资讯专栏INFORMATION COLUMN

继上一批高调勒索软件消失后 这7个新的勒索软件继承双重勒索

Barry_Ng / 800人阅读

摘要:在今年年中一系列高调的攻击之后,一些规模庞大臭名昭著的勒索软件销声匿迹了。与往常一样,新的勒索软件团伙定期亮相。不要指望勒索软件真正消失,与其期待控制勒索软件不如加强自身防御。

.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body%20h1,.markdown-body%20h2,.markdown-body%20h3,.markdown-body%20h4,.markdown-body%20h5,.markdown-body%20h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body%20h1{font-size:30px;margin-bottom:5px}.markdown-body%20h2{padding-bottom:12px;font-size:24px;border-bottom:1px%20solid%20#ececec}.markdown-body%20h3{font-size:18px;padding-bottom:0}.markdown-body%20h4{font-size:16px}.markdown-body%20h5{font-size:15px}.markdown-body%20h6{margin-top:5px}.markdown-body%20p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body%20img{max-width:100%}.markdown-body%20hr{border:none;border-top:1px%20solid%20#ffffd;margin-top:32px;margin-bottom:32px}.markdown-body%20code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em%20.4em}.markdown-body%20code,.markdown-body%20pre{font-family:Menlo,Monaco,Consolas,Courier%20New,monospace}.markdown-body%20pre{overflow:auto;position:relative;line-height:1.75}.markdown-body%20pre>code{font-size:12px;padding:15px%2012px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body%20a{text-decoration:none;color:#0269c8;border-bottom:1px%20solid%20#d1e9ff}.markdown-body%20a:active,.markdown-body%20a:hover{color:#275b8c}.markdown-body%20table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px%20solid%20#f6f6f6}.markdown-body%20thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body%20tr:nth-child(2n){background-color:#fcfcfc}.markdown-body%20td,.markdown-body%20th{padding:12px%207px;line-height:24px}.markdown-body%20td{min-width:120px}.markdown-body%20blockquote{color:#666;padding:1px%2023px;margin:22px%200;border-left:4px%20solid%20#cbcbcb;background-color:#f8f8f8}.markdown-body%20blockquote:after{display:block;content:""}.markdown-body%20blockquote>p{margin:10px%200}.markdown-body%20ol,.markdown-body%20ul{padding-left:28px}.markdown-body%20ol%20li,.markdown-body%20ul%20li{margin-bottom:0;list-style:inherit}.markdown-body%20ol%20li%20.task-list-item,.markdown-body%20ul%20li%20.task-list-item{list-style:none}.markdown-body%20ol%20li%20.task-list-item%20ol,.markdown-body%20ol%20li%20.task-list-item%20ul,.markdown-body%20ul%20li%20.task-list-item%20ol,.markdown-body%20ul%20li%20.task-list-item%20ul{margin-top:0}.markdown-body%20ol%20ol,.markdown-body%20ol%20ul,.markdown-body%20ul%20ol,.markdown-body%20ul%20ul{margin-top:3px}.markdown-body%20ol%20li{padding-left:6px}.markdown-body%20.contains-task-list{padding-left:0}.markdown-body%20.task-list-item{list-style:none}@media%20(max-width:720px){.markdown-body%20h1{font-size:24px}.markdown-body%20h2{font-size:20px}.markdown-body%20h3{font-size:18px}}

新的勒索软件即服务组织寻找分支机构勒索新的受害者。

在今年年中一系列高调的攻击之后,一些规模庞大、臭名昭著的勒索软件销声匿迹了。

Conti针对爱尔兰医疗服务,DarkSide针对美国殖民管道,REvil针对肉类加工巨头JBS和远程管理软件公司Kaseya的勒索软件攻击,导致拜登政府开始重视破坏勒索软件的商业模式。

很快,DarkSide和REvil消失了,Avaddon也消失了,专家说他们看起来很有威胁性。所有这些都是“勒索软件即服务”(ransomware-a%20-service)操作,即运营商开发加密锁勒索软件,并将其提供给分支机构——本质上是个体承包商——这些分支机构会感染受害者。无论何时受害者支付,关联公司和运营商共享预先安排的收益分割。

The%20Record最近报道称,心怀不满的Conti附属公司泄露了用于培训附属公司的手册和技术指南,声称他的薪酬过低。

新命名的勒索软件和团伙出现

鉴于勒索软件仍然有提供巨额盈利的潜力,许多机构没有做好充分的防护,安全专家认为,Avaddon、DarkSide和REvil背后的核心运营商只会以不同的名称重来。与此同时,分支机构经常与多个勒索软件操作合作,有时是同时进行。因此,尽管一些群体似乎来去匆匆,但勒索软件的商业模式仍在蓬勃发展。

