[[423803]]

在今年年中一連串備受矚目的勒索軟件攻擊之后，一些規(guī)模最大、最臭名昭著的勒索軟件團(tuán)伙消聲覓跡了。

今年5月開(kāi)始，勒索軟件攻擊始終占據(jù)新聞?lì)^條。俄語(yǔ)組織Conti對(duì)愛(ài)爾蘭衛(wèi)生服務(wù)機(jī)構(gòu)發(fā)起勒索軟件攻擊，DarkSide對(duì)總部位于美國(guó)的Colonial Pipeline發(fā)起勒索軟件攻擊，REvil對(duì)肉類(lèi)加工巨頭JBS和遠(yuǎn)程管理軟件公司Kaseya發(fā)起勒索軟件攻擊……這一連串的事件迫使拜登政府直接發(fā)出警告稱(chēng)，將付出行動(dòng)來(lái)瓦解勒索軟件商業(yè)模式。白宮已經(jīng)正式通知俄方政府，如果它不對(duì)在其境內(nèi)使用勒索軟件開(kāi)展活動(dòng)的犯罪分子進(jìn)行打擊，那么美國(guó)政府將代替他行使這一權(quán)力。

白宮宣言后不久，DarkSide和REvil便像此前的Avaddon組織一樣消失了。事實(shí)上，這些組織采取的都是“勒索軟件即服務(wù)”(RaaS)模式，在這種模式中，運(yùn)營(yíng)商主要負(fù)責(zé)開(kāi)發(fā)加密鎖定勒索軟件，并將其提供給“附屬機(jī)構(gòu)”——實(shí)際進(jìn)行黑客攻擊和勒索軟件部署的第三發(fā)承包商。每當(dāng)受害者支付贖金時(shí)，附屬機(jī)構(gòu)和運(yùn)營(yíng)商就會(huì)按照事先定好的分配比例進(jìn)行分贓。

或者，至少理論上來(lái)說(shuō)是這樣的。安全公司Recorded Future的新網(wǎng)站The Record最近報(bào)道稱(chēng)，心懷不滿(mǎn)的Conti附屬機(jī)構(gòu)泄露了該組織用于培訓(xùn)附屬機(jī)構(gòu)的手冊(cè)和技術(shù)指南，原因是不滿(mǎn)他們提供的薪酬過(guò)低。

新的和“改頭換面”的運(yùn)營(yíng)商出現(xiàn)

考慮到目前許多企業(yè)仍然存在防御不足的情況，勒索軟件將繼續(xù)發(fā)揮巨大的盈利潛力，許多安全專(zhuān)家認(rèn)為，Avaddon、DarkSide以及REvil背后的核心運(yùn)營(yíng)商可能將改頭換面重新?tīng)I(yíng)業(yè)。與此同時(shí)，附屬機(jī)構(gòu)經(jīng)常會(huì)處理多個(gè)勒索軟件操作，有時(shí)還會(huì)同時(shí)進(jìn)行。因此，盡管某些組織可能不復(fù)存在，但勒索軟件的商業(yè)模式卻在不斷涌現(xiàn)。

與往常一樣，新的勒索軟件團(tuán)伙會(huì)定期亮相。最近幾周，執(zhí)法人員和信息安全專(zhuān)家追蹤發(fā)現(xiàn)，一些鮮為人知的參與者實(shí)施的攻擊活動(dòng)正在不斷攀升。所有這些組織都在使用“雙重勒索”策略，也就是說(shuō)他們聲稱(chēng)已在加密鎖定系統(tǒng)之前竊取了數(shù)據(jù)，并威脅將竊取的數(shù)據(jù)泄漏到數(shù)據(jù)泄露站點(diǎn)上，除非受害者支付贖金。面對(duì)這種情況，即便受害者組織擁有備份數(shù)據(jù)也將無(wú)濟(jì)于事。

