在全球迎来第二个反勒索软件日之际,我们无法否认:勒索软件已经成为安全领域的热门词汇。这并非没有充分的理由,这种威胁可能存在了很长时间,但现在已经发生改变了。年复一年,攻击者的胆子越来越大,方法也越来越精炼,当然,系统也被攻破了。然而,勒索软件得到的大部分媒体关注都集中在记录哪些公司成为其目标上。这篇报道将从每天的勒索软件新闻中推出问题的核心,了解它是如何组织的。
首先,我们将揭穿三个阻碍正确思考勒索软件威胁的先入之见。接下来,我们深入研究暗网,展示网络罪犯如何相互交流,以及他们所提供的服务类型。最后,我们以两个著名的勒索软件团伙结尾:REvil和Babuk。
在开始阅读之前,请确保您的数据已安全备份!
第一部分:关于勒索软件的三个先入之见
先入之见一:勒索软件团伙就是团伙
随着2020年活动的兴起,我们看到了勒索软件世界中许多知名团伙的出现。犯罪分子发现,受害者如果能够事先建立某种信誉,就更有可能支付赎金。为了确保他们恢复加密文件的能力永远不会受到质疑,他们在网上树立了自己的形象,撰写新闻稿,并确保所有潜在受害者都知道他们的名字。
但是,通过将自己置于众人关注之下,这些组织掩盖了勒索软件生态系统的实际复杂性。从外部看,它们似乎是单个实体。但实际上它们只是矛尖。在大多数攻击中,都涉及大量的参与者,一个关键的要点是;他们通过暗网市场相互提供服务。
Botmaster和帐户销售商的任务是提供受害者网络内部的初始访问权限。这个生态系统的其他成员(为了方便讨论,将其命名为red team)使用初始访问权来获得对目标网络的完全控制。在这个过程中,他们会收集受害者的信息,并窃取内部文件。
这些文件可能会被外包给分析师团队,这些分析师将试图计算出目标的实际财务状况,以便确定他们可能支付的最高赎金价格。分析师还将留意任何可能用于支持其勒索策略的敏感信息或暗示性信息,目的是向决策者施加最大压力。
当red team准备发动攻击时,它会从暗网开发人员那里购买勒索软件产品,通常以赎金分成作为交换。这里的一个可选角色是packer的开发者,他们可以为勒索软件程序添加保护层,使安全产品更难检测到它。
最后,与受害者谈判可能由另外的团队来处理,当支付赎金时,需要一套全新的技能来清洗所获得的加密货币。
最有趣的是,“勒索软件价值链(ransomware value chain)”中的各种参与者不需要彼此认识,事实上他们也不需要。它们通过互联网进行交互,用加密货币支付服务费用。因此,逮捕任何这些实体(虽然有助于威慑目的)对减缓生态系统几乎没有作用,因为无法获得共犯的身份,而其他供应者将立即填补这一空白。
我们必须将勒索软件世界理解为一个生态系统,并以此来对待它:这是一个只能系统地解决的问题,例如,通过阻止资金在这个生态系统内流通——这首先是从一开始就不支付赎金。
先入之见二:有针对性的勒索软件就是有针对性的
在选择受害者的方式方面,前面对勒索软件生态系统的描述具有显著意义。是的,犯罪团伙越来越肆无忌惮,索要的赎金也越来越多。但勒索软件攻击也有机会主义的一面。据我们所知,这些团伙并没有仔细阅读英国《金融时报》来决定他们的下一个目标。
万万没想到,获得对受害者网络的初始访问权的人不是后来部署勒索软件的人,因此需要将访问收集视为一个完全独立的业务。为了使其可行,卖家需要源源不断的“产品”。花数周的时间试图突破像《财富》 500强公司这样的既定目标,在财务上并不明智,因为这不能保证成功。取而代之的是,准入卖家追求更低的目标。这种渠道主要有两个来源:
-
僵尸网络所有者。众所周知的恶意软件家族参与了规模最大、影响最广的活动。他们的主要目标是创建受感染计算机的网络,尽管目前感染还处于休眠状态。僵尸网络所有者(botmaster)将大量受害机器的访问权限作为一种资源出售,可以通过多种方式获利,比如发起DDoS攻击、分发垃圾邮件,或者在勒索软件的情况下,利用这种初始感染在潜在目标上获得立足点。
