現(xiàn)在人盡皆知，勒索軟件變成了一個(gè)巨大的麻煩。

過去的一年中，我們見證了一系列勒索軟件的攻擊，攻擊摧毀了全球的很多企業(yè)。即使不是網(wǎng)絡(luò)安全行業(yè)的從業(yè)人員，都已經(jīng)知道犯罪分子已經(jīng)找到通過網(wǎng)絡(luò)進(jìn)入公司的方法，然后犯罪分子可以鎖定計(jì)算機(jī)使之不可用，直到公司支付了相關(guān)的贖金才會(huì)恢復(fù)。

[[358710]]

COVID-19 的大流行使得很多國(guó)家的經(jīng)濟(jì)處于下滑的邊緣，勒索軟件猛烈的攻擊勢(shì)頭進(jìn)一步考驗(yàn)了許多公司的經(jīng)營(yíng)狀況。

眾所周知，勒索軟件背后的網(wǎng)絡(luò)犯罪團(tuán)伙正在蓬勃發(fā)展，不斷創(chuàng)造新的變種，并且在非法市場(chǎng)提供了能夠訪問其他公司內(nèi)部網(wǎng)絡(luò)的權(quán)限。過去一年中，Intel 471 追蹤了 25 個(gè)不同的勒索軟件即服務(wù)(RaaS)的服務(wù)。我們旨在更好地了解網(wǎng)絡(luò)犯罪的的真實(shí)情況，全社會(huì)可以更好地了解這一日益嚴(yán)重的問題。

新興的 RaaS

崛起的 RaaS

以下變種確認(rèn)與許多攻擊有關(guān)，其攻擊頻率在 2020 年有所增加，通常會(huì)在博客上掛出受害者的相關(guān)信息以羞辱拒絕支付贖金的公司。

規(guī)模龐大的 RaaS

這些規(guī)模龐大的 RaaS 在江湖中占有很高的地位，很多攻擊都與他們有關(guān)，整體倆看已經(jīng)賺到了數(shù)億美元的收入，考慮到有些未披露的攻擊事件，實(shí)際數(shù)字會(huì)比這更高。

(1) DoppelPaymer

自 2019 年以來，DoppelPaymer 與 BitPaymer(又名 FriedEx )有關(guān)。CrowdStrike 強(qiáng)調(diào)了這些變體之間的一些相似之處，并推測(cè) DoppelPaymer 可能是出自前 BitPaymer 開發(fā)成員的手筆。

DoppelPaymer 團(tuán)隊(duì)基于 Tor 運(yùn)營(yíng)著一個(gè)名為 “Dopple leaks” 的博客，該博客用于發(fā)布有關(guān)受感染公司及其被盜數(shù)據(jù)的信息。受害者包括諸如墨西哥能源巨頭 Pemex 和與美國(guó)聯(lián)邦政府合作的 IT 承包商等。

DoppelPaymer 勒索軟件最受關(guān)注、最引起爭(zhēng)議的是 2020 年 9 月針對(duì)杜塞爾多夫大學(xué)醫(yī)院的攻擊。攻擊者者實(shí)際上是想以杜塞爾多夫大學(xué)為目標(biāo)，但最終先感染了其醫(yī)院。攻擊者后續(xù)向醫(yī)院發(fā)送了數(shù)字密鑰使醫(yī)院恢復(fù)正常運(yùn)轉(zhuǎn)。

(2) Egregor/Maze

在發(fā)布此報(bào)告時(shí)，Maze 勒索軟件即服務(wù)背后的維護(hù)者宣布將關(guān)閉運(yùn)營(yíng)。有人猜測(cè)，Maze 組織的成員可能會(huì)被納入 Egregor 勒索軟件背后的維護(hù)組織中。Egregor 在操作中遵循一種熟悉的模式：“攻陷公司網(wǎng)絡(luò)以竊取敏感數(shù)據(jù)并部署勒索軟件，與受害者進(jìn)行通信并索取贖金，然后在受害者拒絕支付贖金時(shí)將敏感數(shù)據(jù)在博客上發(fā)布”。

有證據(jù)表明，Egregor 也與 Sekhmet 勒索軟件有關(guān)。Intel 471 的研究人員發(fā)現(xiàn)，Egregor 包含與 Sekhmet 相同的 Base64 編碼數(shù)據(jù)，其中最后一行包含來自失陷主機(jī)的其他參數(shù)。研究人員還發(fā)現(xiàn)，Egregor 的勒索信息與 Sekhmet 所使用的勒索信息是極為相似的。

