟件包，這些軟件包可減少對(duì)惡意軟件進(jìn)行編碼的需求。因此，網(wǎng)絡(luò)犯罪分子即便不了解如何創(chuàng)建勒索軟件，也能夠輕松地使用它。

在這種類似于特許經(jīng)營(yíng)的惡意部署模式下，網(wǎng)絡(luò)犯罪分子編寫勒索軟件代碼，并通過(guò)“會(huì)員計(jì)劃”將其出售/出租給其他有意發(fā)動(dòng)攻擊的網(wǎng)絡(luò)犯罪分子。他們提供有關(guān)如何使用該服務(wù)發(fā)起勒索軟件攻擊的技術(shù)知識(shí)和分步信息，甚至有一個(gè)平臺(tái)可以通過(guò)實(shí)時(shí)儀表板顯示攻擊狀態(tài)。而為了對(duì)受害者的系統(tǒng)進(jìn)行加密，會(huì)員組織會(huì)雇傭黑客提供服務(wù)，這些黑客可以訪問(wèn)目標(biāo)網(wǎng)絡(luò)、獲得域管理員特權(quán)、收集并竊取文件，然后將獲得訪問(wèn)所需的所有信息傳遞給會(huì)員組織并對(duì)其進(jìn)行加密。

一旦攻擊成功，就將贖金分配給服務(wù)提供商、編碼者和入侵網(wǎng)絡(luò)的黑客以及勒索軟件會(huì)員。

根據(jù)Imperva稱，在傳統(tǒng)的會(huì)員營(yíng)銷模式中，較大一部分費(fèi)用歸屬產(chǎn)品所有者。在RaaS中勒索軟件的作者只獲得了少量資金（5％-25％），其余的則交給了分銷商（會(huì)員）。

這種惡性模式非常吸引網(wǎng)絡(luò)犯罪分子，甚至您都可以在暗網(wǎng)上看到RaaS提供商的廣告。網(wǎng)絡(luò)犯罪分子被吸引的原因有很多：首先，它使勒索軟件開(kāi)發(fā)者能夠快速賺錢。其次，對(duì)于會(huì)員，這也減少了他們編寫惡意代碼的需要，他們可以簡(jiǎn)單地從暗網(wǎng)中以低價(jià)租用易于使用的軟件包。

2020年風(fēng)頭正盛的RaaS團(tuán)伙

根據(jù)安全企業(yè)Intel 471的調(diào)查結(jié)果發(fā)現(xiàn)，在去年與今年總計(jì)有25個(gè)勒索軟件及服務(wù)（RaaS）問(wèn)世，而且它們發(fā)動(dòng)攻擊的規(guī)模與所造成的災(zāi)情幾乎無(wú)法確實(shí)統(tǒng)計(jì)。

過(guò)去一年中，Intel 471一直在跟蹤這25個(gè)不同的勒索軟件及服務(wù)（RaaS）組織，從知名的團(tuán)體（他們中的一些已經(jīng)成為勒索軟件的代名詞）到今年新問(wèn)世的一些團(tuán)體。據(jù)悉，這些新團(tuán)體已經(jīng)實(shí)現(xiàn)了技能升級(jí)，甚至完全具備取代當(dāng)前頂級(jí)團(tuán)體的能力。

以下是對(duì)過(guò)去一年中增長(zhǎng)的勒索軟件即服務(wù)（RaaS）團(tuán)隊(duì)的調(diào)查結(jié)果。不過(guò)，這并非是對(duì)勒索軟件場(chǎng)景的確定性衡量，因?yàn)榭赡鼙灰暈椤捌茐男浴钡囊蛩兀ǜ犊罱痤~、系統(tǒng)停機(jī)時(shí)間以及與攻擊者的交流）可能會(huì)因具體人員和事件而異。此外，還有一些知名的勒索軟件團(tuán)伙結(jié)成了緊密而秘密的犯罪圈子，通過(guò)直接和私密的通訊方式聯(lián)系，外人難以覺(jué)察。