-
访问权限的卖家。黑客正在寻找面向互联网的软件(例如VPN设备或电子邮件网关)中公开披露的漏洞(1-days)。一旦这样的漏洞被披露,它们就会在防御者应用相应的更新之前破坏尽可能多的受影响的服务器。
出售对组织的RDP的访问权的报价示例
在这两种情况下,在这两种情况下,只有在攻击者退后一步,弄清楚他们入侵了谁,以及这次感染是否可能导致支付赎金之后。勒索软件生态系统中的参与者不做目标锁定,因为他们几乎从不选择攻击特定的组织。了解这一事实,突显出企业及时更新面向互联网的服务的重要性,并有能力在这些服务被用于不法行为之前发现潜伏感染。
先入之见三:网络犯罪分子就是罪犯
好吧,严格来说,他们是。但由于勒索软件生态系统的多样性,这也是一个远不止表面所见的领域。当然,在勒索软件生态系统和其他网络犯罪领域(如刷卡或销售点(PoS)黑客)之间存在着一种有记录的松散性。但值得指出的是,并非这个生态系统的所有成员都来自网络犯罪的黑社会。在过去,高调的勒索软件攻击被用作一种破坏性手段。可以认为有些APT参与者仍在采取类似的策略来破坏对手经济体的稳定,同时又保持很强的可否认性,这并非不合理。
同样,去年发布的一份有关拉撒路团伙尝试大目标的报告。ClearSky发现了类似的活动,他们将其归因于Fox Kitten APT。研究人员注意到,勒索软件攻击的明显盈利能力吸引了一些国家支持的黑客来到这个生态系统,以此作为规避国际制裁的一种方式。
数据表明,这种勒索软件攻击仅占总数的一小部分。尽管它们并不能代表公司需要采取什么防御措施,但它们的存在给受害者带来了额外的风险。2020年10月1日,美国财政部OFAC发布了一份备忘录,阐明向攻击者汇款的公司需要确保收款人不受国际制裁。该声明似乎已经生效,因为它已经影响了勒索软件市场。毫无疑问,对勒索软件运营商进行尽职调查本身就是一个挑战。
第二部分:暗网恶作剧
通过市场通道
当涉及到在暗网上销售与网络犯罪相关的数字商品或服务时,大多数信息都集中在几个大型平台上,尽管有多个小型主题平台专注于一个主题或产品。我们分析了三个主要的与勒索软件相关的报价的论坛。这些论坛是使用勒索软件的网络犯罪分子交流和交易的主要平台。虽然论坛上有数百个各种各样的广告和报价,但为了进行分析,我们只挑选了几十个报价,这些报价都经过了论坛管理部门的验证,并具有良好声誉的团体发布。这些广告包括各种各样的报价,从源代码的销售到定期更新的招聘广告,有英语和俄语版本。
不同类型的报价
如前所述,勒索软件生态系统由扮演不同角色的参与者组成。暗网的论坛部分反映了这种情况,尽管这些市场上的报价主要是为了销售或招聘。就像在任何市场上一样,当运营商需要某些东西时,他们会在论坛上主动更新广告展示位置,并在满足需求后立即将其撤下。勒索软件开发人员和附属勒索软件程序的运营商(以下简称“勒索软件即服务”)提供以下功能:
· 邀请加入合作伙伴网络,针对勒索软件运营商的联盟计划
· 勒索软件源代码或勒索软件生成器的广告
第一种类型的参与假定勒索软件运营者与会员之间存在长期的合作关系。通常,会获得20%到40%的利润分成,而剩下的60-80%会留给附属会员。
在合作伙伴计划中列出付款条件的要约示例
当许多勒索软件运营商在寻找合作伙伴时,一些人在出售勒索软件源代码或DIY勒索软件包。报价从300美元到5000美元不等。
就勒索软件的技术熟练程度和卖方投入的精力而言,出售勒索软件源代码或泄露样本是从勒索软件获利的最简单方法。但是,由于源代码和示例会很快失去其价值,因此此类提议的收益也最少。有两种不同类型的报价–有和没有支持。如果购买的勒索软件没有支持,那么一旦被网络安全解决方案检测到,勒索软件购买者就需要自己弄清楚如何重新包装,或者找到一个提供样本重新包装的服务——这仍然很容易被安全解决方案检测到。
提供支持的服务(诚然,在金融恶意软件市场中更为普遍)通常会提供定期更新并做出有关恶意软件更新的决策。