以下是7個(gè)新興勒索軟件組織的更多詳細(xì)信息：

1. ALTDOS

近日，新加坡網(wǎng)絡(luò)安全局、警察部隊(duì)和個(gè)人數(shù)據(jù)保護(hù)委員會(huì)警告稱(chēng)，ALTDOS網(wǎng)絡(luò)犯罪組織自去年12月出現(xiàn)以來(lái)，一直以孟加拉國(guó)、新加坡和泰國(guó)的企業(yè)組織為目標(biāo)。

根據(jù)他們發(fā)布的關(guān)于ALTDOS的聯(lián)合公告稱(chēng)，目前尚不清楚ALTDOS使用的是哪種勒索軟件變種。ALTDOS將使用ProtonMail上托管的電子郵件地址聯(lián)系受害者，要求其付款或發(fā)布泄露的數(shù)據(jù)。此外，如果受害者沒(méi)有在給定的時(shí)間內(nèi)響應(yīng)或遵守贖金要求，ALTDOS還可能對(duì)受害者面向互聯(lián)網(wǎng)的系統(tǒng)發(fā)起分布式拒絕服務(wù)攻擊，以中斷其運(yùn)營(yíng)服務(wù)并提醒他們支付贖金。

與上述贖金組織一樣，ALTDOS也實(shí)行“雙重勒索”策略，這意味著它不僅會(huì)以獲取解密工具脅迫受害者支付贖金，而且還在加密鎖定系統(tǒng)之前竊取受害者數(shù)據(jù)，并以此要挾受害者付款，否則將刪除或泄露竊取的數(shù)據(jù)。公告還指出，該組織有時(shí)會(huì)要求受害者單獨(dú)為解密服務(wù)支付贖金，再為被盜數(shù)據(jù)免遭刪除支付二次贖金。

2. AvosLocker

研究人員表示，AvosLocker組織于今年6月首次被發(fā)現(xiàn)，它似乎專(zhuān)注于美國(guó)、英國(guó)和歐洲部分地區(qū)的小型律師事務(wù)所，以及貨運(yùn)、物流和房地產(chǎn)公司。但研究發(fā)現(xiàn)，截至上月底，AvosLocker勒索軟件運(yùn)營(yíng)商正使用一項(xiàng)通過(guò)Jabber和Telegraph分發(fā)垃圾郵件的服務(wù)，來(lái)宣傳其勒索軟件合作伙伴計(jì)劃，試圖招募更多的附屬機(jī)構(gòu)。

截至8月底，AvosLocker基于Tor的數(shù)據(jù)泄露網(wǎng)站列出了11名受害者，其中包括阿聯(lián)酋 Moorfields眼科醫(yī)院，該醫(yī)院是英國(guó)國(guó)家衛(wèi)生服務(wù)部Moorfields眼科醫(yī)院基金會(huì)信托基金的一個(gè)分支機(jī)構(gòu)，該組織稱(chēng)其竊取了超過(guò)60GB的數(shù)據(jù). 目前Moorfields方面已經(jīng)證實(shí)了此次攻擊，但并未將事件歸因于它。

Palo Alto公司Unit 42威脅研究小組的Doel Santos和Ruchna Nigam在一篇博文中表示，與其許多競(jìng)爭(zhēng)對(duì)手一樣，AvosLocker也提供技術(shù)支持服務(wù)，以幫助受害者在受到加密軟件攻擊后完成恢復(fù)工作。該組織聲稱(chēng)這些軟件是‘防故障’的，檢測(cè)率低，并且能夠處理大文件。我們觀(guān)察到最初的贖金要求從50,000美元到75,000美元不等。

3. Hive Ransomware

專(zhuān)家稱(chēng)，新出現(xiàn)的Hive ransomware于6月26日首次被@fbgwls245 Twitter帳戶(hù)背后自稱(chēng)來(lái)自韓國(guó)的“勒索軟件獵人”發(fā)現(xiàn)。據(jù)悉，他是在將其上傳到VirusTotal惡意軟件掃描服務(wù)后，成功發(fā)現(xiàn)了該組織的惡意可執(zhí)行文件。

