繼上一批高調(diào)勒索軟件消失后 這7個新的勒索軟件繼承雙重勒索

新的勒索軟件即服務(wù)組織尋找分支機構(gòu)勒索新的受害者。

在今年年中一系列高調(diào)的攻擊之后，一些規(guī)模龐大、臭名昭著的勒索軟件銷聲匿跡了。

Conti針對愛爾蘭醫(yī)療服務(wù)，DarkSide針對美國殖民管道，REvil針對肉類加工巨頭JBS和遠程管理軟件公司Kaseya的勒索軟件攻擊，導(dǎo)致拜登政府開始重視破壞勒索軟件的商業(yè)模式。

很快，DarkSide和REvil消失了，Avaddon也消失了，專家說他們看起來很有威脅性。所有這些都是“勒索軟件即服務(wù)”(ransomware-a -service)操作，即運營商開發(fā)加密鎖勒索軟件，并將其提供給分支機構(gòu)——本質(zhì)上是個體承包商——這些分支機構(gòu)會感染受害者。無論何時受害者支付，關(guān)聯(lián)公司和運營商共享預(yù)先安排的收益分割。

The Record最近報道稱，心懷不滿的Conti附屬公司泄露了用于培訓(xùn)附屬公司的手冊和技術(shù)指南，聲稱他的薪酬過低。

新命名的勒索軟件和團伙出現(xiàn)

鑒于勒索軟件仍然有提供巨額盈利的潛力，許多機構(gòu)沒有做好充分的防護，安全專家認(rèn)為，Avaddon、DarkSide和REvil背后的核心運營商只會以不同的名稱重來。與此同時，分支機構(gòu)經(jīng)常與多個勒索軟件操作合作，有時是同時進行。因此，盡管一些群體似乎來去匆匆，但勒索軟件的商業(yè)模式仍在蓬勃發(fā)展。

與往常一樣，新的勒索軟件團伙定期亮相。他們都使用雙重勒索，這意味著他們聲稱在加密鎖定系統(tǒng)之前竊取數(shù)據(jù)，并威脅將竊取的數(shù)據(jù)泄露到數(shù)據(jù)泄露站點，除非受害者支付贖金。

以下是有關(guān)七個此類操作的更多詳細信息：ALTDOS、AvosLocker、Hive、HelloKitty、LockBit 2.0和OnePercent Group，以及DarkSide衍生產(chǎn)品BlackMatter。

1. 阿爾多斯

新加坡網(wǎng)絡(luò)安全局、警察部隊和個人數(shù)據(jù)保護委員會警告稱，ALTDOS網(wǎng)絡(luò)犯罪行動自去年12月出現(xiàn)以來，一直針對孟加拉國、新加坡和泰國的組織。

“目前尚不清楚ALTDOS使用了哪種勒索軟件變體，ALTDOS將使用ProtonMail上的電子郵件地址聯(lián)系受害者，要求他們支付贖金，否則泄露的數(shù)據(jù)將被公布?！?/p>

如果受害者沒有在給定的時間范圍內(nèi)響應(yīng)或遵守贖金要求，ALTDOS還可能對受害者面向互聯(lián)網(wǎng)的系統(tǒng)發(fā)起分布式拒絕服務(wù)攻擊，以中斷運營服務(wù)并提醒他們支付贖金。

2. AvosLocker

這項行動于6月首次被發(fā)現(xiàn)，研究人員表示，它似乎專注于美國、英國和歐洲部分地區(qū)的小型律師事務(wù)所，以及貨運、物流和房地產(chǎn)公司。但到上月底，這家小公司似乎仍在試圖招募更多的附屬機構(gòu)，如，通過Jabber和Telegraph分發(fā)的垃圾郵件廣告。