我們要做的是照亮那些相對(duì)黑暗的角落，在那個(gè)角落里，狡猾的犯罪分子正在粗暴地蹂躪受害組織，并從中榨取人們辛辛苦苦賺來(lái)的血汗錢，而其面臨的懲罰卻十分有限。通過(guò)公開(kāi)討論這些行動(dòng)，整個(gè)社會(huì)可以更好地了解眼前日益嚴(yán)重的問(wèn)題。

新興的Raas團(tuán)伙

我們已驗(yàn)證確實(shí)出現(xiàn)了以下團(tuán)伙，但目前，有關(guān)這些團(tuán)伙發(fā)起的成功攻擊、攻擊量、收到的贖金或緩解成本等方面的信息有限。

此類勒索軟件團(tuán)伙包括CVartek.u45、Exorcist、Gothmog、Lolkek、Muchlove、Nemty、Rush、Wally、XINOF以及Zeoticus。

勒索市場(chǎng)的中堅(jiān)力量

以下團(tuán)伙與許多已確定的攻擊有關(guān)聯(lián)，并2020年前后逐漸發(fā)展壯大起來(lái)。這些團(tuán)伙中的一些人甚至已經(jīng)利用博客來(lái)“點(diǎn)名和羞辱”拒絕支付贖金的受害者。

此類勒索軟件包括：Avaddon、Conti、Clop、DarkSide、Pysa/Mespinoza、Ragnar、Ranzy、SunCrypt以及Thanos等等。

Avaddon

Avaddon發(fā)現(xiàn)于2020年3月，其利用Phorpiex僵尸網(wǎng)絡(luò)肆虐全網(wǎng)，并在感染目標(biāo)電腦加密文件后，索要高達(dá)500美元的勒索贖金。據(jù)悉，Phorpiex作為一款具有蠕蟲(chóng)特性的僵尸網(wǎng)絡(luò)，至今已感染超過(guò)100萬(wàn)臺(tái)的windows計(jì)算機(jī)。Phorpiex僵尸網(wǎng)絡(luò)主要通過(guò)可移動(dòng)存儲(chǔ)介質(zhì)、垃圾郵件、爆破用戶憑證、漏洞利用工具包、惡意程序安裝等多種渠道擴(kuò)散的特性，也成為此次Avaddon新型勒索病毒迅速泛濫的原因之一。目前總計(jì)攻擊次數(shù)為10以下。

Conti

Conti現(xiàn)身于2020年8月，屬于新興的雙重勒索軟件陣營(yíng)，在以勒索軟件加密系統(tǒng)之前，會(huì)先下載未加密的機(jī)密資料，以在受害者拒絕支付贖金以換取解密密鑰時(shí)，作為進(jìn)一步的勒索籌碼，已有部分案例顯示有受害者最終是為了保護(hù)資料而選擇支付贖金。目前總計(jì)攻擊次數(shù)高達(dá)142次。

Clop

Clop是國(guó)際知名的安全軟件公司Avast 的惡意軟件研究員Jakub Kroustek于2020年3月首次發(fā)現(xiàn)的一種勒索軟件。該惡意軟件旨在通過(guò)附加“ .Clop ”擴(kuò)展名來(lái)加密受害計(jì)算機(jī)上的數(shù)據(jù)并重命名每個(gè)文件。此外，它還可能從受害機(jī)器中提取以下信息：系統(tǒng)時(shí)間、操作系統(tǒng)類型、語(yǔ)言、鍵盤語(yǔ)言。目前總計(jì)攻擊次數(shù)為10次以上。

DarkSide

2020 年 8 月深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一個(gè)新的流行勒索軟件家族出現(xiàn)，且自稱為 DarkSide。這款勒索病毒的黑客組織會(huì)通過(guò)獲取的信息，評(píng)估企業(yè)的財(cái)力，然后再?zèng)Q定勒索的金額，同時(shí)該黑客組織還聲稱不會(huì)攻擊勒索醫(yī)療、教育、非營(yíng)利及政府等機(jī)構(gòu)。目前總計(jì)攻擊次數(shù)低于5起。

