一個(gè)不容忽視的現(xiàn)實(shí)是，勒索軟件團(tuán)伙正在不斷加快創(chuàng)新步伐!的確，我們幾乎每天都會(huì)看到各種有關(guān)加密惡意軟件受害者的消息曝光。

近日，有報(bào)道稱“迷宮”(Maze)和Lockbit團(tuán)伙以及REvil(又名Sodinokibi)之間存在合作關(guān)系，這些勒索軟件運(yùn)營(yíng)者不會(huì)在受害者拒絕支付贖金時(shí)選擇免費(fèi)泄露被盜數(shù)據(jù)，而是將其拍賣給出價(jià)最高的人。盡管新冠病毒(COVID-19)仍在全球范圍內(nèi)肆虐，但是許多勒索軟件團(tuán)伙并未放松對(duì)醫(yī)療保健行業(yè)及其供應(yīng)商的攻擊力度。

以下是勒索軟件7大最新發(fā)展趨勢(shì)：

1. Maze勒索軟件團(tuán)伙提供“數(shù)據(jù)泄露即服務(wù)”

如果“加密”是勒索軟件的本職的話，那么“竊密”對(duì)于勒索軟件運(yùn)營(yíng)商來(lái)說(shuō)應(yīng)該是一次重大的進(jìn)化。多年來(lái)，勒索軟件運(yùn)營(yíng)商一直聲稱，他們會(huì)先竊取數(shù)據(jù)，然后威脅稱如果受害者不付錢，他們就會(huì)公布數(shù)據(jù)。然而，直到2019年11月，迷宮勒索軟件運(yùn)營(yíng)商才真正實(shí)施了這一威脅，并公開發(fā)布了被盜文件。

“迷宮”(Maze)勒索軟件團(tuán)伙可謂是首個(gè)“加密”+“竊密”的集大成者，他們不僅會(huì)加密受害者的系統(tǒng)，而且還會(huì)竊取數(shù)據(jù)并以“不付款就泄密”的形式迫使受害者支付贖金。2019年下半年，以迷宮勒索為首的各大勒索家族(包括Nefilim、Sekhmet以及REvil等)掀起了一股“竊密”潮。

創(chuàng)建“泄露網(wǎng)站”這種“撕票行為”，看起來(lái)像是由于越來(lái)越少的受害者向攻擊者支付贖金所導(dǎo)致的。McAfee的首席科學(xué)家Raj Samani表示：

“他們正在創(chuàng)建泄露站點(diǎn)的原因，我認(rèn)為是人們支付的錢越來(lái)越少，難以滿足勒索者的胃口所致。”

根據(jù)IBM X-Force研究人員的說(shuō)法，Maze勒索軟件作為“竊密”潮的領(lǐng)航者，現(xiàn)在已經(jīng)又往前行進(jìn)了一大步，它開始與 Lockbit勒索軟件團(tuán)伙協(xié)作，通過(guò)將 Lockbit竊取的數(shù)據(jù)發(fā)布到Maze的專用泄露網(wǎng)站上進(jìn)行盈利。據(jù)悉，該組織此前并沒(méi)有數(shù)據(jù)泄露站點(diǎn)。

研究人員猜測(cè)，此舉可能是Maze團(tuán)伙競(jìng)標(biāo)的一部分，該競(jìng)標(biāo)活動(dòng)是通過(guò)Maze相對(duì)高調(diào)的數(shù)據(jù)泄露網(wǎng)站，向其他勒索軟件團(tuán)伙提供數(shù)據(jù)泄露即服務(wù)(data-leaking-as-a-service)。

IBM X-Force IRIS的網(wǎng)絡(luò)威脅搜尋分析師Ole Villadsen表示：

“關(guān)于Maze向其他團(tuán)伙提供這項(xiàng)服務(wù)的收入，我們沒(méi)有任何具體信息，但我們強(qiáng)烈懷疑，他們一定以泄露數(shù)據(jù)為威脅從受害者處獲得了一定比例的款項(xiàng)。”

不幸的是，Maze仍在繼續(xù)施展其拉幫結(jié)派的能力，近日，它已經(jīng)開始托管RagnarLocker團(tuán)伙的滲漏數(shù)據(jù)，該團(tuán)伙之前曾使用Mega文件共享網(wǎng)站轉(zhuǎn)儲(chǔ)其數(shù)據(jù)，但是在http://mega.nz上托管泄漏數(shù)據(jù)很容易被刪除，而在Maze的基礎(chǔ)架構(gòu)上進(jìn)行托管，就意味著他們不必再擔(dān)心這一問(wèn)題。

