[[382648]]

勒索軟件行業(yè)無(wú)疑已經(jīng)發(fā)展了很長(zhǎng)一段時(shí)間，從早期的AIDS木馬到如今非常商業(yè)化的勒索即服務(wù)模型(RaaS)，掠奪了各種規(guī)模的企業(yè)。現(xiàn)在，一種名為“雙重勒索”的新型勒索軟件技術(shù)正在隨著疫情的爆發(fā)而迅猛發(fā)展，這種技術(shù)不僅可以鎖定公司的文件，而且可以迫使公司支付贖金，否則其數(shù)據(jù)就會(huì)被公開(kāi)泄露。

隨著勒索軟件攻擊的增加，這種勒索軟件的發(fā)展使公司以及使用這些公司產(chǎn)品的消費(fèi)者處于困境?？纯催@些數(shù)字，很容易就能看出為什么：

•  70%的勒索軟件受害企業(yè)已支付了贖金，金額在20,000至40,000美元之間
•  勒索軟件受害的消費(fèi)者支付了$ 500- $ 1,000勒索贖金
•  預(yù)計(jì)到2021年，勒索軟件將會(huì)使網(wǎng)絡(luò)犯罪分子凈賺200億美元
•  2019年-2023年期間，網(wǎng)絡(luò)犯罪可能使企業(yè)蒙受5.2萬(wàn)億美元的額外成本和收入損失

更糟糕的是，網(wǎng)絡(luò)犯罪團(tuán)伙針對(duì)各種規(guī)模的組織：2019年網(wǎng)絡(luò)犯罪受害者中有62%是中小型企業(yè)。

但是，擔(dān)心勒索軟件不斷上升的威脅的不僅僅是企業(yè)。Luca mela是一家追蹤名為“雙重勒索”的勒索軟件新策略的網(wǎng)站的創(chuàng)建者，Luca Mella告訴Cyber News，相較關(guān)于企業(yè)受到勒索軟件的新聞，消費(fèi)者顯然應(yīng)該更擔(dān)心。“由于雙重勒索，在罪犯手中會(huì)傳輸大量數(shù)據(jù)，在許多情況下甚至是數(shù)百GB(千兆字節(jié))。”

他說(shuō)，這非常令人擔(dān)憂。“當(dāng)知道您的個(gè)人數(shù)據(jù)、身份證件掃描件、簡(jiǎn)歷、賬單、工資單、采購(gòu)訂單或任何其他此類信息正在被國(guó)際犯罪組織、國(guó)際犯罪分子或是本地詐騙犯獲取時(shí)，會(huì)有何感想?”

如果這些勒索軟件卡特爾出售消費(fèi)者的個(gè)人數(shù)據(jù)，這些數(shù)據(jù)將被用于網(wǎng)絡(luò)釣魚(yú)或是身份盜竊等任何事情。因此，總的來(lái)說(shuō)，每個(gè)人都應(yīng)該擔(dān)心勒索軟件及其大規(guī)模的增長(zhǎng)。

REvil的雙重勒索戰(zhàn)術(shù)

REvil，也稱為Sodin或Sodinokibi，是一個(gè)勒索軟件組織，它是第一個(gè)對(duì)勒索軟件使用“雙重勒索”策略的勒索軟件，這是一種雙管齊下的將公司鎖定在他們文件之外的勒索方法，他們同時(shí)也威脅該公司如果不按時(shí)支付贖金，則向公眾公開(kāi)數(shù)據(jù)。

REvil可能來(lái)自現(xiàn)已解散的GandCrab犯罪團(tuán)伙，主要是基于以下事實(shí)：REvil在GandCrab退出后立即活躍起來(lái)，而且這兩個(gè)團(tuán)伙使用的勒索軟件具有明顯的相似之處。GandCrab聲稱其已經(jīng)支付了超過(guò)20億美元的贖金，其運(yùn)營(yíng)商每周賺取250萬(wàn)美元。