在这方面,与2017年相比,暗网论坛的报价没有太大变化。
勒索软件开发人员有时将构建程序和源代码宣传为一次性购买,没有客户支持
提供勒索软件订阅和附加服务看起来与任何其他合法产品的广告非常相似,只是利益和价格范围不同
暗网中看不到一些大型团伙
尽管暗网上提供的报价数量和范围肯定不小,但市场并不能反映整个勒索软件生态系统。一些大型勒索软件团伙要么独立工作,要么直接寻找合作伙伴(例如,据我们所知,Ryuk在Trickbot感染后能够访问其某些受害者的系统,这表明两个团体之间存在潜在的伙伴关系)。因此,论坛通常会托管较小的参与者-要么是中等规模的RaaS运营商,要么是出售源代码的较小参与者或新手。
暗网上会员的基本规则
勒索软件市场是一个封闭的市场,其背后的运营商对选择与谁合作非常谨慎。这种谨慎反映在运营商在选择合作伙伴时投放的广告和附加的标准中。
第一个通用规则是对运营商的地理限制。当恶意软件操作员与合作伙伴合作时,他们避免在其所在辖区使用恶意软件。严格遵守此规则,不遵守此规则的合作伙伴会很快失去访问他们一直合作的项目的机会。
此外,运营商会筛选潜在的合作伙伴,例如检查他们声称来自的那个国家/地区的知识,如下例所示,来减少雇用卧底警察的机会。他们还可能根据其政治观点对某些国籍施加限制。这些只是运营商试图确保其安全性的一些方式。
在此示例中,该团伙建议通过询问有关前苏联共和国的历史和通常只有俄语为母语的人才能回答的晦涩问题来审查新的附属组织
根据这则广告,Avaddon可能会考虑说英语的会员,如果他们已经建立声誉或可以提供保证金
案例
为了更详细的概述,我们选择了2021年最值得注意的两个大型勒索软件。
第一个是REvil(又名Sodinokibi)团伙。自2019年以来,该勒索软件已经在暗网上进行了广告宣传,并以RaaS运营商的身份享有很高的声誉。该团伙的名字REvil经常出现在信息安全社区的新闻头条上。2021年,REvil运营商索要的赎金最高。
另一个是Babuk locker.。Babuk是2021年发现的第一个新的RaaS团伙,表明其活动量很大。
REvil
由REvil投放的广告示例
REvil是最多产的RaaS运营之一。该团伙的第一次活动是在2019年4月,在另一个现已停止的勒索软件团伙GandCrab被关闭之后。
为了分发勒索软件,REvil与在网络犯罪论坛上雇用的附属机构合作。赎金需求基于受害者的年收入,而分销商可以获得赎金的60%到75%。使用门罗币(XMR)加密货币用于支付。根据对REvil运营商的采访,该团伙从2020年的运营中获得了超过1亿美元的收入。
开发人员会定期更新REvil勒索软件,以避免被检测,并提高持续攻击的可靠性。该团伙在黑客论坛的各种帖子中公布所有的重大更新和新合作伙伴的项目。2021年4月18日,开发人员宣布勒索软件的* nix实施正在进行封闭测试。
REvil通知了勒索软件的* nix实施的内部测试
技术细节
REvil使用Salsa20对称流算法通过椭圆曲线非对称算法来加密文件和密钥的内容。该恶意软件样本有一个加密的配置块,其中包含许多字段,攻击者可以对该负载进行微调。该执行文件可以在加密前终止黑名单进程,窃取主机基本信息,可以对本地存储设备和网络共享上的未列入白名单的文件和文件夹进行加密。
现在,勒索软件主要通过受损的RDP访问、网络钓鱼和软件漏洞进行分发。附属机构负责获得对公司网络的初始访问权限并部署locker——RaaS模型的标准实践。应该注意的是,该团伙对新成员的招募有非常严格的规定:REvil只招募会说俄语、有进入网络经验的高技能合作伙伴。
成功攻击后,会有特权提升,侦察和横向移动。然后操作员对敏感文件进行评估、窃取和加密。下一步是与被攻击的公司谈判。如果受害者决定不支付赎金,那么REvil操作员将开始在.onion Happy Blog网站上发布受攻击公司的敏感数据。在数据泄露网站上公布泄露的机密数据的策略,最近已经成为Big Game Hunting的主流。
