[[402936]]

2021年5月12日是世界第二個(gè)反勒索軟件日，無(wú)法否認(rèn)的是：勒索軟件已成為安全界的流行語(yǔ)。這樣的說(shuō)法不是沒(méi)有理由的,勒索軟件的威脅已經(jīng)存在了很長(zhǎng)時(shí)間，但是它也一直在發(fā)生改變。年復(fù)一年，攻擊者變得越來(lái)越大膽，攻擊的方法也在不斷地完善，當(dāng)然，系統(tǒng)也在不斷地遭到破壞。然而，媒體對(duì)于勒索軟件的關(guān)注主要集中在哪些公司遭到了攻擊，而沒(méi)有聚焦勒索軟件本身。在此報(bào)告中，我們從勒索軟件的日常新聞中退后一步，跟隨漣漪回溯到這個(gè)系統(tǒng)的核心，以了解勒索軟件的組織方式。

首先，我們將揭穿三個(gè)先入為主的想法，這些想法阻礙了對(duì)勒索軟件威脅的正確思考。接下來(lái)，我們深入研究暗網(wǎng)，以演示網(wǎng)絡(luò)犯罪分子如何相互影響以及他們提供的服務(wù)類(lèi)型。最后，我們以?xún)蓚€(gè)著名的勒索軟件品牌結(jié)尾：REvil和Babuk。

無(wú)論我們?cè)诰帉?xiě)此報(bào)告方面做了多少工作，在開(kāi)始閱讀之前，請(qǐng)確保已安全備份您的數(shù)據(jù)!

第一部分：關(guān)于勒索軟件的三個(gè)先入之見(jiàn)

想法1：勒索軟件團(tuán)伙就是團(tuán)伙

隨著2020年大型獵殺游戲的興起，我們看到了勒索軟件世界中許多引人注目的群體。犯罪分子發(fā)現(xiàn)，受害者如果能夠事先建立某種信任，就更有可能支付贖金。為了確保他們恢復(fù)加密文件的能力永遠(yuǎn)不會(huì)受到質(zhì)疑，他們建立了在線(xiàn)形象，撰寫(xiě)了新聞稿，并盡可能確保所有潛在受害者都知道他們的名字。

但是，通過(guò)將自己置于眾人關(guān)注之下，這些組織掩蓋了勒索軟件生態(tài)系統(tǒng)的實(shí)際復(fù)雜性。從外部看，它們似乎是單一實(shí)體。但實(shí)際上它們只是矛尖。在大多數(shù)攻擊中，都有大量參與者參與其中，一個(gè)關(guān)鍵的要點(diǎn)是，他們通過(guò)暗網(wǎng)市場(chǎng)相互提供服務(wù)。

Botmaster和帳戶(hù)轉(zhuǎn)銷(xiāo)商的任務(wù)是提供受害者網(wǎng)絡(luò)內(nèi)部的初始訪問(wèn)權(quán)限。在本次討論中，這個(gè)生態(tài)系統(tǒng)的其他成員(為了方便討論，我們將其命名為red team)使用此初始訪問(wèn)權(quán)限來(lái)獲得對(duì)目標(biāo)網(wǎng)絡(luò)的完全控制。在此過(guò)程中，他們將收集有關(guān)受害者的信息并竊取內(nèi)部文件。

這些文件可能會(huì)轉(zhuǎn)發(fā)給外包的分析師團(tuán)隊(duì)，他們將嘗試確定目標(biāo)的實(shí)際財(cái)務(wù)狀況，以便確定他們可能支付的最高贖金價(jià)格。分析師還將留意任何可能用于支持其勒索策略的敏感信息或暗示性信息，目的是向決策者施加最大壓力。

當(dāng)red team準(zhǔn)備發(fā)動(dòng)攻擊時(shí)，通常會(huì)從暗網(wǎng)開(kāi)發(fā)人員那里購(gòu)買(mǎi)勒索軟件產(chǎn)品，通常以贖金分成作為交換。這里有一個(gè)可選的角色是packer的開(kāi)發(fā)者，他們可以為勒索軟件程序增加保護(hù)層，使得它們不易被安全產(chǎn)品所檢測(cè)到。