与往常一样,新的勒索软件团伙定期亮相。他们都使用双重勒索,这意味着他们声称在加密锁定系统之前窃取数据,并威胁将窃取的数据泄露到数据泄露站点,除非受害者支付赎金。

以下是有关七个此类操作的更多详细信息:ALTDOS、AvosLocker、Hive、HelloKitty、LockBit%202.0和OnePercent%20Group,以及DarkSide衍生产品BlackMatter。

1.%20阿尔多斯

新加坡网络安全局、警察部队和个人数据保护委员会警告称,ALTDOS网络犯罪行动自去年12月出现以来,一直针对孟加拉国、新加坡和泰国的组织。

“目前尚不清楚ALTDOS使用了哪种勒索软件变体,ALTDOS将使用ProtonMail上的电子邮件地址联系受害者,要求他们支付赎金,否则泄露的数据将被公布。”

如果受害者没有在给定的时间范围内响应或遵守赎金要求,ALTDOS还可能对受害者面向互联网的系统发起分布式拒绝服务攻击,以中断运营服务并提醒他们支付赎金。

2. AvosLocker

这项行动于6月首次被发现,研究人员表示,它似乎专注于美国、英国和欧洲部分地区的小型律师事务所,以及货运、物流和房地产公司。但到上月底,这家小公司似乎仍在试图招募更多的附属机构,如,通过Jabber和Telegraph分发的垃圾邮件广告。

截至上周四,AvosLocker基于Tor的数据泄露网站列出了11名受害者,其中包括阿联酋Moorfields眼科医院,该医院是英国国家卫生服务部Moorfields眼科医院基金会信托基金的一个分支机构,该组织称其窃取了超过60GB的数据。Moorfields已经证实了这次袭击。

“与其许多竞争对手一样,AvosLocker%20提供技术支持,帮助受害者在受到加密软件攻击后恢复,该组织声称该软件具有‘防故障’、低检测率且能够处理大文件,”Palo%20Alto的Unit%2042威胁研究小组的Santos和Ruchna%20Nigam在博客中称。“观察到最初的赎金要求从%2050,000美元到75,000美元不等。”

3.%20Hive%20勒索软件

专家表示,新来的Hive 勒索软件于 6 月 26 日首次被@fbgwls245 Twitter 帐户背后自称为韩国的“勒索软件猎人”发现,他在上传到 VirusTotal 恶意软件扫描服务后发现了该组织的恶意可执行文件。

6月26日,自称来自韩国的“勒索软件猎人”@fbgwls245推特账号首次发现了Hive勒索软件,该用户在将该组织的恶意可执行文件上传到VirusTotal恶意软件扫描服务后发现了该软件。

周四,Hive的数据泄露网站列出了34名受害者。“Hive使用勒索工具中所有可用的工具来给受害者制造压力,包括最初妥协的日期,倒计时,泄漏实际在他们的网站上公布的日期,甚至在社交媒体上分享泄露的选项。

黑莓的研究和情报团队最近表示,根据观察到的Hive样本,该恶意软件似乎“仍在开发中”。

4. HelloKitty

涉及HelloKitty勒索软件的攻击于2020年初首次被发现。%204月FireEye警告说,使用%20HelloKitty的攻击者一直针对未打补丁的SonicWall%20SMA%20100系列统一接入网关。供应商于1月23日确认并于2月23日修补了设备中的零日漏洞,命名为CVE-2021-20016。

7月,Palo%20Alto的研究人员表示,他们发现了“HelloKitty%20的%20Linux变体,其目标是%20VMware的ESXi管理程序,该管理程序广泛用于云和本地数据中心。”%20ESXi%20管理程序很可能成为攻击目标,因为如果攻击者成功加密锁定这些系统,可能会要求巨额赎金。使用HelloKitty的攻击者索要高达1000万美元的赎金,但他们最近收到了三笔总计仅150%20万美元的大笔赎金。

5.%20LockBit%202.0

LockBit以前称为ABCD勒索软件,自2019年9月以来一直活跃,但它最近推出了该操作称为LockBit 2.0的勒索软件,近期受害者包括咨询公司埃森哲。

“LockBit 2.0 以拥有当今勒索软件威胁环境中最快、最有效的加密方法之一而自豪,”趋势科技在最近的一份报告中表示。

显然是为了提高该组织的形象并吸引新的附属机构,该组织的一位名为“LockBitSupp”的发言人最近接受了俄罗斯OSINT YouTube频道的采访,赞扬了他的运营计划的优点,他说这是每笔赎金的80%支付给负责的附属机构。LockBitSupp还表示,运营商继续改进恶意软件和其他工具,试图使攻击不仅更快,而且更自动化,包括泄露数据并将其路由到专用的数据泄漏站点。