REvil于2020年6月首次使用雙重勒索策略，當(dāng)時(shí)它正在拍賣(mài)從一家拒絕支付贖金的加拿大農(nóng)業(yè)生產(chǎn)公司處竊取的數(shù)據(jù)。

從那時(shí)起，諸如Maze和DoppelPaymer卡特爾這樣的競(jìng)爭(zhēng)勒索軟件組織都采用了相同的策略，并且，很不幸的是它們都取得了成功。

例如，在2019年末，Maze卡特爾襲擊了猶他大學(xué)。當(dāng)大學(xué)成功地從備份中還原了他們的數(shù)據(jù)時(shí)，Maze在數(shù)據(jù)加密之前先對(duì)其進(jìn)行了竊取，并威脅要泄漏學(xué)生數(shù)據(jù)。因此，猶他大學(xué)被迫支付了457,059美元的贖金。

如果沒(méi)有雙重敲詐手段，網(wǎng)絡(luò)犯罪集團(tuán)就將承擔(dān)損失。

不斷變化的業(yè)務(wù)結(jié)構(gòu)

需要注意的另一件事是：勒索軟件組織不僅在其策略上“進(jìn)化”，而且在組織結(jié)構(gòu)上也“進(jìn)化”了。在將一個(gè)特定勒索軟件病毒與一個(gè)特定群體聯(lián)系在一起之前，已經(jīng)形成了類似于黑手黨或商業(yè)組織的“卡特爾”。

這些卡特爾還具有為他們做事的“附屬機(jī)構(gòu)”，例如特權(quán)升級(jí)。主要組織使用附屬組織留下的后門(mén)和信標(biāo)來(lái)植入勒索軟件并泄露數(shù)據(jù)，然后傳遞被盜的數(shù)據(jù)和攻擊信息。作為回報(bào)，他們獲得一定比例的分紅。

在黑客論壇上招募Darkside勒索軟件幫派的會(huì)員

聯(lián)盟計(jì)劃要么通過(guò)卡特爾將目標(biāo)分配給小型聯(lián)盟團(tuán)隊(duì)，要么由這些團(tuán)隊(duì)自己尋找目標(biāo)。一旦目標(biāo)網(wǎng)絡(luò)被滲透，他們就將數(shù)據(jù)傳遞給卡特爾并收集付款。然后，卡特爾將數(shù)據(jù)提取出來(lái)，并在目標(biāo)系統(tǒng)上對(duì)該數(shù)據(jù)進(jìn)行加密。

此外，他們與其他網(wǎng)絡(luò)犯罪團(tuán)伙合作，以共享資源，協(xié)調(diào)受害者數(shù)據(jù)的泄漏并勒索受害者。例如，Maze卡特爾由勒索軟件組Maze，LockBit，Ragnar Locker合作組成。

除此之外，這些勒索軟件卡特爾還模仿基于訂閱的軟件即服務(wù)(SaaS)模型，發(fā)展了他們的服務(wù)產(chǎn)品。這些卡特爾現(xiàn)在提供“勒索即服務(wù)(ransomware as-a- service)”，即勒索軟件行業(yè)的新進(jìn)入者(個(gè)人或團(tuán)體)，不再需要開(kāi)發(fā)自己的惡意軟件或擁有必要的基礎(chǔ)架構(gòu)，這些組織具有“為您完成”的模型，即使非技術(shù)攻擊者也可以利用該模型攻擊和勒索受害者。

測(cè)量雙重勒索

在查看過(guò)去幾個(gè)月中盧卡·梅拉(Luca Mella)的雙重勒索跟蹤程序的數(shù)據(jù)時(shí)，我們可以看到，公開(kāi)披露的違規(guī)行為次數(shù)激增：