REvil博客上的帖子示例,其中包括从受害者那里窃取的数据
值得注意的是,勒索软件运营商已经开始利用语音呼叫其业务伙伴和记者并使用DDoS攻击,迫使受害者支付赎金。据该运营商称,2021年3月,该团伙推出了一项无需额外费用的服务,让会员组织联系受害者的合作伙伴和媒体,以施加最大压力,再加上DDoS (L3, L7)作为付费服务。
REvil宣布了一项新功能,可以安排给媒体和目标伙伴的电话,以便在要求赎金时施加额外压力
据研究,该恶意软件影响了近20个行业。受害比例最大的行业是工程与制造(30%),其次是金融(14%)、专业与消费者服务(9%)、法律(7%)以及IT与电信(7%)。
这场攻击运动的受害者包括通济隆(Travelex)、百富门(Brown-Forman Corp.)、制药集团皮埃尔•法布尔(Pierre Fabre)以及知名律师事务所格鲁伯曼•夏尔•梅塞拉斯与萨克斯(Grubman Shire Meiselas & Sacks)等公司。2021年3月,该团伙侵入宏碁,索要5000万美元的赎金,创下历史最高纪录。
2021年4月18日,REvil团伙的一名成员宣布,该团伙在招募新成员的论坛上发帖称,该组织即将宣布发动“有史以来最高调的攻击”4月20日,该组织在Happy Blog网站上发布了许多据称是Apple设备的设计图纸。根据攻击者称,数据是从Quanta的网络中窃取的。Quanta Computer是中国台湾的一家制造商,也是Apple的合作伙伴之一。Quanta最初的赎金要求为5000万美元。
在过去的几个季度中,REvil的目标活动激增
REvil是Big GameHunting的典型代表。2021年,我们将看到为获取敏感公司数据而索要更多赎金的趋势。使用新战术向受害者施压,积极开发非windows版本,定期招募新分支机构,所有这些都表明,攻击的数量和规模只会2021年增加。
Babuk
Babuk locker是2021年大型勒索攻击活动中的另一团伙。在2021年初,我们发现了数起涉及该勒索软件的事件。
2021年4月底, Babuk背后的攻击者宣布活动结束,称他们将公开其源代码,以便“做类似开源RaaS的事情”。这意味着我们可能会看到一波新的勒索软件活动,只要各种较小的攻击团伙采用泄露的源代码进行他们的操作。我们已经在其他RaaS和MaaS项目中看到过这种情况——去年针对Android的Cerberus银行木马就是一个很好的例子。
Babuk关于终止运营的公告
该团伙显然为每个受害者定制了独特的样本,因为它包括组织的硬编码名称、个人勒索软件注释以及加密文件的扩展名。Babuk的运营商还使用RaaS模型。在感染之前,分支机构或运营商会破坏目标网络,因此他们可以确定如何有效安装勒索软件并评估敏感数据,从而为受害者设置最高的现实勒索价格。巴布克(Babuk)背后的团队将其小组定义为使用RDP作为感染媒介“随机测试企业网络安全性”的赛博朋克(CyberPunks)。该团伙将80%的赎金交给其会员。
Babuk投放的广告示例
Babuk在俄语和英语的黑客论坛上做广告。2021年1月开始,一个论坛上出现了有关新勒索软件Babuk的公告,随后的帖子主要关注更新和会员招募。
Babuk向新闻界发表的声明解释了他们的策略和受害者选择
Babuk的白名单防止针对以下国家/地区:中国、越南、塞浦路斯、俄罗斯和其他独联体国家。根据ZoomInfo的数据,运营商还禁止攻击医院、非营利慈善机构和年收入低于3000万美元的公司。要加入会员计划,合作伙伴必须通过有关Hyper-V和ESXi虚拟机管理程序的面试。
