[[417612]]

得益于“網(wǎng)絡犯罪即服務”(cybercrime-as-a-service)生態(tài)系統(tǒng)的蓬勃發(fā)展，勒索軟件業(yè)務仍在愈演愈烈。

其中一些服務主要基于犯罪分子利用組織尚未修補的已知漏洞，或強制訪問遠程桌面協(xié)議(RDP)連接，然后將此訪問權(quán)限出售給其他人。針對這種情況，改進補丁管理和RDP安全實踐是行之有效的防御措施。

然而，除非采取強有力的措施，否則其他勒索軟件的“助推器”可能會繼續(xù)蓬勃發(fā)展。破壞勒索軟件運營商招募專家和出售服務的網(wǎng)絡犯罪論壇，通常需要執(zhí)法干預。

接下來為大家介紹9種勒索軟件“助推器”，以及可以采取的應對措施：

1. 新論壇助長勒索軟件

有時，網(wǎng)絡犯罪社區(qū)似乎是遵循“自我監(jiān)管”原則——至少在理論上是這樣。例如，今年5月份，在DarkSide針對美國的Colonial Pipeline以及Conti針對愛爾蘭衛(wèi)生服務機構(gòu)的攻擊造成政治影響之后，一些最大的俄語網(wǎng)絡犯罪論壇——包括XSS和Exploit——已經(jīng)正式禁止任何涉及勒索軟件的通信。

然而，一些安全專家表示，許多論壇總是能“鉆漏洞”找到變通方法，例如“滲透測試者”和“訪問代理”的廣告貼，前提是這些廣告沒有特別提及加密鎖定惡意軟件的字眼。

盡管一些較大的論壇已經(jīng)禁止討論勒索軟件，但一些較小的參與者似乎并不排斥它們，其中還不乏一些新涌現(xiàn)的論壇。

據(jù)以色列威脅情報公司Kela稱，7月12 日，Babuk勒索軟件運營商的數(shù)據(jù)泄露站點(6月份已從Babuk更名為Payload.bin)再次變成一個名為RAMP的網(wǎng)絡犯罪論壇。Kela公司威脅情報分析師Victoria Kivilevich在一份新的研究報告中表示。

據(jù)官方介紹，RAMP代表“Ransom Anon Mark Place(勒索軟件匿名市場)”，但事實上它也是在致敬已解散的“俄羅斯匿名市場”(Russian Anonymous Marketplace，簡稱RAMP，于2017年關(guān)閉)。

該新論壇稱其旨在支持勒索軟件即服務(RaaS)操作，這是當今涉及勒索軟件的主要商業(yè)模式。在RaaS模式下，運營商或管理員負責開發(fā)加密鎖定惡意軟件，附屬機構(gòu)(affiliate)通過門戶獲取該惡意軟件，用于感染受害者，并從支付的每筆贖金中抽取一部分傭金。

Kela公司介紹稱，一個最初名為“TetyaSluha”——現(xiàn)在是“Orange”的新管理員宣布它現(xiàn)在是一個可以保護勒索軟件附屬公司免受不道德RaaS程序侵害的地方。該管理員聲稱，在其他論壇禁止勒索軟件通信之后，他想創(chuàng)建一個新社區(qū)，并指出該論壇目前已經(jīng)有專門介紹初始訪問經(jīng)紀人、勒索軟件供應商和附屬程序的部分。

Kela補充道，在遭受垃圾郵件攻擊后，RAMP于7月底下線，但網(wǎng)站上的一條消息稱它將于 8月13日恢復。當再次恢復運行時，它無疑將繼續(xù)成為想要竊聽討論的威脅情報公司的目標，也可能成為尋求識別地下網(wǎng)絡犯罪成員并試圖逮捕他們的執(zhí)法機構(gòu)的目標。

2. 勒索軟件團體有其他溝通策略/渠道

安全公司Trend Micro的網(wǎng)絡犯罪研究主管Bob McArdle表示，更大的勒索軟件操作團體可能還構(gòu)建了廣泛的連接列表和完善的關(guān)系拓撲，因此它們對論壇的依賴程度較低。

同樣地，威脅情報公司Flashpoint也表示，勒索軟件運營歷來都是通過多個渠道進行招募。它說，有些團體，例如Black Shadow，主要依賴Telegram帳戶;其他人，例如LockBit 2.0，則會在他們的論壇上進行勒索軟件即服務招聘。

與此同時，據(jù)安全公司稱，近日，AvosLocker勒索軟件運營商使用了一項通過Jabber和Telegraph分發(fā)垃圾郵件的服務，來宣傳其勒索軟件合作伙伴計劃。