截至8月底，Hive的數(shù)據(jù)泄露站點(diǎn)列出了34名受害者。Palo Alto的Santos和Nigam稱(chēng)：Hive會(huì)使用勒索工具集中的所有可用工具向受害者施加壓力，包括最初妥協(xié)的日期、倒計(jì)時(shí)、泄漏網(wǎng)站上實(shí)際披露的日期，甚至是在社交媒體上分享所披露泄漏的選項(xiàng)。

盡管該組織可能已經(jīng)磨練了其作戰(zhàn)策略，但黑莓的研究和情報(bào)團(tuán)隊(duì)最近表示，根據(jù)觀(guān)察到的Hive樣本顯示，該惡意軟件似乎“仍在開(kāi)發(fā)中”。安全公司Emsisoft的威脅分析師Brett Callow甚至直接抨擊其代碼質(zhì)量很差。他表示，到目前為止看到的Hive樣本使用的是一種愚蠢且業(yè)余的加密方案，其中使用了100個(gè)不同位大小的RSA密鑰來(lái)加密文件。

4. HelloKitty

涉及HelloKitty勒索軟件的攻擊于2020年初首次被發(fā)現(xiàn)。今年4 月，F(xiàn)ireEye警告稱(chēng)，使用HelloKitty的攻擊者一直針對(duì)未打補(bǔ)丁的SonicWall SMA 100系列統(tǒng)一接入網(wǎng)關(guān)。據(jù)悉，供應(yīng)商已于1月23日確認(rèn)并于2月23日修補(bǔ)了該設(shè)備中的零日漏洞(命名為 CVE-2021-20016)。

7月份，Palo Alto研究人員表示，他們發(fā)現(xiàn)了“HelloKitty的Linux變體，其目標(biāo)是VMware的 ESXi管理程序，該管理程序廣泛應(yīng)用于云和本地?cái)?shù)據(jù)中心”。ESXi 管理程序很可能成為攻擊目標(biāo)，因?yàn)楣粽哒趯ふ疫@種脆弱且部署廣泛的程序，以實(shí)現(xiàn)利益最大化。一旦攻擊者成功加密鎖定這些系統(tǒng)，可能會(huì)要求巨額贖金。Palo Alto表示，使用HelloKitty的攻擊者索要高達(dá)1000萬(wàn)美元的贖金，但他們最近收到的三筆贖金，總計(jì)僅為150萬(wàn)美元。

5. LockBit 2.0

LockBit 2.0以前名為ABCD ransomware，同樣是以勒索軟件即服務(wù)(RssS)模式運(yùn)行的組織。雖然早在2019年9月就開(kāi)始活躍，但Palo Alto最近發(fā)現(xiàn)其攻擊方法已經(jīng)發(fā)生了變化，并推出了稱(chēng)為L(zhǎng)ockBit 2.0的勒索軟件。

自6月以來(lái)，該組織已經(jīng)攻擊了全球52個(gè)組織，最近的受害者包括咨詢(xún)公司埃森哲。研究人員表示，威脅行為者在泄漏網(wǎng)站上的所有帖子中都放置了倒計(jì)時(shí)，直到保密信息發(fā)布給公眾，這為受害者制造了額外的壓力。

安全公司趨勢(shì)科技在最近的一份報(bào)告中表示，LockBit 2.0以擁有當(dāng)今勒索軟件威脅環(huán)境中最快、最有效的加密方法之一而自豪。不過(guò)，這種說(shuō)法顯然是為了提高該組織的形象并吸引更多的附屬機(jī)構(gòu)。

最近，該組織中一位名為“LockBitSupp”的發(fā)言人接受了俄羅斯OSINT YouTube頻道的采訪(fǎng)，并贊揚(yáng)了其運(yùn)營(yíng)計(jì)劃的優(yōu)點(diǎn)，稱(chēng)他們會(huì)將每筆贖金80%的部分分配給“負(fù)責(zé)任的”附屬機(jī)構(gòu)。LockBitSupp還表示，運(yùn)營(yíng)商會(huì)繼續(xù)改進(jìn)惡意軟件和其他工具，試圖使攻擊不僅更快，而且更加自動(dòng)化，包括泄露數(shù)據(jù)并將其路由到專(zhuān)用的數(shù)據(jù)泄漏站點(diǎn)。