最后，與受害者談判可能由另外的團(tuán)隊(duì)來(lái)處理，當(dāng)支付贖金后，需要一整套全新的技能，以清洗所獲得的加密貨幣。

所有這一切當(dāng)中，一個(gè)有趣的點(diǎn)是，“勒索軟件價(jià)值鏈”中的各個(gè)行為者不需要彼此了解，事實(shí)上他們也沒(méi)必要了解。他們通過(guò)互聯(lián)網(wǎng)相互交互，用加密貨幣支付服務(wù)費(fèi)用。隨之而來(lái)的是，逮捕這些實(shí)體中的任何一個(gè)(雖然對(duì)威懾目的有用)對(duì)減緩生態(tài)系統(tǒng)幾乎沒(méi)有作用，因?yàn)闊o(wú)法獲知共同犯罪者的身份，并且在逮捕之后其他供應(yīng)者將立即填補(bǔ)所造成的空缺。

勒索軟件世界必須被理解為一個(gè)生態(tài)系統(tǒng)，并被這樣對(duì)待：這是一個(gè)只能系統(tǒng)解決的問(wèn)題，例如，通過(guò)阻止金錢(qián)在其內(nèi)部流通，這首先要求不支付任何贖金。

想法2：有針對(duì)性的勒索軟件就是有針對(duì)性的

先前對(duì)勒索軟件生態(tài)系統(tǒng)的描述對(duì)于選擇受害者的方式具有重要意義。是的，犯罪集團(tuán)越來(lái)越肆無(wú)忌憚，要求的贖金也越來(lái)越多。但是勒索軟件攻擊對(duì)他們來(lái)說(shuō)也有機(jī)會(huì)主義的方面。據(jù)我們所知，這些團(tuán)伙不會(huì)通過(guò)細(xì)讀英國(guó)《金融時(shí)報(bào)》來(lái)決定下一步的目標(biāo)。

令人驚訝的是，獲得對(duì)受害者網(wǎng)絡(luò)的初始訪問(wèn)權(quán)的人不是后來(lái)部署勒索軟件的人，因此需要將訪問(wèn)收集視為一個(gè)完全獨(dú)立的業(yè)務(wù)。為了使其可行，賣(mài)方需要源源不斷的“產(chǎn)品”。花數(shù)周的時(shí)間試圖突破像《財(cái)富》中寫(xiě)的500強(qiáng)公司這樣的既定目標(biāo)，在財(cái)務(wù)上并不明智，因?yàn)橐晒ν黄剖且患芾щy的事情。取而代之的是，準(zhǔn)入賣(mài)家追求更低的目標(biāo)。這種渠道有兩個(gè)主要來(lái)源：

•  僵尸網(wǎng)絡(luò)所有者。知名的惡意軟件家族參與了規(guī)模最大、影響最廣泛的活動(dòng)。他們的主要目標(biāo)是創(chuàng)建受感染計(jì)算機(jī)的網(wǎng)絡(luò)，盡管此時(shí)感染僅處于休眠狀態(tài)。僵尸網(wǎng)絡(luò)所有者(botmaster)將對(duì)受害機(jī)器的訪問(wèn)權(quán)限作為一種資源出售，可以通過(guò)多種方式獲利，例如發(fā)起DDoS攻擊、分發(fā)垃圾郵件，或者在勒索軟件的情況下，利用這種初始感染來(lái)獲得立足點(diǎn)在一個(gè)潛在的目標(biāo)。
•  訪問(wèn)權(quán)限的賣(mài)家。黑客正在尋找面向互聯(lián)網(wǎng)的軟件(例如VPN設(shè)備或電子郵件網(wǎng)關(guān))中公開(kāi)披露的漏洞(1-days)。一旦披露了此漏洞，在防御者應(yīng)用相應(yīng)的更新之前，他們將會(huì)破壞盡可能多的受影響的服務(wù)器。

出售對(duì)組織的RDP的訪問(wèn)權(quán)的報(bào)價(jià)示例

在這兩種情況下，只有在攻擊者退后一步并弄清他們違反了誰(shuí)的事實(shí)之后，并且這種感染是否可能導(dǎo)致贖金的支付才是事實(shí)。勒索軟件生態(tài)系統(tǒng)中的參與者沒(méi)有針對(duì)性，因?yàn)樗麄儙缀鯊牟贿x擇攻擊特定的組織。對(duì)這一事實(shí)的理解突顯了公司及時(shí)更新面向Internet的服務(wù)以及有能力在潛伏感染被利用進(jìn)行不法行為之前檢測(cè)出它們的重要性。