3. 專家提供按需服務

安全專家表示，勒索軟件運營商不只是尋求招募新的附屬機構(gòu)。一些規(guī)模更大、更復雜的行動——例如REvil、DarkSide 和 Ryuk——還會通過招募不同的專家來增加攻擊成功率并助力勒索業(yè)務蓬勃發(fā)展。

勒索軟件事件響應公司Coveware表示，對于一次完整的勒索軟件攻擊活動，可能涉及十多個獨特的參與者，每個參與者都有不同的專業(yè)技能，對攻擊的不同階段做出貢獻。當勒索軟件組織專注于特定的入侵方法時，他們很可能會去尋找正在向符合RaaS組特征的未來受害者出售網(wǎng)絡訪問權(quán)限的上游專家，這些上游專家已經(jīng)不止一次地出售這種訪問權(quán)限，因此能夠在競爭對手之前獲取競爭優(yōu)勢來影響網(wǎng)絡。

不過，并非所有專家都會參與直接入侵組織的活動。有些只是提供輔助服務，例如與受害者談判。其他人還可以給受害者帶來其他類型的支付壓力，例如，通過分發(fā)似乎不需要頂級技術(shù)技能的拒絕服務攻擊。

威脅情報公司英特爾471表示，它曾經(jīng)跟蹤過一名網(wǎng)絡犯罪分子，該人于1月首次出現(xiàn)在一個著名的網(wǎng)絡犯罪論壇上，該論壇在Colonial Pipeline攻擊事件被關(guān)閉后，他又成為了臭名昭著的DarkSide行動的同伙。據(jù)該名犯罪分子交代，他主要負責對DarkSide的受害者發(fā)起DDoS攻擊。在任何給定時間，都會有10到20個目標受到DDoS攻擊，攻擊會持續(xù)1到21天不等，受害者每次支付贖金，他們就能賺取500到7,000美元。

4. 初始訪問經(jīng)紀人為您鋪平道路

在勒索軟件攻擊者利用的各種專家中，有一個角色叫做“初始訪問經(jīng)紀人”，這是描述黑客獲得組織網(wǎng)絡訪問權(quán)，然后將該訪問權(quán)出售給其他人的一種奇特方式。對于使用勒索軟件的攻擊者來說，購買訪問權(quán)限意味著他們可以花更多時間來感染受害者，而不必先侵入他們的系統(tǒng)。

此類經(jīng)紀人的服務似乎正在激增。回顧今年前三個月最受歡迎的10個俄語和英語犯罪論壇，安全公司Positive Technologies統(tǒng)計了近600個訪問報價，而上一季度這一數(shù)字僅為255個。

該數(shù)字還并不包括所有此類出售的訪問權(quán)限，因為一些勒索軟件操作與初始訪問經(jīng)紀人建立了合作伙伴關(guān)系，或者向他們提供“回扣”以獲得優(yōu)先購買權(quán)。其他經(jīng)紀人會列出他們提供出售的一些“訪問權(quán)限”，但會告訴潛在買家直接與他們聯(lián)系以獲取有關(guān)其他目標的信息。

然而，公開可用報價的增加表明，更多的組織有可能成為犯罪分子的受害者，這些犯罪分子獲得了對其網(wǎng)絡的遠程訪問權(quán)限，并將這種訪問權(quán)限出售給出價最高的人。

5. 網(wǎng)絡釣魚和遠程桌面協(xié)議(RDP)提供訪問權(quán)限

Coveware警告稱，對于使用勒索軟件的攻擊者來說，網(wǎng)絡釣魚和暴力破解RDP訪問憑證仍然是獲得系統(tǒng)初始訪問權(quán)限最常用的兩種策略。

因此，擁有強大的網(wǎng)絡釣魚解決方案并鎖定RDP仍然是增強防御能力的明智之舉。

6. 未修補的漏洞同樣提供訪問權(quán)限

在使用勒索軟件的攻擊者獲取訪問權(quán)限的列表中，排名第三的是利用安全漏洞。Coveware表示，從4月到6月，它發(fā)現(xiàn)攻擊者特別喜歡利用兩個漏洞作為切入點，以獲取對組織網(wǎng)絡的遠程訪問權(quán)限。這些漏洞分別為影響SSL VPN設(shè)備的Fortinet FortiOS路徑遍歷漏洞(CVE-2018-13379)，以及SonicWall SRA 4600設(shè)備中的漏洞(CVE-2019-7481)。

FireEye的Mandiant事件響應小組在一份報告中表示，在供應商發(fā)布補丁之前，它觀察到一群使用FiveHands勒索軟件的組織于2月開始針對SonicWall SMA 100系列VPN設(shè)備中的漏洞。