LockBit 2.0泄漏站点列出了64名受害者,其中一些已经公布了他们被盗的信息,而其他人的倒计时仍在运行。

6. OnePercent Group

联邦调查局周一发布了关于OnePercent%20Group的快速警报,警告称该组织自2020年11月以来一直活跃,并利用钓鱼攻击让受害者感染IcedID——又名BokBot——银行木马。这些钓鱼电子邮件带有包含Microsoft%20Word或Excel文档的zip文件,其中包含旨在安装恶意软件的恶意宏,该宏会删除并执行Cobalt%20Strike渗透测试工具。

FBI表示,攻击者通过使用PowerShell脚本,在网络上横向移动,使用Rclone工具将数据转移到云存储,然后最终在所有可能的地方部署加密锁定恶意软件。

FBI报告称:“在部署勒索软件之前,这些行动者已经在受害者的网络中被观察了大约一个月。”

FBI表示,在那之后,“受害者将开始收到要求赎金的假冒电话号码,并获得一个质子邮件(ProtonMail)电子邮件地址,以便进一步沟通。”“这些行动者会坚持要求与受害公司的指定谈判代表对话,或者以其他方式威胁要公布被盗数据。”

该组织称,对于任何拒绝付款的受害者,该组织此前曾威胁要将窃取的数据卖给REvil,也就是Sodinokibi组织。

7.%20BlackMatter%20勒索软件

7月下旬,一名网名为“BlackMatter”的网络犯罪论坛用户宣布启动一项新行动,“将DarkSide、REvil和LockBit的最佳特性融入其中”。

然而,在分析了一个在野外发现的BlackMatter 解密器后,不同安全公司得出结论:BlackMatter正是DarkSide的品牌重塑。

因此不难得出结论,勒索软件运营商会通过简单地改变名称以进行新的活动。信息安全资深人士威廉·休·默里称,50年前我们就知道黑客是一种让人上瘾的行为,期待他们改革是不切实际的,与其说他们走向消亡,不如说又进行了品牌重塑。

不要指望勒索软件真正消失,与其期待控制勒索软件不如加强自身防御。组织机构的网络安全性取决于其最脆弱的环节,而众多安全漏洞为网络犯罪分子提供了“便捷通道”。“大型漏洞”听起来可能反乌托邦,但它们正在成为现代网络危机的一个共有的特征。然而,企业若仍然依靠传统技术来使做预防准备,是一个危险的信号。

勒索软件在不断升级自身功能,以逃避或绕过软件安全检测,从而利用系统安全漏洞实施攻击。因此,企业机构更要确保软件系统中不存在安全漏洞,从软件内部确保安全。

对软件开发企业来说,加强在软件开发生命周期中的安全检测,如用SAST、SCA、DAST等自动化工具,可以有效减少系统安全漏洞,大大降低软件遭到攻击的几率。

参读链接:

www.inforisktoday.com/7-emerging-…

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/118638.html

相关文章

  • 勒索软件卷土重来 REvil团伙正在重塑形象并发动袭击

    摘要:勒索软件卷土重来卷土重来最危险的勒索软件团伙可能已经销声匿迹,但这只意味着他们正在进行品牌重塑,改进战术,并发动更猛烈的攻击。阿尔瓦拉多认为,事件是勒索软件集团发生重大变化的先驱者。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;c...

    番茄西红柿 评论0 收藏2637
  • 关于 5 月12 号各高校电脑爆发的勒索比特币的病毒

    摘要:背景事情起源于两个顶级黑客组织的撕美国国家安全局的最强黑客组织方程组和专门贩卖重磅信息的顶级黑客组织暗影经纪人。另外还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,预期的价格是万比特币价值接近亿美元。 声明:本文转载自网络,有部分删减。 背景 事情起源于两个顶级黑客组织的撕X: NSA(美国国家安全局)的最强黑客组织方程组和专门贩卖重磅信息的顶级黑客组织暗影经纪人。 事件...

    1fe1se 评论0 收藏1
  • LockFile勒索软件使用前所未有的加密技术逃避检测

    摘要:而且此前从未见过在勒索软件攻击中使用间歇性加密。在那里发现了勒索软件的主要功能,第一部分初始化了一个加密库,可能将其用于其加密功能。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body ...

    DandJ 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<