想法3：網(wǎng)絡(luò)犯罪分子就是罪犯

好吧，嚴(yán)格來(lái)講，它們是。但是，由于勒索軟件生態(tài)系統(tǒng)的多樣性，這也是一個(gè)遠(yuǎn)不止表面所見(jiàn)的領(lǐng)域。當(dāng)然，勒索軟件生態(tài)系統(tǒng)與其他網(wǎng)絡(luò)犯罪領(lǐng)域(例如，刷卡或銷(xiāo)售點(diǎn)(PoS)黑客攻擊)之間存在一個(gè)有記錄的漏洞。但值得指出的是，并非該生態(tài)系統(tǒng)的所有成員都來(lái)自網(wǎng)絡(luò)犯罪黑社會(huì)。過(guò)去，高調(diào)的勒索軟件攻擊被用作一種破壞性手段。可以認(rèn)為有些APT參與者仍在采取類(lèi)似策略來(lái)破壞敵對(duì)者的經(jīng)濟(jì)穩(wěn)定，同時(shí)又有著合理的推諉理由，這并非不合理。

同樣，我們?nèi)ツ臧l(fā)布了一份有關(guān)Lazarus group試圖參與大型狩獵活動(dòng)的報(bào)告。ClearSky發(fā)現(xiàn)了類(lèi)似的活動(dòng)，他們將其歸因于Fox Kitten APT。研究人員注意到，勒索軟件攻擊顯而易見(jiàn)的盈利能力已經(jīng)吸引了一些國(guó)家贊助的黑客加入這一生態(tài)系統(tǒng)，以此來(lái)規(guī)避?chē)?guó)際制裁。

我們的數(shù)據(jù)表明，這種勒索軟件攻擊僅占總數(shù)的一小部分。盡管它們并不能說(shuō)明公司的防范體系存在什么問(wèn)題，但它們的存在卻給受害者帶來(lái)了額外的風(fēng)險(xiǎn)。2020年10月1日，美國(guó)財(cái)政部OFAC發(fā)布了一份備忘錄，闡明了向攻擊者匯款的公司需要確保收款人不受?chē)?guó)際制裁。該聲明似乎已經(jīng)生效，并且它已經(jīng)對(duì)勒索軟件市場(chǎng)造成了一定的影響。毫無(wú)疑問(wèn)，對(duì)勒索軟件運(yùn)營(yíng)商進(jìn)行盡職調(diào)查本身就是一個(gè)挑戰(zhàn)。

第二部分：暗網(wǎng)惡作劇

通過(guò)市場(chǎng)通道

在暗網(wǎng)上銷(xiāo)售與網(wǎng)絡(luò)犯罪相關(guān)的數(shù)字商品或服務(wù)時(shí)，盡管針對(duì)單個(gè)主題或產(chǎn)品的較小主題平臺(tái)，但大多數(shù)信息僅聚集在少數(shù)幾個(gè)大型平臺(tái)上。我們分析了三個(gè)主要論壇，在這些論壇上匯總了與勒索軟件相關(guān)的產(chǎn)品。這些論壇是使用勒索軟件的網(wǎng)絡(luò)罪犯進(jìn)行積極交流和交易的主要平臺(tái)。雖然論壇上有數(shù)百種各式各樣的廣告和報(bào)價(jià)，但為了進(jìn)行分析，我們僅選擇了幾十個(gè)已由論壇管理機(jī)構(gòu)驗(yàn)證并由具有良好聲譽(yù)的團(tuán)體放置的報(bào)價(jià)。這些廣告包括各種各樣的報(bào)價(jià)，從源代碼銷(xiāo)售到定期更新的招聘廣告，主要是英語(yǔ)和俄語(yǔ)版本。

不同類(lèi)型的報(bào)價(jià)

如前所述，勒索軟件生態(tài)系統(tǒng)由扮演不同角色的參與者組成。暗網(wǎng)論壇部分反映了這種情況，盡管這些市場(chǎng)上的報(bào)價(jià)主要針對(duì)銷(xiāo)售或招聘，但就像在任何市場(chǎng)上一樣，當(dāng)運(yùn)營(yíng)商需要某些東西時(shí)，他們會(huì)在論壇上主動(dòng)更新其廣告投放，并在滿(mǎn)足需求后立即將其撤下。勒索軟件開(kāi)發(fā)人員和會(huì)員勒索軟件程序的運(yùn)營(yíng)商(以下簡(jiǎn)稱(chēng)“勒索軟件即服務(wù)”)提供以下服務(wù)：

•  邀請(qǐng)加入合作伙伴網(wǎng)絡(luò)，針對(duì)勒索軟件運(yùn)營(yíng)商的聯(lián)盟計(jì)劃
•  勒索軟件源代碼或勒索軟件生成器的廣告