英特爾471補充道，F(xiàn)iveHands的成員之后還利用了VMware Sphere Client漏洞(供應商已于5月份完成修補)以及被稱為“PrintNightmare”的Windows Print Spooler Service漏洞(微軟于7月對其進行了全面修補)。

永恒存在的“補丁或滅亡”的問題意味著，一旦供應商發(fā)布安全修復程序，攻擊者就會競相對其進行逆向工程，以找到他們可能利用的漏洞，從而輕松聚焦尚未安裝更新的新受害者。

英特爾471表示，網(wǎng)絡犯罪分子和其他任何人一樣關(guān)注CVE，而且他們清楚地知道組織在修復漏洞方面存在拖延現(xiàn)象，而正是這些漏洞為犯罪分子提供了執(zhí)行攻擊所需的訪問權(quán)限。

7. 開源選項催生更多攻擊

惡意軟件源代碼經(jīng)常被泄露或在野外轉(zhuǎn)儲，使犯罪分子能夠重用和改編它。這種例子比比皆是：例如，2011 年，臭名昭著的Zeus銀行木馬的源代碼因不明原因在網(wǎng)上泄露，并迅速被眾多不法分子濫用。

就在2016年8月針對物聯(lián)網(wǎng)的Mirai僵尸網(wǎng)絡出現(xiàn)幾周后，其創(chuàng)建者在網(wǎng)上泄露了源代碼，其最初的目的很可能是試圖讓調(diào)查人員偏離軌道。但糟糕的是，許多其他犯罪分子已經(jīng)迅速改編并重新利用了該惡意軟件。

在勒索軟件方面，2015年，安全研究人員Utku Sen將EDA2和Hidden Tear構(gòu)建為開源勒索軟件，并將源代碼發(fā)布在GitHub上。雖然研究人員表示該代碼是為教育目的而開發(fā)的，但它很快就被犯罪分子濫用，甚至衍生了具有“Pokemon Go”(一款結(jié)合了AR技術(shù)的游戲)主題的惡意軟件變體。

不過，這種事情對安全研究人員來說也具有警示意義：永遠不要將概念驗證(PoC)勒索軟件在野發(fā)布。

8. 泄漏滿足加密鎖定惡意軟件的需求

最近，有人泄露了一個名為“Babukbuilder”的Windows可執(zhí)行文件，結(jié)果證明它是Babuk使用的關(guān)鍵軟件。

該構(gòu)建器用于生成惡意軟件的唯一副本，在Babuk勒索軟件模式下，用于為每個不同的受害組織生成加密鎖定惡意軟件和解密工具。

該可執(zhí)行文件最初是由總部位于倫敦的時尚零售巨頭Arcadia Group的安全運營中心負責人 Kevin Beaumont發(fā)現(xiàn)的，他報告稱它會生成惡意軟件并影響“Windows、VMware ESXi、網(wǎng)絡附加存儲x86和ARM，以及廣泛使用的VMware hyperviso和NAS設(shè)備”。

包括Beaumont在內(nèi)的安全專家已經(jīng)證實了該軟件的有效性。

顯然，一些不太先進的犯罪分子也泄露了他們的工具。英特爾471報告稱，6月下旬，一名使用信息竊取惡意軟件Vidar的運營商向機器人發(fā)出了‘下載和執(zhí)行’任務，旨在安裝由構(gòu)建者生成的Babuk勒索軟件變體。

9. 重用惡意軟件縮短開發(fā)周期

很顯然，一些惡意軟件開發(fā)人員正在借用、共享或竊取代碼。例如，英特爾471報告稱，“Conti 勒索軟件和BazarLoader之間的代碼存在多種相似之處”，BazarLoader是一種旨在提供對受感染端點的遠程訪問的惡意軟件。

此類持有勒索軟件的攻擊者以前曾使用此類惡意軟件(包括BazarLoader)來獲得設(shè)備的初始訪問權(quán)限，然后下載并運行其他工具和惡意軟件，例如Ryuk和Vaet。

但英特爾471 表示，開發(fā)Conti的人似乎借用了BazarLoader的一些代碼。它說，一個特別的相似之處在于代碼允許Conti在一個孤立的實例(比如沙箱或虛擬機)中逃避分析。該函數(shù)的代碼與BazarLoader使用的代碼幾乎相同，兩個函數(shù)都遵循精確的邏輯并在搜索hook時以相同的方式執(zhí)行。

不幸的是，一旦此類代碼被濫用，并沒有什么簡單的方法可以消除它。然而，在某些情況下，安全公司可以根據(jù)它的工作方式推斷出發(fā)現(xiàn)它在野運行的方法，以幫助組織防御它。

本文翻譯自：https://www.bankinfosecurity.com/9-ransomware-enablers-tactics-for-combating-them-a-17172如若轉(zhuǎn)載，請注明原文地址。