當(dāng)我們查看一個(gè)流行的黑客論壇上可供下載的公共數(shù)據(jù)庫(kù)的總數(shù)時(shí)，我們注意到了相同的趨勢(shì)：

需要注意的是，受勒索軟件攻擊影響的公司的真實(shí)數(shù)量是未知的。Mella告訴Cyber News：“在雙重勒索中，我們只會(huì)注意到整個(gè)活動(dòng)的一小部分。尤其是在協(xié)商中支付贖金的公司沒(méi)有引起注意，并且有數(shù)種網(wǎng)絡(luò)保險(xiǎn)也涵蓋了贖金。”

查看任何趨勢(shì)的一種方法是簡(jiǎn)單地查看攻擊者正在泄漏的漏洞數(shù)量。這可能與雙重勒索策略有關(guān)–卡特爾可能會(huì)泄漏受影響公司數(shù)據(jù)庫(kù)的某些部分，以協(xié)助其“談判”。

實(shí)際上，正是由于這個(gè)確切的原因，我們已經(jīng)遇到了一些泄漏，例如，位于邁阿密的Intcomex：

但是，僅查看已聲明或泄漏的違規(guī)并不能真正呈現(xiàn)出正確的畫(huà)面。當(dāng)我們查看勒索軟件參與者聲稱的泄漏時(shí)，趨勢(shì)變得更加清晰：

盡管Mella的分析從2020年8月才開(kāi)始，但趨勢(shì)很明顯–勒索軟件隨著時(shí)間的流逝而增加，不同的網(wǎng)絡(luò)犯罪團(tuán)伙隨時(shí)間增加其輸出。

他們的攻擊重點(diǎn)非常廣泛，其中制造業(yè)和零售業(yè)是受攻擊最嚴(yán)重的行業(yè)：

在跟蹤器運(yùn)行一段時(shí)間后，Mella得出了一個(gè)清醒的結(jié)論：雙重勒索操作者似乎根本沒(méi)有對(duì)他們選擇的目標(biāo)進(jìn)行區(qū)分。

“我起初以為這些團(tuán)伙只針對(duì)高價(jià)值的巨額支付目標(biāo)，”梅拉告訴《網(wǎng)絡(luò)新聞》，“但數(shù)據(jù)顯示，他們實(shí)際上正在攻擊各種類型的公司：從價(jià)值億萬(wàn)的公司到一家價(jià)值500萬(wàn)美元的本地中小型企業(yè)。”

他還注意到，他們通常會(huì)瞄準(zhǔn)一些專業(yè)服務(wù)機(jī)構(gòu)、律師事務(wù)所和零售企業(yè)，這也許是因?yàn)閭鹘y(tǒng)上它們相較于銀行業(yè)這樣的成熟部門(mén)對(duì)網(wǎng)絡(luò)安全的準(zhǔn)備不足。

“令我最驚訝的是受影響的行業(yè)種類繁多，其中包括許多醫(yī)療保健和非營(yíng)利組織。”

當(dāng)查看哪些勒索軟件組織或分支機(jī)構(gòu)在主導(dǎo)攻擊時(shí)，我們可以看到Conti，Netwalker和Maze構(gòu)成了所有攻擊的53%以上：

但是，由于迷宮卡特爾與Conti和RagnarLocker合作，因此可以將它們視為主要的攻擊組，總共占所有攻擊的39%。

勒索軟件和大流行

Mella收集了大部分?jǐn)?shù)據(jù)，她表示，全球Covid-19大流行加速了雙重勒索行為，這些團(tuán)伙以私人和公共組織為目標(biāo)，從業(yè)務(wù)中斷中獲利，擴(kuò)大附屬項(xiàng)目，并將僵尸網(wǎng)絡(luò)加入了他們的工具庫(kù)。

Mella認(rèn)為，大流行是許多數(shù)字現(xiàn)象(包括雙重勒索)的催化劑。Covid-19的威脅和封鎖都加劇了雙重勒索的影響，網(wǎng)絡(luò)攻擊通常分為兩類：公司的IT變更和外部威脅。