第一種類(lèi)型的參與假定勒索軟件組運(yùn)營(yíng)者與會(huì)員之間存在長(zhǎng)期的合作關(guān)系。通常，勒索軟件運(yùn)營(yíng)商會(huì)分得20%到40%的利潤(rùn)，而其余60-80%的利潤(rùn)則屬于附屬會(huì)員。

在合作伙伴計(jì)劃中列出付款條件的要約示例

許多勒索軟件運(yùn)營(yíng)商正在尋找合作伙伴，但有些人也在出售勒索軟件源代碼或自己動(dòng)手(DIY)勒索軟件包，報(bào)價(jià)從300美元到5000美元不等。

就勒索軟件的技術(shù)熟練程度和賣(mài)方投入的精力而言，出售勒索軟件源代碼或泄漏樣本是從勒索軟件獲利的最簡(jiǎn)單方法。但是，由于源代碼和示例會(huì)很快失去其價(jià)值，這樣的報(bào)價(jià)也賺得最少。有兩種不同類(lèi)型的報(bào)價(jià)：有支持/沒(méi)有支持。如果購(gòu)買(mǎi)的勒索軟件沒(méi)有支持，則一旦網(wǎng)絡(luò)安全解決方案檢測(cè)到勒索軟件，購(gòu)買(mǎi)者就需要自己弄清楚如何重新打包，或者找到一個(gè)可以提供樣本重新包裝的服務(wù)，但這仍然很容易就被安全解決方案檢測(cè)到。

提供支持的服務(wù)(誠(chéng)然，在金融類(lèi)惡意軟件市場(chǎng)中更為廣泛)通常會(huì)提供定期更新并做出有關(guān)惡意軟件更新的決策。

在這方面，與2017年相比，暗網(wǎng)論壇的報(bào)價(jià)沒(méi)有太大變化。

勒索軟件開(kāi)發(fā)人員有時(shí)會(huì)在沒(méi)有客戶(hù)支持的情況下一次性購(gòu)買(mǎi)生成器和源代碼

提供勒索軟件訂閱和附加服務(wù)看起來(lái)與任何其他合法產(chǎn)品的廣告非常相似，只是利益和價(jià)格范圍不同

暗網(wǎng)中看不到一些大型團(tuán)伙

盡管暗網(wǎng)上提供的報(bào)價(jià)的數(shù)量和范圍肯定不小，但市場(chǎng)并不能反映整個(gè)勒索軟件生態(tài)系統(tǒng)。一些大型勒索軟件團(tuán)體要么獨(dú)立工作，要么直接尋找合作伙伴(例如，據(jù)我們所知，Ryuk在Trickbot感染后能夠訪問(wèn)其某些受害者的系統(tǒng)，這表明兩個(gè)團(tuán)體之間存在潛在的伙伴關(guān)系)。因此，論壇通常會(huì)托管較小的參與者，要么是中等規(guī)模的RaaS運(yùn)營(yíng)商，要么是出售源代碼的較小參與者或新手。

暗網(wǎng)會(huì)員的基本規(guī)則

勒索軟件市場(chǎng)是一個(gè)封閉的市場(chǎng)，其背后的運(yùn)營(yíng)商對(duì)選擇與誰(shuí)合作非常謹(jǐn)慎。這種謹(jǐn)慎反映在運(yùn)營(yíng)商放置的廣告以及他們選擇合作伙伴時(shí)附加的條件上。

第一個(gè)通用的規(guī)則是對(duì)運(yùn)營(yíng)商施加地理?xiàng)l件的限制。當(dāng)惡意軟件操作員與合作伙伴合作時(shí)，他們避免在其所在轄區(qū)使用惡意軟件。會(huì)員需要嚴(yán)格遵守此規(guī)則，不遵守此規(guī)則的合作伙伴會(huì)很快失去對(duì)其一直使用的程序的訪問(wèn)權(quán)限。

此外，運(yùn)營(yíng)商會(huì)篩選潛在的合作伙伴，例如通過(guò)檢查他們聲稱(chēng)自己所來(lái)自的國(guó)家或地區(qū)的了解，來(lái)避免自己所雇用的是臥底官員，如下例所示。他們還可能根據(jù)其政治觀點(diǎn)對(duì)某些國(guó)籍施加限制。這些只是運(yùn)營(yíng)商試圖確保其安全性的一些方式。

在此示例中，該團(tuán)伙建議通過(guò)詢(xún)問(wèn)有關(guān)前蘇聯(lián)共和國(guó)的歷史和通常只有俄語(yǔ)為母語(yǔ)的人才能回答的晦澀問(wèn)題來(lái)審查新的附屬組織。