2. 新的勒索游戲：拍賣被盜數(shù)據(jù)

近期出現(xiàn)的另一項(xiàng)創(chuàng)新不是泄露數(shù)據(jù)，而是將其拍賣給出價(jià)最高的人。

上個(gè)月，REvil團(tuán)伙開始在其泄露站點(diǎn)上推出了一個(gè)新的“拍賣”功能，該功能使該組織能夠利用被盜文件獲利，而不是像之前一樣免費(fèi)釋放它們。他們第一次拍賣的目標(biāo)是來(lái)自加拿大農(nóng)業(yè)公司Agromart集團(tuán)(包括Sollio Agriculture)的數(shù)據(jù)，該公司數(shù)據(jù)上個(gè)月被該組織成功入侵并加密了，但他們選擇不支付贖金。該公司的文件起拍價(jià)為50,000美元，起價(jià)為門羅幣。REvil團(tuán)伙還承諾不久之后將有更多受害者數(shù)據(jù)“掛”出。

Emsisoft威脅分析師Brett Callow表示：

“雖然過(guò)去，勒索軟件組織可能也出售和交易過(guò)數(shù)據(jù)，但是這是第一次現(xiàn)實(shí)意義的拍賣出售，而且很顯然，這可能不會(huì)是最后一次。以這種方式出售數(shù)據(jù)不僅為犯罪分子提供了更多的貨幣化選擇，也給未來(lái)的受害者帶來(lái)了更大的壓力。與此前將數(shù)據(jù)發(fā)布到隱秘的Tor網(wǎng)站上相比，一旦受害者的數(shù)據(jù)被拍賣并出售給競(jìng)爭(zhēng)對(duì)手或其他犯罪集團(tuán)，且不說(shuō)企業(yè)的發(fā)展前景不容樂(lè)觀，甚至還可能會(huì)牽涉到更多的企業(yè)。”

另外一方面，敲詐還是敲詐，實(shí)質(zhì)沒(méi)變對(duì)不對(duì)?Callow 補(bǔ)充道：

“盡管沒(méi)有實(shí)質(zhì)性差異，但我懷疑企業(yè)組織可能會(huì)對(duì)拍賣其數(shù)據(jù)的后果感到前所未有的壓力。”

隨著REvil最近幾天開始針對(duì)另外兩名受害者——位于路易斯安那州查爾斯湖的Fraser Wheeler&Courtney LLP;以及位于加利福尼亞州戴利市的Vierra Magen Marcus LLP——進(jìn)行數(shù)據(jù)拍賣威脅，該主張也將得到進(jìn)一步驗(yàn)證。

據(jù)悉，上個(gè)月，為了給律師事務(wù)所施壓，REvil團(tuán)伙揚(yáng)言要拍賣麥當(dāng)娜的私人法律文件。盡管麥當(dāng)娜的檔案還沒(méi)有被拍賣，但REvil團(tuán)伙稱，他們“記住了麥當(dāng)娜”，暗示她的檔案以及從律師事務(wù)所盜竊的其他檔案也將很快被公開。不過(guò)，截至目前，兩家律師事務(wù)所均未對(duì)此事作出回應(yīng)。

3. 有針對(duì)性的勒索軟件攻擊仍在繼續(xù)

安全測(cè)試和咨詢公司7 Elements的負(fù)責(zé)人兼事件響應(yīng)專家David Stubley表示，勒索軟件攻擊通常分為以下兩種情況：一些攻擊者會(huì)進(jìn)行“瓦解和掠奪”，獲取對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán)限，感染大量端點(diǎn)，然后實(shí)現(xiàn)橫向或縱向攻擊;另一類攻擊者則更為先進(jìn)，他們會(huì)花時(shí)間進(jìn)行偵察、收集憑證，研究攻擊業(yè)務(wù)合作伙伴的潛在途徑等。

手持各種惡意軟件的攻擊者可能會(huì)采取更高級(jí)的措施，包括“離地攻擊”(Living off the Land，簡(jiǎn)稱LotL)策略——即使用合法的網(wǎng)絡(luò)管理工具幫助逃避檢測(cè)。