截至上周四，AvosLocker基于Tor的數(shù)據(jù)泄露網(wǎng)站列出了11名受害者，其中包括阿聯(lián)酋Moorfields眼科醫(yī)院，該醫(yī)院是英國國家衛(wèi)生服務(wù)部Moorfields眼科醫(yī)院基金會信托基金的一個分支機構(gòu)，該組織稱其竊取了超過60GB的數(shù)據(jù)。Moorfields已經(jīng)證實了這次襲擊。

“與其許多競爭對手一樣，AvosLocker 提供技術(shù)支持，幫助受害者在受到加密軟件攻擊后恢復(fù)，該組織聲稱該軟件具有‘防故障’、低檢測率且能夠處理大文件，”Palo Alto的Unit 42威脅研究小組的Santos和Ruchna Nigam在博客中稱。“觀察到最初的贖金要求從 50,000美元到75,000美元不等。”

3. Hive 勒索軟件

專家表示，新來的Hive 勒索軟件于 6 月 26 日首次被@fbgwls245 Twitter 帳戶背后自稱為韓國的“勒索軟件獵人”發(fā)現(xiàn)，他在上傳到 VirusTotal 惡意軟件掃描服務(wù)后發(fā)現(xiàn)了該組織的惡意可執(zhí)行文件。

6月26日，自稱來自韓國的“勒索軟件獵人”@fbgwls245推特賬號首次發(fā)現(xiàn)了Hive勒索軟件，該用戶在將該組織的惡意可執(zhí)行文件上傳到VirusTotal惡意軟件掃描服務(wù)后發(fā)現(xiàn)了該軟件。

周四，Hive的數(shù)據(jù)泄露網(wǎng)站列出了34名受害者?！癏ive使用勒索工具中所有可用的工具來給受害者制造壓力，包括最初妥協(xié)的日期，倒計時，泄漏實際在他們的網(wǎng)站上公布的日期，甚至在社交媒體上分享泄露的選項。

黑莓的研究和情報團隊最近表示，根據(jù)觀察到的Hive樣本，該惡意軟件似乎“仍在開發(fā)中”。

4. HelloKitty

涉及HelloKitty勒索軟件的攻擊于2020年初首次被發(fā)現(xiàn)。 4月FireEye警告說，使用 HelloKitty的攻擊者一直針對未打補丁的SonicWall SMA 100系列統(tǒng)一接入網(wǎng)關(guān)。供應(yīng)商于1月23日確認(rèn)并于2月23日修補了設(shè)備中的零日漏洞，命名為CVE-2021-20016。

7月，Palo Alto的研究人員表示，他們發(fā)現(xiàn)了“HelloKitty 的 Linux變體，其目標(biāo)是 VMware的ESXi管理程序，該管理程序廣泛用于云和本地數(shù)據(jù)中心。” ESXi 管理程序很可能成為攻擊目標(biāo)，因為如果攻擊者成功加密鎖定這些系統(tǒng)，可能會要求巨額贖金。使用HelloKitty的攻擊者索要高達1000萬美元的贖金，但他們最近收到了三筆總計僅150 萬美元的大筆贖金。

5. LockBit 2.0

LockBit以前稱為ABCD勒索軟件，自2019年9月以來一直活躍，但它最近推出了該操作稱為LockBit 2.0的勒索軟件，近期受害者包括咨詢公司埃森哲。

“LockBit 2.0 以擁有當(dāng)今勒索軟件威脅環(huán)境中最快、最有效的加密方法之一而自豪，”趨勢科技在最近的一份報告中表示。

顯然是為了提高該組織的形象并吸引新的附屬機構(gòu)，該組織的一位名為“LockBitSupp”的發(fā)言人最近接受了俄羅斯OSINT YouTube頻道的采訪，贊揚了他的運營計劃的優(yōu)點，他說這是每筆贖金的80%支付給負(fù)責(zé)的附屬機構(gòu)。LockBitSupp還表示，運營商繼續(xù)改進惡意軟件和其他工具，試圖使攻擊不僅更快，而且更自動化，包括泄露數(shù)據(jù)并將其路由到專用的數(shù)據(jù)泄漏站點。