根據(jù)這則廣告，Avaddon可能會(huì)考慮說(shuō)英語(yǔ)的會(huì)員，如果他們已經(jīng)建立聲譽(yù)或可以提供保證金。

為了更詳細(xì)的進(jìn)行描述，我們選擇了2021年最值得關(guān)注的兩個(gè)大型狩獵類(lèi)勒索軟件。

第一個(gè)是REvil(又名Sodinokibi)團(tuán)伙。該勒索軟件自2019年以來(lái)在地下論壇上進(jìn)行了廣告宣傳，并因以RaaS運(yùn)營(yíng)商的聲譽(yù)享有盛譽(yù)。該團(tuán)伙的名字REvil經(jīng)常出現(xiàn)在信息安全社區(qū)的新聞?lì)^條中。在2021年，REvil運(yùn)營(yíng)商索要的贖金最高。

另一個(gè)是Babuk locker。Babuk是2021年發(fā)現(xiàn)的第一個(gè)的RaaS團(tuán)伙，這表明他的活動(dòng)量很大。

REvil

由REvil投放的廣告示例

REvil是最多產(chǎn)的RaaS運(yùn)營(yíng)之一。該團(tuán)伙的首次活動(dòng)是在2019年4月，在另一個(gè)現(xiàn)已淘汰的勒索軟件團(tuán)伙GandCrab關(guān)閉之后。

為了分發(fā)勒索軟件，REvil與在網(wǎng)絡(luò)犯罪論壇上雇用的會(huì)員合作。贖金數(shù)量基于受害者的年收入，分銷(xiāo)商賺取贖金的60%至75%，使用門(mén)羅幣(XMR)加密貨幣進(jìn)行支付。根據(jù)對(duì)REvil運(yùn)營(yíng)商的采訪，該團(tuán)伙從2020年的運(yùn)營(yíng)中獲得了超過(guò)1億美元的收入。

開(kāi)發(fā)人員會(huì)定期更新REvil勒索軟件，以避免被檢測(cè)到，同時(shí)提高持續(xù)攻擊的可靠性。該團(tuán)伙在網(wǎng)絡(luò)犯罪論壇的各個(gè)帖子中宣布所有的重大更新和新的合作伙伴計(jì)劃項(xiàng)目。2021年4月18日，開(kāi)發(fā)人員宣布勒索軟件的* nix實(shí)施正在進(jìn)行封閉測(cè)試。

REvil通知了勒索軟件的* nix實(shí)施的內(nèi)部測(cè)試

技術(shù)細(xì)節(jié)

REvil使用Salsa20對(duì)稱(chēng)流算法通過(guò)橢圓曲線(xiàn)非對(duì)稱(chēng)算法來(lái)加密文件和密鑰的內(nèi)容。該惡意軟件樣本具有一個(gè)加密的配置塊，其中包含許多字段，攻擊者可以對(duì)該payload進(jìn)行微調(diào)。該可執(zhí)行文件可以在加密之前終止黑名單進(jìn)程，竊取基本主機(jī)信息，對(duì)本地存儲(chǔ)設(shè)備和網(wǎng)絡(luò)共享上未列入白名單的文件和文件夾進(jìn)行加密。您可以在我們的私密(https://opentip.kaspersky.com/comparison/?utm_source=SL&utm_medium=SL&utm_campaign=SL)和公共(https://securelist.com/sodin-ransomware/91473/)報(bào)告中，可以更詳細(xì)地了解REvil的技術(shù)功能。

現(xiàn)在，勒索軟件主要通過(guò)受損的RDP訪問(wèn)、網(wǎng)絡(luò)釣魚(yú)和軟件漏洞進(jìn)行分發(fā)。附屬機(jī)構(gòu)負(fù)責(zé)獲得對(duì)公司網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限并部署locker，這是RaaS模型的標(biāo)準(zhǔn)做法。應(yīng)當(dāng)指出的是，該團(tuán)伙對(duì)新會(huì)員的招募規(guī)則非常嚴(yán)格：REvil只招募會(huì)說(shuō)俄語(yǔ)、有進(jìn)入網(wǎng)絡(luò)經(jīng)驗(yàn)的高技能合作伙伴。