“在幾天之內(nèi)，許多公司被迫打開(kāi)安全防線，將大量勞動(dòng)力投入到智能工作中，并同時(shí)引進(jìn)新技術(shù)。”梅拉告訴CyberNews，“在很短的時(shí)間內(nèi)發(fā)生了太多變化，只有那些擁有最佳安全狀態(tài)的人才能妥善處理?，F(xiàn)在，每家公司都不得不考慮這些增加的風(fēng)險(xiǎn)并進(jìn)行應(yīng)對(duì)。”

在外部方面，他認(rèn)為網(wǎng)絡(luò)犯罪分子意識(shí)到了這些弱點(diǎn)，并且已經(jīng)開(kāi)始加大力度。“2019年底，雙重勒索隸屬關(guān)系服務(wù)總共只有兩三個(gè);到2020年，這一數(shù)字將增長(zhǎng)了10倍左右。”他告訴CyberNews。

雖然這里收集的所有數(shù)據(jù)尚待證實(shí)-網(wǎng)絡(luò)犯罪團(tuán)伙聲稱他們破壞了一家公司這件事可能是一個(gè)謊言-但它確實(shí)提出了一個(gè)令人深省的結(jié)論：勒索軟件在2020年已經(jīng)是一個(gè)大問(wèn)題，其發(fā)展軌跡表明它將在2021年及以后成為更大的問(wèn)題。

勒索軟件策略的演變

勒索軟件的第一個(gè)實(shí)例發(fā)生在1989年，由約瑟夫·波普(Joseph Popp)編寫(xiě)，被稱為AIDS特洛伊木馬。這種攻擊沒(méi)有現(xiàn)代的攻擊方法那樣有效：文件沒(méi)有經(jīng)過(guò)加密，而是隱藏在受害者的計(jì)算機(jī)上，唯一經(jīng)過(guò)加密的是文件名。即使這樣，解密密鑰也可以在木馬代碼中找到。

快進(jìn)到2000年代中期，勒索軟件開(kāi)始受到關(guān)注。到2006年，諸如GPCode之類的惡意軟件開(kāi)始出現(xiàn)在公司計(jì)算機(jī)上，并以.doc，.html，.jpg，.xls，.zip和.rar等擴(kuò)展名對(duì)計(jì)算機(jī)驅(qū)動(dòng)器上的文件進(jìn)行加密。然后，勒索軟件會(huì)在每個(gè)文件目錄中放置一個(gè)文本文件，指示受害者將電子郵件發(fā)送到指定的地址，勒索金額大約為$ 100- $ 200。

即使那樣，受害者也可以在無(wú)需支付任何贖金的情況下恢復(fù)數(shù)據(jù)。

但是，隨著網(wǎng)絡(luò)犯罪分子變得越來(lái)越復(fù)雜，他們使用越來(lái)越多的RSA加密密鑰大小來(lái)創(chuàng)建其木馬。在2006年1月，GPCode使用了56位RSA公鑰(在56小時(shí)內(nèi)破解)，但是在2008年6月，它使用了1024位RSA密鑰，如果真的強(qiáng)行破解，以當(dāng)前計(jì)算機(jī)的水平估計(jì)最長(zhǎng)要使用200萬(wàn)年，因此破解是不可行的。

隨著比特幣的引入，勒索軟件確實(shí)變得更加有利可圖，并且可能更易于操作。2013年末，CryptoLocker勒索軟件傳播開(kāi)來(lái)，在2013年10月15日至12月18日期間，其創(chuàng)建者獲得了大約2700萬(wàn)美元的收入。

勒索軟件如CryptoBlocker，OphionBlocker和Pclock這樣的新變種不斷增加，這使用戶有72小時(shí)的時(shí)間來(lái)支付1比特幣的贖金。如果受害者不付款，文件將被刪除。