在 Crytek、Ubisoft 和 Barnes&Noble 的攻擊事件中也發(fā)現(xiàn)了 Egregor 的身影。

(3) Netwalker

NetWalker 最早在 2019 年 9 月被發(fā)現(xiàn)，是 Intel 471 跟蹤的最活躍的服務(wù)之一。它背后的攻擊者在 2020 年率先使用了與 COVID-19 疫情大流行有關(guān)的釣魚郵件感染受害者。5月，其運(yùn)營(yíng)者啟用了一個(gè)基于 Tor 的博客，以發(fā)布那些拒絕支付贖金的受害者那里偷來的敏感數(shù)據(jù)。

攻擊者使用了無(wú)文件感染技術(shù)，據(jù)稱可以繞過 Windows 7 和更新版本操作系統(tǒng)的 UAC。NetWalker 可以在兩種模式下操作：在“網(wǎng)絡(luò)模式”下，可以控制單個(gè)計(jì)算機(jī)擴(kuò)展到整個(gè)網(wǎng)絡(luò)進(jìn)行勒索，而受害者可以購(gòu)買具有主密鑰的解密工具或購(gòu)買必要的密鑰以對(duì)某些計(jì)算機(jī)進(jìn)行解密。在“個(gè)人模式”下，一次贖金只針對(duì)一臺(tái)計(jì)算機(jī)。

據(jù)稱，該組織僅在上個(gè)月就披露了 25 起與之有關(guān)的事件。Netwalker 攻擊中最引人注目的目標(biāo)是密歇根州立大學(xué)，且該大學(xué)拒絕支付贖金。

(4) REvil

REvil 是市場(chǎng)上最常見的勒索軟件變體之一，首次被發(fā)現(xiàn)于 2019 年 4 月 17 日，攻擊者利用了 Oracle WebLogic 服務(wù)器中的漏洞(CVE-2019-2725)。兩個(gè)月后，在 XSS 論壇上開始出現(xiàn)銷售廣告。

REvil 一直是最活躍的勒索軟件團(tuán)伙之一，聲稱對(duì)諸如英國(guó)金融服務(wù)提供商 Travelex，美國(guó)娛樂和媒體法律公司 Grubman Shire Meiselas&Sacks 以及美國(guó)德克薩斯州 23 個(gè)地方政府的攻擊負(fù)責(zé)。

REvil 獲得訪問權(quán)限的最常見方式之一是通過遠(yuǎn)程桌面協(xié)議(RDP)漏洞，例如 BlueGate 漏洞，該漏洞允許用戶遠(yuǎn)程執(zhí)行代碼。在 Travelex 和 Grubman Shire Meiselas&Sacks 的攻擊案例中，通過利用過時(shí)的 Citrix 和 Pulse Secure 遠(yuǎn)程訪問軟件可在“大約三分鐘內(nèi)”訪問整個(gè)網(wǎng)絡(luò)。

REvil 發(fā)現(xiàn) RaaS 的運(yùn)營(yíng)模式有利可圖，這種模式顯然導(dǎo)致了利潤(rùn)的飛漲。根據(jù) REvil 的說法，一個(gè)會(huì)員的收入從每個(gè)目標(biāo)約 2 萬(wàn)美元已經(jīng)增長(zhǎng)到 3 萬(wàn)美元。

(5) Ryuk

Ryuk 幾乎可以說是勒索軟件的同義詞，因?yàn)樵撟兎N是最受歡迎的勒索軟件之一，有著大量的受害者。一開始，Ryuk 與 Trickbot 和 Emotet 在感染鏈中聯(lián)合攻擊。最近，我們還發(fā)現(xiàn)了 Ryuk 通過 Bazar Loader 投遞。

過去一年里，Ryuk 爆炸式增長(zhǎng)，對(duì)全球數(shù)百萬(wàn)起勒索軟件事件負(fù)責(zé)。一些安全研究人員估計(jì)，在今年發(fā)起的勒索軟件攻擊中，有多達(dá)三分之一都與 Ryuk 有關(guān)。而 Ryuk 今年的攻擊目標(biāo)一直集中在醫(yī)療保健領(lǐng)域。

參考來源：Intel471