Pysa/Mespinoza

Mespinoza勒索軟件使用了pysa作為文件擴(kuò)展名，因此研究人員也會(huì)使用該名稱來(lái)命名該款勒索軟件。據(jù)悉，Pysa勒索軟件團(tuán)伙的攻擊目標(biāo)遍及多個(gè)大洲，打擊了多個(gè)政府和商業(yè)相關(guān)的網(wǎng)絡(luò)。目前總計(jì)攻擊次數(shù)超過(guò)40起。

Ragnar

Ragnar Locker首次現(xiàn)身于2019年10月，其攻擊是有選擇性的，目標(biāo)往往是公司，而不是個(gè)人用戶。包括葡萄牙跨國(guó)能源巨頭、世界第四大風(fēng)能生產(chǎn)商EDP的系統(tǒng)均遭到過(guò)攻擊，并被索要1580枚BTC（合1090萬(wàn)美元）作為贖金。目前總計(jì)攻擊次數(shù)超過(guò)25起。

Ranzy

Ranzy出現(xiàn)在2020年10月，似乎是ThunderX和Ako勒索軟件的變體，不過(guò)有一些關(guān)鍵的更新，包括加密的調(diào)整，過(guò)濾的方法，以及使用公開(kāi)的“l(fā)eak blog”為那些不遵守贖金要求的人發(fā)布受害者數(shù)據(jù)。目前總計(jì)攻擊次數(shù)僅為1起。

SunCrypt

SunCrypt 于 2019 年 10 月開(kāi)始出現(xiàn)，目前已加入Maze聯(lián)合組織展開(kāi)雙向合作，并一起分享獲得的收益。目前總計(jì)攻擊次數(shù)超過(guò)20起，而據(jù)統(tǒng)計(jì)SunCrypt數(shù)據(jù)泄漏站點(diǎn)上也已列出了九名受害者以及存在的敏感數(shù)據(jù)文件。

Thanos

2020年7/8月份，就有研究人員觀察到與對(duì)中東和北非的兩個(gè)國(guó)有組織的攻擊有關(guān)的文件，這些組織安裝并運(yùn)行了Thanos勒索軟件的變體。據(jù)悉，研究人員于2020年1月13日首次觀測(cè)到Thanos，此后已觀測(cè)到130多個(gè)獨(dú)特樣本。最新的版本是攻擊者為中東和北非國(guó)營(yíng)組織特別設(shè)計(jì)的。該勒索軟件允許外部黑客使用并攻擊他們的目標(biāo)，使用條件是遵守與開(kāi)發(fā)者的收入分成計(jì)劃，分成約為60%-70%。據(jù)稱，該勒索軟件允許操作者可以自定義軟件的勒索信，修改文本以選擇他們想要的任何加密貨幣，而不僅限于比特幣。目前總計(jì)攻擊次數(shù)超過(guò)5起。

老牌團(tuán)體

這些團(tuán)體出現(xiàn)頻率最高，經(jīng)常出現(xiàn)在各大新聞?lì)^條中。他們都建立了微博用來(lái)“點(diǎn)名和羞辱”拒絕支付贖金的受害者?？傮w來(lái)說(shuō)，這些都是在過(guò)去幾年中成功獲得數(shù)億勒索贖金的組織-由于部分組織拒絕上報(bào)勒索行為，所以這個(gè)數(shù)字可能比實(shí)際要低得多。

此類勒索軟件團(tuán)伙包括DoppelPaymer、Egregor/Maze、Netwalker、REvil以及Ryuk等等。

DopplePaymer

自2019年以來(lái)，DoppelPaymer就一直與BitPaymer（又名FriedEx）勒索軟件相關(guān)聯(lián)。CrowdStrike強(qiáng)調(diào)了這些變體之間的一些相似之處，推測(cè)DoppelPaymer可能是由前BitPaymer成員組成。

該勒索軟件本身通常是在網(wǎng)絡(luò)受到威脅并滲漏敏感數(shù)據(jù)后，再手動(dòng)部署的。DoppelPaymer團(tuán)隊(duì)運(yùn)營(yíng)著一個(gè)基于Tor的博客，名為“Dopple leaks”，專門用于發(fā)布有關(guān)受感染公司及其被盜數(shù)據(jù)的信息。

