如今众人皆知,勒索软件变成了一个极大的不便。
过去的一年中,大家记录了一系列勒索软件的攻击,攻击催毁了全球性的许多公司。即使并不是网络信息安全领域的从业者,都早已了解犯罪分子早已寻找根据互联网进到公司的方式,随后犯罪分子可以锁定计算机使之不能用,直到公司付款了相应的赎金才会修复。
COVID-19 的大流行促使许多我国的资金处在下降的边沿,勒索软件强烈的攻击趋势进一步磨练了很多公司的经营状况。
大家都知道,勒索软件身后的互联网团伙犯罪已经迅猛发展,持续打造新的变异,而且在不法销售市场给予了可以浏览别的公司内部结构互联网的管理权限。以往一年中,Intel 471 跟踪了 25 个不一样的勒索软件即服务项目(RaaS)的服务。大家致力于更好地掌握网络诈骗的的具体情况,全社会发展可以更好地掌握这一日益比较严重的问题。
新起的 RaaS
兴起的 RaaS
下列变异确定与很多攻击相关,其攻击頻率在 2020 年有所增加,通常会在blog上挂到受害人的有关信息以侮辱回绝付款赎金的公司。
经营规模巨大的 RaaS
这种范围巨大的 RaaS 在江湖中占据很高的影响力,许多攻击都和她们相关,总体俩看早已赚到了数亿美元的收益,充分考虑有一些未公布的攻击事情,具体数据会比这更高一些。
(1) DoppelPaymer
自 2019 年至今,DoppelPaymer 与 BitPaymer(别名 FriedEx )相关。CrowdStrike 注重了这种组合间的一些共同之处,并推断 DoppelPaymer 可能是源于前 BitPaymer 开发设计组员的手笔。
DoppelPaymer 精英团队根据 Tor 经营着一个名叫 “Dopple leaks” 的blog,该博客用以公布相关受感柒公司以及失窃数据信息的信息内容。受害人包含例如西班牙电力能源大佬 Pemex 和与美国联邦政府协作的 IT 承包单位等。
DoppelPaymer 勒索软件最受关心、最容易引起争议的是 2020 年 9 月对于杜塞尔多夫高校医院门诊的攻击。攻击者者其实是想以杜塞尔多夫高校为总体目标,但最后先感染了其医院门诊。攻击者后面向医院门诊推送了数据密匙使医院门诊恢复过来运行。
(2) Egregor/Maze
在公布此汇报时,Maze 勒索软件即服务项目身后的维护者公布将关掉经营。有些人猜想,Maze 机构的组员很有可能会被列入 Egregor 勒索软件身后的维护保养机构中。Egregor 在实际操作中遵循一种了解的方式:“攻占公司互联网以盗取隐秘数据并布署勒索软件,与受害人开展通讯并索要赎金,随后在受害人回绝付款赎金时将隐秘数据在blog上公布”。
有直接证据说明,Egregor 也与 Sekhmet 勒索软件相关。Intel 471 的分析工作人员发觉,Egregor 包括与 Sekhmet 同样的 Base64 编码数据,在其中最终一行包括来源于失陷服务器的别的主要参数。科学研究工作人员还发觉,Egregor 的敲诈勒索信息内容与 Sekhmet 所采用的敲诈勒索信息内容是极其类似的。
在 Crytek、Ubisoft 和 Barnes&Noble 的攻击事情中也看到了 Egregor 的影子。
(3) Netwalker
NetWalker 最开始在 2019 年 9 月被发觉,是 Intel 471 追踪的最活泼的业务之一。它后面的攻击者在 2020 年首先采用了与 COVID-19 新冠疫情大流行相关的钓鱼邮件感柒受害人。5月,其经营者开启了一个根据 Tor 的blog,以公布这些回绝付款赎金的受害人那边偷回来的隐秘数据。
攻击者应用了无文档感柒技术性,据悉可以绕开 Windows 7 和更新版本电脑操作系统的 UAC。NetWalker 可以在这两种方式下实际操作:在“网络模式”下,可以操纵单独电子计算机拓展到整体互联网开展敲诈勒索,而受害人可以选购具备主密匙的解密工具或选购必需的密匙以对一些电子计算机开展破译。在“本人方式”下,一次赎金只对于一台电子计算机。
据悉,该机构仅在上个月就公布了 25 起与之相关的事情。Netwalker 攻击中最引人注意的总体目标是密歇根州立高校,且该大学回绝付款赎金。
(4) REvil
REvil 是市面上最多见的勒索软件组合之一,初次被发觉于 2019 年 4 月 17 日,攻击者运用了 Oracle WebLogic 网络服务器中的系统漏洞(CVE-2019-2725)。2个月后,在 XSS 社区论坛上逐渐发生市场销售广告宣传。
REvil 一直是最活泼的勒索软件犯罪团伙之一,宣称对例如英国金融服务提供商 Travelex,英国游戏娱乐和新闻媒体法律法规公司 Grubman Shire Meiselas&Sacks 及其英国得克萨斯州 23 个当地政府的攻击承担。
REvil 得到访问限制的最普遍形式之一是根据远程桌面连接协议书(RDP)系统漏洞,例如 BlueGate 漏洞,该系统漏洞容许客户远程控制实行编码。在 Travelex 和 Grubman Shire Meiselas&Sacks 的攻击实例中,根据运用落伍的 Citrix 和 Pulse Secure 远程连接手机软件可在“大概三分钟内”浏览全部互联网。
REvil 发觉 RaaS 的经营模式能够赚钱,这类方式显而易见造成了盈利的高涨。依据 REvil 的观点,一个vip会员的工资从每一个总体目标约 2 万美金早已提高到 3 万美金。
(5) Ryuk
Ryuk 几乎可以说成勒索软件的近义词,由于该变异是最火爆的勒索软件之一,拥有很多的受害人。一开始,Ryuk 与 Trickbot 和 Emotet 在感柒链中协同攻击。近期,大家还看到了 Ryuk 根据 Bazar Loader 递送。
以往一年里,Ryuk 爆发式提高,对全世界上百万起勒索软件事情承担。一些安全性科研工作人员可能,在2022年进行的勒索软件攻击中,有高达三分之一都和 Ryuk 相关。而 Ryuk 2022年的攻击总体目标一直聚集在保健医疗行业。
参照由来:Intel471