成功攻擊后，會(huì)發(fā)生特權(quán)提升、偵察和橫向移動(dòng)。然后，操作員會(huì)評(píng)估、竊取和加密敏感文件。下一步是與受攻擊的公司進(jìn)行談判。如果受害者決定不支付贖金，那么REvil操作員將開(kāi)始在.onion Happy Blog網(wǎng)站上發(fā)布受攻擊公司的敏感數(shù)據(jù)。在數(shù)據(jù)泄露網(wǎng)站上公布泄露的機(jī)密數(shù)據(jù)的策略，最近已經(jīng)成為Big Game Hunting的主流。

REvil博客上的帖子示例，其中包括從受害者那里竊取的數(shù)據(jù)

值得注意的是，勒索軟件運(yùn)營(yíng)商已開(kāi)始對(duì)業(yè)務(wù)合作伙伴和記者使用語(yǔ)音呼叫業(yè)務(wù)以及DDoS攻擊來(lái)迫使受害者支付贖金。據(jù)運(yùn)營(yíng)商稱(chēng)，該團(tuán)伙于2021年3月推出了一項(xiàng)免費(fèi)服務(wù)，可以安排讓會(huì)員組織與受害者的合作伙伴和媒體致電，從而施加壓力。外加收費(fèi)的DDoS(L3，L7)服務(wù)。

REvil宣布了一項(xiàng)新功能，可以聯(lián)系受害者的合作伙伴和媒體，以便在要求贖金時(shí)施加額外壓力

根據(jù)我們的研究，該惡意軟件影響了近20個(gè)業(yè)務(wù)部門(mén)。受害比例最大的行業(yè)是工程與制造(30%)，其次是金融(14%)、專(zhuān)業(yè)與消費(fèi)者服務(wù)(9%)、法律(7%)以及IT與電信(7%)。

這場(chǎng)攻擊運(yùn)動(dòng)的受害者包括通濟(jì)隆(Travelex)、百富門(mén)(Brown-Forman Corp.)、制藥集團(tuán)皮埃爾•法布爾(Pierre Fabre)以及知名律師事務(wù)所格魯伯曼•夏爾•梅塞拉斯與薩克斯(Grubman Shire Meiselas & Sacks)等公司。2021年3月，該團(tuán)伙侵入宏碁，索要5000萬(wàn)美元的贖金，創(chuàng)下歷史最高紀(jì)錄。

2021年4月18日，REvil小組的一名成員宣布，該團(tuán)伙在招募新成員的論壇上發(fā)帖稱(chēng)，該組織即將宣布發(fā)動(dòng)“有史以來(lái)最高調(diào)的攻擊”。4月20日，該組織在Happy Blog網(wǎng)站上發(fā)布了許多涉嫌針對(duì)Apple設(shè)備的設(shè)計(jì)圖紙。根據(jù)攻擊者的說(shuō)法，數(shù)據(jù)是從Quanta的網(wǎng)絡(luò)中竊取的。Quanta Computer是一家中國(guó)臺(tái)灣的一家制造商，也是Apple的合作伙伴之一。Quanta最初的贖金要求為5000萬(wàn)美元。

 

在過(guò)去的幾個(gè)季度中，REvil的目標(biāo)活動(dòng)激增

REvil團(tuán)伙是Big Game Hunting的典型代表。在2021年，我們看到了針對(duì)公司敏感數(shù)據(jù)勒索更多贖金的趨勢(shì)。他們使用新策略向受害者施加壓力，積極開(kāi)發(fā)非Windows版本，以及定期招募新分支機(jī)構(gòu)的現(xiàn)象都表明在2021年，攻擊的數(shù)量和規(guī)模只會(huì)不斷增加。

Babuk

Babuk locker是2021年Big Game Hunting中的另一團(tuán)伙。在2021年初，我們觀察到了幾起涉及該勒索軟件的事件。

2021年4月底，Babuk背后的攻擊者宣布活動(dòng)結(jié)束，稱(chēng)他們將公開(kāi)其源代碼，以便“做類(lèi)似開(kāi)源RaaS的事情”。這意味著，一旦各種規(guī)模較小的威脅參與者采用泄漏的源代碼進(jìn)行操作，我們可能會(huì)看到新一輪的勒索軟件活動(dòng)。我們已經(jīng)在其他RaaS和MaaS項(xiàng)目中看到過(guò)這種情況——去年的Android的Cerberus銀行木馬就是很好的例子。