該團(tuán)伙曾針對(duì)墨西哥能源巨頭Pemex以及和美國(guó)聯(lián)邦政府合作的IT承包商等全球知名組織實(shí)施了攻擊活動(dòng)。不過(guò)，DoppelPaymer勒索軟件最受關(guān)注和爭(zhēng)議的還是發(fā)生于2020年針對(duì)杜塞爾多夫醫(yī)院的攻擊事件。由于杜塞爾多夫醫(yī)院當(dāng)時(shí)遭受勒索軟件攻擊，未能收治一位需要接受緊急治療的女性患者，該患者不得已被轉(zhuǎn)移到30公里外的伍珀塔爾市一家醫(yī)院后死亡。Doppelpaymer也由此成為首例勒索軟件人命案的元兇。

Egregor/Maze

早在文章發(fā)布前，Maze（迷宮）勒索軟件服務(wù)背后的運(yùn)營(yíng)團(tuán)伙已經(jīng)宣布將關(guān)閉其運(yùn)營(yíng)。有分析人員猜測(cè)，該組織的成員可能會(huì)被納入Egregor勒索軟件背后的服務(wù)中。Egregor在操作上遵循一種熟悉的模式：破壞公司網(wǎng)絡(luò)以竊取敏感數(shù)據(jù)并部署勒索軟件，與受害者進(jìn)行通信并索取贖金，然后在受害者組織拒絕支付贖金時(shí)將敏感數(shù)據(jù)轉(zhuǎn)儲(chǔ)到博客中。

有證據(jù)表明，Egregor也與Sekhmet勒索軟件有關(guān)。Intel 471研究人員發(fā)現(xiàn)，Egregor包含與Sekhmet相同的Base64編碼數(shù)據(jù)，其中最后一行包含受感染系統(tǒng)的其他參數(shù)。研究人員還發(fā)現(xiàn)，Egregor贖金記錄與Sekhmet所使用的記錄極為相似。

此外，在針對(duì)游戲開(kāi)發(fā)商Crytek和Ubisoft以及美國(guó)最大零售連鎖書店Barnes & Noble的攻擊事件中也發(fā)現(xiàn)了Egregor的身影。

Netwalker

NetWalker最早在2019年9月被發(fā)現(xiàn)，是Intel 471跟蹤到的最多產(chǎn)的RaaS之一。其背后的攻擊者在2020年使用了釣魚(yú)郵件攻擊，這些郵件利用了對(duì)疫情大流行的影響和恐懼來(lái)誘使受害者將惡意軟件安裝到系統(tǒng)中。5月，運(yùn)營(yíng)商啟動(dòng)了一個(gè)基于Tor的博客，以發(fā)布從受害者組織那里偷來(lái)的敏感數(shù)據(jù)，原因是這些組織拒絕支付所要求的贖金。

NetWalker背后的攻擊者使用了無(wú)文件感染技術(shù)，據(jù)稱可以繞過(guò)Windows 7和更新版本操作系統(tǒng)的用戶帳戶控制組件。NetWalker可以在兩種模式下操作：在“網(wǎng)絡(luò)模式”下，可以對(duì)單個(gè)計(jì)算機(jī)或整個(gè)網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行勒索，而受害者可以購(gòu)買具有主密鑰的解密工具或購(gòu)買必要的密鑰以對(duì)所有網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行解密。在“個(gè)人模式”下，一次贖金僅解密一臺(tái)計(jì)算機(jī)。

據(jù)稱，該組織僅在10月份就發(fā)動(dòng)了25起勒索軟件事件。其中最引人注目的是針對(duì)密歇根州立大學(xué)的攻擊，不過(guò)該學(xué)校最終選擇拒絕支付贖金。

REvil

REvil是市場(chǎng)上最普遍的勒索軟件變體之一，首次部署于2019年4月17日，攻擊者利用Oracle WebLogic服務(wù)器中的漏洞CVE-2019-2725實(shí)施了攻擊活動(dòng)。兩個(gè)月后，XSS論壇上開(kāi)始出現(xiàn)售賣勒索軟件服務(wù)的廣告。