但是有些類型的勒索軟件似乎僅用于有針對(duì)性的攻擊。例如，黑莓公司和畢馬威(KPMG)的英國(guó)網(wǎng)絡(luò)響應(yīng)服務(wù)部門研究人員剛剛發(fā)布了一份有關(guān)Tycoon的報(bào)告，這是一款新型勒索軟件。與迄今為止發(fā)現(xiàn)的大多數(shù)勒索軟件不同的是，這種新的勒索軟件模塊被編譯成一種Java圖像文件格式(JIMAGE)。JIMAGE是一種存儲(chǔ)自定義的JRE映像的文件格式，它的設(shè)計(jì)是為了在運(yùn)行時(shí)被Java虛擬機(jī)(JVM)使用。

Tycoon是針對(duì)Windows和Linux的多平臺(tái)Java勒索軟件，至少?gòu)?019年12月開始就在野外被觀察到。它以木馬Java運(yùn)行時(shí)環(huán)境(JRE)的形式部署，并利用晦澀的Java圖像格式在安全環(huán)境中運(yùn)行。

人們觀察到Tycoon背后的攻擊者利用高度定向的傳遞機(jī)制滲透到教育和軟件行業(yè)的中小型公司和機(jī)構(gòu)，在那里他們會(huì)對(duì)文件服務(wù)器加密并索要贖金。然而，由于公共RSA私鑰的重用，在早期的變體中可以恢復(fù)數(shù)據(jù)而不需要支付。

黑莓威脅情報(bào)副總裁Eric Milam表示：

“想要部署這種勒索軟件，威脅參與者需要在組織中立足、潛伏、偵察、確定目標(biāo)并獲得訪問(wèn)權(quán)限”。

4. 醫(yī)療保健行業(yè)持續(xù)受擊

盡管新冠病毒仍在全球范圍內(nèi)肆虐，而且一些勒索軟件團(tuán)伙也承諾不會(huì)在此期間針對(duì)醫(yī)療機(jī)構(gòu)展開攻擊，但是安全專家表示，針對(duì)該行業(yè)的攻擊并未停止過(guò)。事實(shí)上，醫(yī)療保健行業(yè)在此期間受到的攻擊甚至可能比以往任何時(shí)候都還要大得多。

最近又發(fā)生了兩起針對(duì)醫(yī)療保健組織的勒索軟件攻擊活動(dòng)，涉及在俄亥俄州劍橋的伍德勞恩牙科中心，以及阿拉斯加帕爾默市的Mat-Su外科醫(yī)師協(xié)會(huì)。據(jù)悉，這兩起事件都可能涉及攻擊者竊取敏感數(shù)據(jù)，且已經(jīng)報(bào)告給衛(wèi)生和公共服務(wù)部民權(quán)辦公室。

5. 更多免費(fèi)的解密程序

值得慶幸的是，當(dāng)前的勒索軟件趨勢(shì)并非只有“黑暗和毀滅”。

No More Ransom項(xiàng)目，旨在為眾多勒索軟件提供免費(fèi)的解密程序，最近又為JavaLocker和Vcryptor勒索軟件添加了免費(fèi)的解密程序。

同樣在最近幾天，Emsisoft發(fā)布了針對(duì)RedRum勒索軟件的免費(fèi)解密程序。此外，Emsisoft還發(fā)布了針對(duì)Jigsaw的更新解密器，使其能夠解密.ElvisPresley變體;以及針對(duì)Tycoon勒索軟件的解密工具，該工具使受害者能夠恢復(fù)被Tycoon勒索軟件攻擊加密的文件,而不需要支付贖金;還更新了其Mapol勒索軟件解密工具，增加了更多變種的覆蓋范圍。

安全專家建議，勒索軟件受害者可以同時(shí)使用No More Ransom以及由Emsisoft員工Michael Gillespie(@ demonslay335)維護(hù)的ID Ransomware，以識(shí)別遭受攻擊的勒索軟件的種類，以查看是否可能存在免費(fèi)的解密程序或解決方法可用于還原加密的數(shù)據(jù)。

No More Ransom通過(guò)網(wǎng)站的“Crypto Sheriff”頁(yè)面提供此功能，而ID Ransomware從主頁(yè)提供該功能。兩種服務(wù)都允許受害者上傳加密文件以進(jìn)行識(shí)別，而ID Ransomware還運(yùn)行受害者上傳贖金記錄以進(jìn)行識(shí)別。

6. 未修復(fù)的漏洞被有心之人利用

不幸的是，安全專家并未破解每一種勒索軟件，這就意味著對(duì)于許多種類的加密惡意軟件而言，并不存在免費(fèi)的解密程序。但是，對(duì)于那些發(fā)現(xiàn)其系統(tǒng)已被強(qiáng)制加密并被勒索軟件團(tuán)伙勒索贖金以換取解密密鑰的組織而言，這可能還只是問(wèn)題的一部分。確實(shí)，安全專家長(zhǎng)期以來(lái)一直警告稱，許多成功的勒索軟件攻擊必須被視為更大的事件響應(yīng)挑戰(zhàn)的一部分。

