現(xiàn)在人盡皆知，勒索軟件變成了一個巨大的麻煩。

過去的一年中，我們見證了一系列勒索軟件的攻擊，攻擊摧毀了全球的很多企業(yè)。即使不是網(wǎng)絡安全行業(yè)的從業(yè)人員，都已經(jīng)知道犯罪分子已經(jīng)找到通過網(wǎng)絡進入公司的方法，然后犯罪分子可以鎖定計算機使之不可用，直到公司支付了相關的贖金才會恢復。

[[358710]]

COVID-19 的大流行使得很多國家的經(jīng)濟處于下滑的邊緣，勒索軟件猛烈的攻擊勢頭進一步考驗了許多公司的經(jīng)營狀況。

眾所周知，勒索軟件背后的網(wǎng)絡犯罪團伙正在蓬勃發(fā)展，不斷創(chuàng)造新的變種，并且在非法市場提供了能夠訪問其他公司內(nèi)部網(wǎng)絡的權限。過去一年中，Intel 471 追蹤了 25 個不同的勒索軟件即服務(RaaS)的服務。我們旨在更好地了解網(wǎng)絡犯罪的的真實情況，全社會可以更好地了解這一日益嚴重的問題。

新興的 RaaS

崛起的 RaaS

以下變種確認與許多攻擊有關，其攻擊頻率在 2020 年有所增加，通常會在博客上掛出受害者的相關信息以羞辱拒絕支付贖金的公司。

規(guī)模龐大的 RaaS

這些規(guī)模龐大的 RaaS 在江湖中占有很高的地位，很多攻擊都與他們有關，整體倆看已經(jīng)賺到了數(shù)億美元的收入，考慮到有些未披露的攻擊事件，實際數(shù)字會比這更高。

(1) DoppelPaymer

自 2019 年以來，DoppelPaymer 與 BitPaymer(又名 FriedEx )有關。CrowdStrike 強調(diào)了這些變體之間的一些相似之處，并推測 DoppelPaymer 可能是出自前 BitPaymer 開發(fā)成員的手筆。

DoppelPaymer 團隊基于 Tor 運營著一個名為 “Dopple leaks” 的博客，該博客用于發(fā)布有關受感染公司及其被盜數(shù)據(jù)的信息。受害者包括諸如墨西哥能源巨頭 Pemex 和與美國聯(lián)邦政府合作的 IT 承包商等。

DoppelPaymer 勒索軟件最受關注、最引起爭議的是 2020 年 9 月針對杜塞爾多夫大學醫(yī)院的攻擊。攻擊者者實際上是想以杜塞爾多夫大學為目標，但最終先感染了其醫(yī)院。攻擊者后續(xù)向醫(yī)院發(fā)送了數(shù)字密鑰使醫(yī)院恢復正常運轉(zhuǎn)。

(2) Egregor/Maze

在發(fā)布此報告時，Maze 勒索軟件即服務背后的維護者宣布將關閉運營。有人猜測，Maze 組織的成員可能會被納入 Egregor 勒索軟件背后的維護組織中。Egregor 在操作中遵循一種熟悉的模式：“攻陷公司網(wǎng)絡以竊取敏感數(shù)據(jù)并部署勒索軟件，與受害者進行通信并索取贖金，然后在受害者拒絕支付贖金時將敏感數(shù)據(jù)在博客上發(fā)布”。

有證據(jù)表明，Egregor 也與 Sekhmet 勒索軟件有關。Intel 471 的研究人員發(fā)現(xiàn)，Egregor 包含與 Sekhmet 相同的 Base64 編碼數(shù)據(jù)，其中最后一行包含來自失陷主機的其他參數(shù)。研究人員還發(fā)現(xiàn)，Egregor 的勒索信息與 Sekhmet 所使用的勒索信息是極為相似的。

在 Crytek、Ubisoft 和 Barnes&Noble 的攻擊事件中也發(fā)現(xiàn)了 Egregor 的身影。

(3) Netwalker

NetWalker 最早在 2019 年 9 月被發(fā)現(xiàn)，是 Intel 471 跟蹤的最活躍的服務之一。它背后的攻擊者在 2020 年率先使用了與 COVID-19 疫情大流行有關的釣魚郵件感染受害者。5月，其運營者啟用了一個基于 Tor 的博客，以發(fā)布那些拒絕支付贖金的受害者那里偷來的敏感數(shù)據(jù)。

攻擊者使用了無文件感染技術，據(jù)稱可以繞過 Windows 7 和更新版本操作系統(tǒng)的 UAC。NetWalker 可以在兩種模式下操作：在“網(wǎng)絡模式”下，可以控制單個計算機擴展到整個網(wǎng)絡進行勒索，而受害者可以購買具有主密鑰的解密工具或購買必要的密鑰以對某些計算機進行解密。在“個人模式”下，一次贖金只針對一臺計算機。

據(jù)稱，該組織僅在上個月就披露了 25 起與之有關的事件。Netwalker 攻擊中最引人注目的目標是密歇根州立大學，且該大學拒絕支付贖金。

(4) REvil

REvil 是市場上最常見的勒索軟件變體之一，首次被發(fā)現(xiàn)于 2019 年 4 月 17 日，攻擊者利用了 Oracle WebLogic 服務器中的漏洞(CVE-2019-2725)。兩個月后，在 XSS 論壇上開始出現(xiàn)銷售廣告。

REvil 一直是最活躍的勒索軟件團伙之一，聲稱對諸如英國金融服務提供商 Travelex，美國娛樂和媒體法律公司 Grubman Shire Meiselas&Sacks 以及美國德克薩斯州 23 個地方政府的攻擊負責。

REvil 獲得訪問權限的最常見方式之一是通過遠程桌面協(xié)議(RDP)漏洞，例如 BlueGate 漏洞，該漏洞允許用戶遠程執(zhí)行代碼。在 Travelex 和 Grubman Shire Meiselas&Sacks 的攻擊案例中，通過利用過時的 Citrix 和 Pulse Secure 遠程訪問軟件可在“大約三分鐘內(nèi)”訪問整個網(wǎng)絡。

REvil 發(fā)現(xiàn) RaaS 的運營模式有利可圖，這種模式顯然導致了利潤的飛漲。根據(jù) REvil 的說法，一個會員的收入從每個目標約 2 萬美元已經(jīng)增長到 3 萬美元。

(5) Ryuk

Ryuk 幾乎可以說是勒索軟件的同義詞，因為該變種是最受歡迎的勒索軟件之一，有著大量的受害者。一開始，Ryuk 與 Trickbot 和 Emotet 在感染鏈中聯(lián)合攻擊。最近，我們還發(fā)現(xiàn)了 Ryuk 通過 Bazar Loader 投遞。

過去一年里，Ryuk 爆炸式增長，對全球數(shù)百萬起勒索軟件事件負責。一些安全研究人員估計，在今年發(fā)起的勒索軟件攻擊中，有多達三分之一都與 Ryuk 有關。而 Ryuk 今年的攻擊目標一直集中在醫(yī)療保健領域。

參考來源：Intel471