LockBit 2.0泄漏站點列出了64名受害者，其中一些已經(jīng)公布了他們被盜的信息，而其他人的倒計時仍在運行。

6. OnePercent Group

聯(lián)邦調(diào)查局周一發(fā)布了關(guān)于OnePercent Group的快速警報，警告稱該組織自2020年11月以來一直活躍，并利用釣魚攻擊讓受害者感染IcedID——又名BokBot——銀行木馬。這些釣魚電子郵件帶有包含Microsoft Word或Excel文檔的zip文件，其中包含旨在安裝惡意軟件的惡意宏，該宏會刪除并執(zhí)行Cobalt Strike滲透測試工具。

FBI表示，攻擊者通過使用PowerShell腳本，在網(wǎng)絡(luò)上橫向移動，使用Rclone工具將數(shù)據(jù)轉(zhuǎn)移到云存儲，然后最終在所有可能的地方部署加密鎖定惡意軟件。

FBI報告稱:“在部署勒索軟件之前，這些行動者已經(jīng)在受害者的網(wǎng)絡(luò)中被觀察了大約一個月?！?/p>

FBI表示，在那之后，“受害者將開始收到要求贖金的假冒電話號碼，并獲得一個質(zhì)子郵件(ProtonMail)電子郵件地址，以便進一步溝通?！薄斑@些行動者會堅持要求與受害公司的指定談判代表對話，或者以其他方式威脅要公布被盜數(shù)據(jù)?！?/p>

該組織稱，對于任何拒絕付款的受害者，該組織此前曾威脅要將竊取的數(shù)據(jù)賣給REvil，也就是Sodinokibi組織。

7. BlackMatter 勒索軟件

7月下旬，一名網(wǎng)名為“BlackMatter”的網(wǎng)絡(luò)犯罪論壇用戶宣布啟動一項新行動，“將DarkSide、REvil和LockBit的最佳特性融入其中”。

然而，在分析了一個在野外發(fā)現(xiàn)的BlackMatter 解密器后，不同安全公司得出結(jié)論：BlackMatter正是DarkSide的品牌重塑。

因此不難得出結(jié)論，勒索軟件運營商會通過簡單地改變名稱以進行新的活動。信息安全資深人士威廉·休·默里稱，50年前我們就知道黑客是一種讓人上癮的行為，期待他們改革是不切實際的，與其說他們走向消亡，不如說又進行了品牌重塑。

不要指望勒索軟件真正消失，與其期待控制勒索軟件不如加強自身防御。組織機構(gòu)的網(wǎng)絡(luò)安全性取決于其最脆弱的環(huán)節(jié)，而眾多安全漏洞為網(wǎng)絡(luò)犯罪分子提供了“便捷通道”?！按笮吐┒础甭犉饋砜赡芊礊跬邪睿鼈冋诔蔀楝F(xiàn)代網(wǎng)絡(luò)危機的一個共有的特征。然而，企業(yè)若仍然依靠傳統(tǒng)技術(shù)來使做預(yù)防準(zhǔn)備，是一個危險的信號。

勒索軟件在不斷升級自身功能，以逃避或繞過軟件安全檢測，從而利用系統(tǒng)安全漏洞實施攻擊。因此，企業(yè)機構(gòu)更要確保軟件系統(tǒng)中不存在安全漏洞，從軟件內(nèi)部確保安全。

對軟件開發(fā)企業(yè)來說，加強在軟件開發(fā)生命周期中的安全檢測，如用SAST、SCA、DAST等自動化工具，可以有效減少系統(tǒng)安全漏洞，大大降低軟件遭到攻擊的幾率。

參讀鏈接：

https://www.inforisktoday.com/7-emerging-ransomware-groups-practicing-double-extortion-a-17384