Babuk關(guān)于終止運(yùn)營(yíng)的公告

該團(tuán)伙顯然為每個(gè)受害者定制了獨(dú)特的樣本，因?yàn)樗ńM織的硬編碼名稱(chēng)、個(gè)人勒索軟件注釋以及加密文件的擴(kuò)展名。Babuk的運(yùn)營(yíng)商也使用RaaS模型。在感染之前，分支機(jī)構(gòu)或運(yùn)營(yíng)商會(huì)破壞目標(biāo)網(wǎng)絡(luò)，因此他們可以確定如何有效部署勒索軟件并評(píng)估敏感數(shù)據(jù)，從而為受害者設(shè)定最高的現(xiàn)實(shí)勒索價(jià)格。巴布克(Babuk)背后的團(tuán)隊(duì)將其小組定義為使用RDP作為感染媒介“隨機(jī)測(cè)試企業(yè)網(wǎng)絡(luò)安全性”的賽博朋克(CyberPunks)。該團(tuán)伙向其會(huì)員提供80%的贖金。

Babuk投放的廣告示例

Babuk在講俄語(yǔ)和英語(yǔ)的黑客論壇上做廣告。2021年1月開(kāi)始，一個(gè)論壇上出現(xiàn)了有關(guān)新勒索軟件Babuk的公告，隨后的帖子主要關(guān)注其更新和會(huì)員招募。

Babuk向新聞界發(fā)表的聲明解釋了他們的策略和受害者選擇

Babuk的白名單阻止了以下國(guó)家或地區(qū)的會(huì)員：中國(guó)、越南、塞浦路斯、俄羅斯和其他獨(dú)聯(lián)體國(guó)家。根據(jù)ZoomInfo，運(yùn)營(yíng)商還禁止攻擊醫(yī)院、非營(yíng)利慈善機(jī)構(gòu)和年收入低于3000萬(wàn)美元的公司。要加入會(huì)員計(jì)劃，合作伙伴必須通過(guò)有關(guān)Hyper-V和ESXi虛擬機(jī)管理程序的面試。

Babuk可能是第一個(gè)因?yàn)楣_(kāi)宣布對(duì)LGBT和Black Lives Matter(BLM)社區(qū)持負(fù)面態(tài)度而登上頭條的勒索軟件幫派。正是由于這一事實(shí)，該組織將這些社區(qū)排除在白名單之外。但是在Babuk數(shù)據(jù)泄漏網(wǎng)站上的一篇關(guān)于兩個(gè)月工作結(jié)果總結(jié)的帖子中，該團(tuán)伙報(bào)告說(shuō)，他們已經(jīng)將LGBT和BLM基金會(huì)以及慈善組織添加到了白名單中。

技術(shù)細(xì)節(jié)

關(guān)于加密算法，Babuk使用與橢圓曲線(xiàn)Diffie-Hellman(ECDH)相結(jié)合的對(duì)稱(chēng)算法。成功加密后，該惡意軟件會(huì)在每個(gè)處理過(guò)的目錄中添加“How To Restore Your Files.txt”。除了文本之外，贖金記錄還包含指向一些被竊取數(shù)據(jù)的屏幕截圖的鏈接列表。這證明惡意軟件樣本是在受害者的數(shù)據(jù)被泄露之后被制作的。如上所述，每個(gè)樣本都是針對(duì)特定目標(biāo)定制的。

在贖金記錄中，該團(tuán)伙還建議受害者使用其個(gè)人聊天門(mén)戶(hù)網(wǎng)站進(jìn)行談判。這些步驟并不僅限于Babuk，但通常出現(xiàn)在Big Game Hunting中。值得注意的是，贖金記錄的文本還包含一個(gè)指向.onion數(shù)據(jù)泄漏站點(diǎn)上相關(guān)帖子的私有鏈接，該鏈接無(wú)法從該站點(diǎn)的主頁(yè)上訪問(wèn)。這里有一些屏幕截圖、關(guān)于被盜文件類(lèi)型的文字描述以及針對(duì)受害者的一般威脅。如果受害者決定不與網(wǎng)絡(luò)罪犯談判，則此帖子的鏈接將公開(kāi)。

Babuk locker背后的組織主要針對(duì)歐洲、美國(guó)和大洋洲的大型工業(yè)組織。目標(biāo)行業(yè)包括但不限于運(yùn)輸服務(wù)、醫(yī)療保健部門(mén)以及各種工業(yè)設(shè)備供應(yīng)商。實(shí)際上，最近的案例表明，Babuk運(yùn)營(yíng)商正在擴(kuò)大目標(biāo)范圍。4月26日，DC警察局證實(shí)其網(wǎng)絡(luò)已被破壞，Babuk運(yùn)營(yíng)商聲稱(chēng)對(duì)此事負(fù)責(zé)，并在他們的.onion數(shù)據(jù)泄露網(wǎng)站宣布了此次攻擊。