REvil一直是最活躍的勒索軟件團(tuán)伙之一，其聲稱參與了針對(duì)諸如英國(guó)金融服務(wù)提供商Travelex、美國(guó)娛樂(lè)和媒體法律公司Grubman Shire Meiselas＆Sacks以及德克薩斯州23個(gè)地方政府的攻擊活動(dòng)。

該組織獲取企業(yè)系統(tǒng)訪問(wèn)權(quán)限最常見(jiàn)的方法之一就是采用遠(yuǎn)程桌面協(xié)議（RDP）漏洞，例如 BlueGate漏洞，該漏洞允許授權(quán)用戶遠(yuǎn)程執(zhí)行代碼。該組織代表承認(rèn)最好使用信息竊取程序來(lái)獲取遠(yuǎn)程訪問(wèn)憑據(jù)，以取得在公司網(wǎng)絡(luò)中的最初立足點(diǎn)。談及針對(duì)Travelex和Grubman Shire Meiselas＆Sacks的攻擊，該代表稱，通過(guò)Citrix 和 Pulse Secure VPN漏洞進(jìn)行遠(yuǎn)程代碼攻擊，三分鐘內(nèi)就可以訪問(wèn)整個(gè)網(wǎng)絡(luò)。

當(dāng)該組織自己進(jìn)行攻擊時(shí)，它發(fā)現(xiàn)RaaS模型可以帶來(lái)更多收益。REvil的會(huì)員負(fù)責(zé)訪問(wèn)目標(biāo)網(wǎng)絡(luò)，下載有價(jià)值的文件并部署實(shí)際的勒索軟件，而REvil團(tuán)伙則負(fù)責(zé)受害者談判以及勒索，勒索贖金和分發(fā)。這種模式顯然導(dǎo)致了利潤(rùn)的飛漲：根據(jù)REvil的說(shuō)法，一個(gè)會(huì)員的收入從每個(gè)目標(biāo)約20,000美元增加到30,000美元，而另一家RaaS提供的收益在與REvil聯(lián)手后僅六個(gè)月內(nèi)就達(dá)到了每個(gè)目標(biāo)約700萬(wàn)美元至800萬(wàn)美元。

Ryuk

Ryuk這個(gè)名字可以說(shuō)已經(jīng)發(fā)展成了勒索軟件的同義詞，因?yàn)樵撟兎N是最受歡迎的勒索軟件之一，具有強(qiáng)大的聯(lián)盟計(jì)劃和大量受害者。

Ryuk是通過(guò)使用Trickbot僵尸網(wǎng)絡(luò)和Emotet惡意軟件進(jìn)行最后階段交付的勒索軟件。最近，該勒索軟件還通過(guò)Bazar loader進(jìn)行交付。

Ryuk的會(huì)員在攻擊中遵循的模式是：雇用參與者發(fā)起垃圾郵件活動(dòng)以傳播銀行惡意軟件。然后，另一組參與者在受感染的公司網(wǎng)絡(luò)內(nèi)進(jìn)行提升權(quán)限，最后，團(tuán)隊(duì)開(kāi)始部署勒索軟件并處理與受害者的談判。

過(guò)去一年里，Ryuk勒索軟件已經(jīng)實(shí)現(xiàn)了爆炸式增長(zhǎng)，全球數(shù)百萬(wàn)起勒索軟件事件中都有它的份。一些安全研究人員估計(jì)，在今年發(fā)起的勒索軟件攻擊中，有多達(dá)三分之一的事件涉及Ryuk。

Ryuk今年一直集中針對(duì)醫(yī)療保健領(lǐng)域進(jìn)行勒索攻擊。其中引發(fā)最大關(guān)注的就是針對(duì)美國(guó)最大的醫(yī)院系統(tǒng)之一的Universal Health Services進(jìn)行的勒索攻擊。

相關(guān)鏈接：https://www.4hou.com/posts/g6Bk

題圖來(lái)源：4hou.com

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來(lái)源:4hou.com

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明