也就是說(shuō)，許多違規(guī)行為并非以勒索軟件開始或結(jié)束的。在用加密惡意軟件感染系統(tǒng)之前，攻擊者可能已經(jīng)通過(guò)蠻力攻擊或者網(wǎng)絡(luò)釣魚攻擊破解了遠(yuǎn)程桌面協(xié)議憑據(jù)，從而獲取了對(duì)網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)權(quán)限。然后，他們可能會(huì)花費(fèi)數(shù)周或數(shù)月的時(shí)間進(jìn)行偵察，以橫向侵入其他系統(tǒng)之中，竊取Active Directory的管理員級(jí)別訪問(wèn)憑據(jù)，以及竊取敏感數(shù)據(jù)，以便在受害者拒絕支付贖金時(shí)將其泄露。

即便公司剛剛經(jīng)歷了一波勒索軟件攻擊，當(dāng)前的攻擊者也可能并不會(huì)就此停止活動(dòng)，他們可能還會(huì)打電話來(lái)試圖發(fā)現(xiàn)公司尚未修復(fù)的漏洞。

Emsisoft的Callow表示：

“由于沒(méi)有及時(shí)修復(fù)漏洞，接連遭遇二次攻擊的情況也很常見。例如澳大利亞航運(yùn)業(yè)巨頭Toll集團(tuán)就在4個(gè)月里遭遇了兩次惡意軟件攻擊。今年3月份，該公司遭到了Netwalker(又名Mailto)惡意軟件攻擊，而就在大約6周后，該公司再次遭到了Nefilim勒索軟件(Nemty演變而來(lái)的新一代病毒)的攻擊。無(wú)獨(dú)有偶，全球航運(yùn)巨頭Pitney Bowes在2019年10月遭到勒索軟件攻擊后，又于近日遭到疑似Maze勒索軟件的攻擊。”

7. 團(tuán)伙組織可能仍在企業(yè)網(wǎng)絡(luò)中安營(yíng)扎寨

有時(shí)，攻擊者使用勒索軟件攻擊后仍駐留在受害者的網(wǎng)絡(luò)中。對(duì)于受害者而言，挑戰(zhàn)之一可能是攻擊者可以竊聽其違規(guī)后的響應(yīng)計(jì)劃。例如，近日，研究人員表示，勒索事件發(fā)生后，REvil和Maze似乎仍然可以訪問(wèn)Agromark和ST Engineering的網(wǎng)絡(luò)。

在ST Engineering攻擊事件中，總部位于新加坡的國(guó)防承包商ST Engineering證實(shí)，其北美子公司VT San Antonio Aerospace收到了Maze勒索軟件團(tuán)伙的攻擊。ST Engineering并未透露攻擊是何時(shí)開始的，但是，通過(guò)隨后被攻擊者泄露的文件中包括事件響應(yīng)報(bào)告，表示攻擊者仍在繼續(xù)享受對(duì)受害企業(yè)系統(tǒng)的遠(yuǎn)程訪問(wèn)權(quán)限。

同樣的，在針對(duì)Agromark集團(tuán)的攻擊事件中，REvil曾泄露了一封6月2日的電子郵件，該電子郵件似乎是公司的一份內(nèi)部通訊郵件，詳細(xì)說(shuō)明了公司準(zhǔn)備如何應(yīng)對(duì)勒索軟件感染，包括制定內(nèi)部通訊規(guī)則，與律師溝通以及“與安全顧問(wèn)交談以更好地了解勒索軟件的概況”等等。據(jù)悉，該內(nèi)部電子郵件還以紅色文本著重標(biāo)識(shí)：“請(qǐng)勿轉(zhuǎn)發(fā)此電子郵件。”

威脅愈演愈烈，勒索軟件從未停止過(guò)創(chuàng)新發(fā)展的步伐，隨著勒索軟件即服務(wù)的爆炸式發(fā)展，未來(lái)，受勒索軟件攻擊波及的影響面勢(shì)必越來(lái)越大，企業(yè)組織必須提高警惕，加強(qiáng)企業(yè)內(nèi)部培訓(xùn)，完善自身數(shù)據(jù)防護(hù)工作，部署安全威脅監(jiān)測(cè)以及應(yīng)急響應(yīng)流程，以更好地姿態(tài)迎接挑戰(zhàn)。