Babuk宣布成功攻擊DC警察局

根據(jù)該網(wǎng)站上的帖子，該團(tuán)伙從華盛頓特區(qū)警察局網(wǎng)絡(luò)中竊取了250GB以上的數(shù)據(jù)。截至撰寫(xiě)本文時(shí)，警察局還有三天時(shí)間開(kāi)始與攻擊者進(jìn)行談判，否則，該組織將開(kāi)始向犯罪團(tuán)伙泄漏數(shù)據(jù)。Babuk還警告說(shuō)，它將繼續(xù)攻擊美國(guó)國(guó)有企業(yè)。

結(jié)論

2021年4月23日，我們發(fā)布的勒索軟件統(tǒng)計(jì)數(shù)據(jù)顯示，遭受該威脅的用戶(hù)數(shù)量顯著下降。不過(guò)這些數(shù)字不應(yīng)該被曲解：盡管隨機(jī)個(gè)體遭受勒索軟件的可能性確實(shí)比過(guò)去要少，但對(duì)公司的風(fēng)險(xiǎn)從未如此高。

勒索軟件生態(tài)系統(tǒng)一直渴望利潤(rùn)最大化，他們現(xiàn)在正在逐漸壯大，以致于可以被視為是對(duì)全球公司的系統(tǒng)性威脅。

曾經(jīng)有一段時(shí)間，中小企業(yè)大多忽略了信息安全帶來(lái)的挑戰(zhàn)：他們太微小了，APT參與者根本不會(huì)將他們置于監(jiān)視之下，但他們又足夠強(qiáng)大，不會(huì)受到隨機(jī)和一般攻擊的影響。但現(xiàn)在那些日子過(guò)去了，所有公司現(xiàn)在都必須做好抵御犯罪集團(tuán)的準(zhǔn)備。

值得慶幸的是，此類(lèi)攻擊者通常會(huì)先攻擊一些容易得手的對(duì)象，因此從現(xiàn)在開(kāi)始采取適當(dāng)?shù)陌踩胧⒋笥凶鳛椤?/p>

在5月12日(即反勒索軟件日)，卡巴斯基鼓勵(lì)組織遵循以下最佳做法，以保護(hù)您的組織免受勒索軟件的侵害：

• 經(jīng)常更新所有設(shè)備上的軟件，以防止攻擊者通過(guò)利用漏洞滲透到您的網(wǎng)絡(luò)中。
• 將防御策略的重點(diǎn)放在檢測(cè)橫向移動(dòng)和數(shù)據(jù)泄露上。要特別注意傳出的流量，以檢測(cè)網(wǎng)絡(luò)犯罪連接。設(shè)置入侵者無(wú)法篡改的脫機(jī)備份。確保在緊急情況下可以快速訪問(wèn)它們。
• 為了保護(hù)公司環(huán)境，請(qǐng)對(duì)您的員工進(jìn)行專(zhuān)門(mén)培訓(xùn)。專(zhuān)門(mén)的培訓(xùn)課程可以提供幫助，例如卡巴斯基自動(dòng)安全意識(shí)平臺(tái)中提供的課程。
•  對(duì)您的網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)安全審核，并及時(shí)修復(fù)在外部或內(nèi)部發(fā)現(xiàn)的所有弱點(diǎn)。
• 對(duì)所有端點(diǎn)啟用勒索軟件保護(hù)。
•  安裝反APT和EDR解決方案，以實(shí)現(xiàn)高級(jí)威脅發(fā)現(xiàn)和檢測(cè)、調(diào)查以及對(duì)事件進(jìn)行及時(shí)補(bǔ)救的功能。為您的SOC團(tuán)隊(duì)提供最新威脅情報(bào)的訪問(wèn)權(quán)限，并通過(guò)專(zhuān)業(yè)培訓(xùn)定期對(duì)其進(jìn)行升級(jí)。
• 如果您不幸成為受害者，切勿支付贖金。它不能保證您能取回?cái)?shù)據(jù)，但會(huì)鼓勵(lì)犯罪分子繼續(xù)其活動(dòng)。相反，您應(yīng)將事件報(bào)告給您當(dāng)?shù)氐膱?zhí)法機(jī)構(gòu)。嘗試在互聯(lián)網(wǎng)上找到一個(gè)解密程序，例如https://www.nomoreransom.org/en/index.html

本文翻譯自： https://securelist.com/ransomware-world-in-2021/102169/如若轉(zhuǎn)載，請(qǐng)注明原文地址。