Babuk可能是第一个因为公开宣布对LGBT和BLM(黑人生命也重要)社区持负面态度的勒索软件团伙而登上头条。正是由于这个事实,该组织将这些社区排除在他们的白名单之外。但在Babuk数据泄露网站上的一篇关于两个月工作结果的帖子中,该团伙报告称,他们已经将LGBT和BLM基金会以及慈善组织列入了白名单。
技术细节
关于加密算法,Babuk使用与椭圆曲线Diffie-Hellman(ECDH)结合的对称算法。加密成功后,该恶意软件会在每个处理过的目录中添加“How To Restore Your Files.txt”。除了文本之外,赎金记录还包含指向一些被窃取数据的屏幕截图的链接列表。这证明恶意软件样本是在受害者的数据被泄露之后被制作的。如上所述,每个样本都是针对特定目标定制的。
在赎金记录中,该团伙还建议受害者使用其个人聊天门户网站进行谈判。这些步骤并不仅限于Babuk,但通常出现在Big Game Hunting中很常见。值得注意的是,赎金记录的文本还包含一个指向.onion数据泄露站点上相关帖子的私有链接,该链接无法从该站点的主页上访问。这里有一些屏幕截图,以及关于被盗文件类型的文字描述,以及针对受害者的一般威胁。如果受害者决定不与网络罪犯谈判,则此帖子的链接将公开。
Babuk locker背后的组织主要针对欧洲、美国和大洋洲的大型工业组织。目标行业包括但不限于运输服务、医疗保健部门以及各种工业设备供应商。实际上,最近的案例表明Babuk运营商正在扩大目标范围。4月26日,华盛顿特区警察局证实其网络被攻破,Babuk的运营商声称对此事负责,并在他们的.onion数据泄露网站宣布了此次攻击。
Babuk宣布成功袭击DC警察局
根据该网站上的帖子,该团伙从华盛顿特区警察局网络中窃取了超过250GB的数据。截至撰写本文时,警察部门有三天时间与攻击者进行谈判;否则,该组织将开始向犯罪团伙泄露数据。Babuk还警告称,它将继续攻击美国国有企业。
Babuk从DC警察局网络窃取的文件的屏幕截图发布在泄露网站上
结论
2021年4月23日,我们发布了勒索软件统计数据,显示遭受该威胁的用户数量显着下降。这些数字不应该被曲解:尽管随机个体遭受勒索软件的可能性确实比过去要少,但公司面临的风险从未如此之高。
勒索软件生态系统一直渴望利润最大化,因此已经发展起来,现在可以被视为对全球公司的系统性威胁。
曾经有一段时间,中小企业大多可以忽略信息安全带来的挑战:它们足够小,可以不受APT攻击者的监视,但又足够大,不会受到随机和一般攻击的影响。那些日子过去了,现在所有的公司都必须做好防范犯罪团伙的准备。
值得庆幸的是,此类攻击者通常会抢先一步,而建立适当的安全措施将大有作为。
在5月12日(即反勒索软件日),卡巴斯基鼓励组织遵循以下最佳做法,以保护您的组织免受勒索软件的侵害:
-
经常更新所有设备上的软件,以防止攻击者利用漏洞渗透到您的网络。
-
将防御策略的重点放在检测横向移动和数据泄露上。要特别注意传出的流量,以检测网络犯罪连接。设置入侵者无法篡改的脱机备份,确保在紧急情况下可以快速访问它们。
-
为了保护公司环境,请培训您的员工。专门的培训课程可以提供帮助。
-
对网络进行网络安全审核,并修复在外部或内部发现的所有漏洞。
-
对所有端点启用勒索软件保护。
-
安装防APT和EDR解决方案,以实现高级威胁发现和检测、调查和及时补救事件的功能。
-
如果您成为受害者,切勿支付赎金。它不能保证您能取回数据,但会鼓励犯罪分子继续其活动。相反,应将事件报告给您当地的执法机构。试着在互联网上找到一个解密器,例如:https://www.nomoreransom.org/en/index.html
原文链接:
https://securelist.com/ransomware-world-in-2021/102169/
声明:本文来自维他命安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。