截至8月底，LockBit 2.0泄漏站點(diǎn)列出了64名受害者，其中一些人的被盜信息已經(jīng)公布，而另一些人的倒數(shù)計(jì)時(shí)器仍在運(yùn)行。

6. OnePercent Group

8月份，F(xiàn)BI發(fā)布了有關(guān)OnePercent Group的警報(bào)通知，稱(chēng)該組織自2020年11月以來(lái)一直處于活躍狀態(tài)，并使用網(wǎng)絡(luò)釣魚(yú)攻擊將IcedID(又名 BokBot)銀行木馬病毒感染給受害者。該網(wǎng)絡(luò)釣魚(yú)電子郵件附有zip文件，其中包含Microsoft Word或Excel文檔，里面含有旨在安裝惡意軟件的惡意宏，該惡意宏會(huì)投放并執(zhí)行Cobalt Strike滲透測(cè)試工具。

FBI表示，攻擊者借助PowerShell腳本在網(wǎng)絡(luò)中橫向移動(dòng)，使用Rclone工具將數(shù)據(jù)泄露至云存儲(chǔ)，然后最終在所有可能的情況下部署他們的加密鎖定惡意軟件。

FBI報(bào)告稱(chēng)，在部署勒索軟件之前，攻擊者已經(jīng)在受害者的網(wǎng)絡(luò)中潛伏了大約一個(gè)月。攻擊實(shí)施后，攻擊者會(huì)通過(guò)偽造的電話(huà)號(hào)碼向受害者索要贖金，并向其提供一個(gè)ProtonMail電子郵件地址以供進(jìn)一步溝通。攻擊者會(huì)不斷要求與受害公司指定的談判代表交談，或以發(fā)布被盜數(shù)據(jù)的方式對(duì)其進(jìn)行威脅。

FBI稱(chēng)，對(duì)于任何拒絕付款的受害者，該組織此前曾威脅要將被盜數(shù)據(jù)出售給REvil(又名 Sodinokibi)組織。電子郵件安全公司Armorblox指出，F(xiàn)BI描述的妥協(xié)指標(biāo)(IoC)與“Shathak(也稱(chēng)TA551)”組織的活動(dòng)存在重疊。

7. BlackMatter Ransomware

7月下旬，一個(gè)名為“BlackMatter”的網(wǎng)絡(luò)犯罪論壇用戶(hù)宣布啟動(dòng)一項(xiàng)新行動(dòng)，“將DarkSide、REvil和LockBit的最佳功能融入其中”。

然而，在分析了一個(gè)在野發(fā)現(xiàn)的BlackMatter解密器后，安全公司Emsisoft的首席技術(shù)官、勒索軟件狩獵專(zhuān)家Fabian Wosar宣布，“BlackMatter應(yīng)該正是DarkSide改頭換面后的新身份。”

區(qū)塊鏈分析公司Chainalysis在分析了BlackMatter使用的加密貨幣錢(qián)包后得出結(jié)論稱(chēng)，它就是DarkSide的新身份。

自此，可以說(shuō)勒索軟件運(yùn)營(yíng)商會(huì)通過(guò)改頭換面的形式重新開(kāi)張的預(yù)測(cè)似乎已經(jīng)成為現(xiàn)實(shí)。安全專(zhuān)家表示，50年來(lái)，我們清楚地認(rèn)識(shí)到黑客行為是一種令人上癮的行為，更何況利潤(rùn)頗豐的勒索軟件領(lǐng)域，期待簡(jiǎn)單的白宮宣言就能令其“變天”實(shí)在天真，改頭換面要比改革或金盆洗手更有可能。

本文翻譯自：https://www.bankinfosecurity.com/7-emerging-ransomware-groups-practicing-double-extortion-a-17384如若轉(zhuǎn)載，請(qǐng)注明原文地址。