然后，Chimera在2015年開(kāi)始發(fā)揮作用。這種特殊的勒索軟件誘騙公司員工點(diǎn)擊托管在Dropbox上的惡意文件鏈接，從而對(duì)受害者進(jìn)行勒索。一旦被感染，攻擊者將要求約700美元的比特幣作為解密密鑰。但是，與標(biāo)準(zhǔn)勒索軟件流程不同的是，Chimera的創(chuàng)建者揚(yáng)言如果受害者不支付贖金就將受害者的文件發(fā)布到互聯(lián)網(wǎng)上。沒(méi)有證據(jù)表明任何受害者的個(gè)人數(shù)據(jù)都曾被發(fā)布到網(wǎng)上過(guò)，但是這種勒索軟件策略的升級(jí)可能助長(zhǎng)了勒索軟件的新常態(tài)，即“雙重勒索”。

避免勒索軟件的攻擊

由于卡特爾的結(jié)構(gòu)–會(huì)員、、分支機(jī)構(gòu)松散地滲透到目標(biāo)網(wǎng)絡(luò)中–這些勒索軟件組織正在使用各種各樣的攻擊媒介。例如，Maze卡特爾(Maze Cartel)使用了妥協(xié)的RDP會(huì)話、弱用戶憑證、社會(huì)工程學(xué)等。

事實(shí)上，聯(lián)盟計(jì)劃的方式是非常巧妙的，因?yàn)樗试S更多的去中心化的創(chuàng)造力和創(chuàng)新力：有效的卡特爾集團(tuán)并不關(guān)心分支機(jī)構(gòu)具體是如何做的，只要它完成了即可得到報(bào)酬。這也允許卡特爾集團(tuán)同時(shí)進(jìn)行多個(gè)操作，如果所有操作都集中起來(lái)，將很難管理和維護(hù)。

有鑒于此，通過(guò)采用零信任安全策略(“不信任任何人”策略)可以為組織提供最佳服務(wù)。本質(zhì)上，在嘗試授予訪問(wèn)權(quán)限之前，必須驗(yàn)證組織內(nèi)部或外部嘗試連接到其系統(tǒng)的所有內(nèi)容。

緩解策略是至關(guān)重要的一個(gè)方面，組織備份其數(shù)據(jù)以便在受到攻擊時(shí)不會(huì)中斷其業(yè)務(wù)運(yùn)營(yíng)。

但是，這僅涵蓋了雙重勒索問(wèn)題之一。企業(yè)還需要一種積極主動(dòng)的戰(zhàn)略，其中包括：

•  防止惡意軟件傳播到設(shè)備：過(guò)濾允許的文件類型，阻止惡意網(wǎng)站等。
•  保護(hù)遠(yuǎn)程訪問(wèn)設(shè)備：修補(bǔ)已知漏洞，啟用MFA，使用安全的虛擬網(wǎng)絡(luò)，采用最低權(quán)限模型。
•  防止惡意軟件通過(guò)網(wǎng)絡(luò)傳播：使用MFA，修補(bǔ)虛擬網(wǎng)絡(luò)，防火墻，防病毒，設(shè)備和基礎(chǔ)架構(gòu)，隔離過(guò)時(shí)的平臺(tái)。
•  防止任何惡意軟件在設(shè)備上運(yùn)行：集中管理設(shè)備，使軟件保持最新，盡快安裝安全更新并啟用自動(dòng)更新。

盡管如此，梅拉告訴CyberNews，預(yù)防不應(yīng)該成為組織戰(zhàn)略的全部重點(diǎn)。相反，企業(yè)應(yīng)該準(zhǔn)備應(yīng)急響應(yīng)。“有了正確的投資、良好的安全運(yùn)營(yíng)人員和快速的網(wǎng)絡(luò)應(yīng)急響應(yīng)能力，就有可能在勒索軟件運(yùn)營(yíng)商影響企業(yè)和利益相關(guān)者的信任之前攔截它們。”

本文翻譯自：https://cybernews.com/security/these-ransomware-cartels-will-leak-your-data-until-you-pay/如若轉(zhuǎn)載，請(qǐng)注明原文地址。