在全球迎來第二個反勒索軟件日之際,我們無法否認:勒索軟件已經成為安全領域的熱門詞匯。這并非沒有充分的理由,這種威脅可能存在了很長時間,但現在已經發生改變了。年復一年,攻擊者的膽子越來越大,方法也越來越精煉,當然,系統也被攻破了。然而,勒索軟件得到的大部分媒體關注都集中在記錄哪些公司成為其目標上。這篇報道將從每天的勒索軟件新聞中退出,問題的核心,了解它是如何組織的。
首先,我們將揭穿三個阻礙正確思考勒索軟件威脅的先入之見。接下來,我們深入研究暗網,展示網絡罪犯如何相互交流,以及他們所提供的服務類型。最后,我們以兩個著名的勒索軟件團伙結尾:REvil和Babuk。
在開始閱讀之前,請確保您的數據已安全備份!
第一部分:關于勒索軟件的三個先入之見
先入之見一:勒索軟件團伙就是團伙
隨著2020年活動的興起,我們看到了勒索軟件世界中許多知名團伙的出現。犯罪分子發現,受害者如果能夠事先建立某種信譽,就更有可能支付贖金。為了確保他們恢復加密文件的能力永遠不會受到質疑,他們在網上樹立了自己的形象,撰寫新聞稿,并確保所有潛在受害者都知道他們的名字。
但是,通過將自己置于眾人關注之下,這些組織掩蓋了勒索軟件生態系統的實際復雜性。從外部看,它們似乎是單個實體。但實際上它們只是矛尖。在大多數攻擊中,都涉及大量的參與者,一個關鍵的要點是;他們通過暗網市場相互提供服務。
Botmaster和帳戶銷售商的任務是提供受害者網絡內部的初始訪問權限。這個生態系統的其他成員(為了方便討論,將其命名為red team)使用初始訪問權來獲得對目標網絡的完全控制。在這個過程中,他們會收集受害者的信息,并竊取內部文件。
這些文件可能會被外包給分析師團隊,這些分析師將試圖計算出目標的實際財務狀況,以便確定他們可能支付的最高贖金價格。分析師還將留意任何可能用于支持其勒索策略的敏感信息或暗示性信息,目的是向決策者施加最大壓力。
當red team準備發動攻擊時,它會從暗網開發人員那里購買勒索軟件產品,通常以贖金分成作為交換。這里的一個可選角色是packer 的開發者,他們可以為勒索軟件程序添加保護層,使安全產品更難檢測到它。
最后,與受害者談判可能由另外的團隊來處理,當支付贖金時,需要一套全新的技能來清洗所獲得的加密貨幣。
最有趣的是,“勒索軟件價值鏈(ransomware value chain)”中的各種參與者不需要彼此認識,事實上他們也不需要。它們通過互聯網進行交互,用加密貨幣支付服務費用。因此,逮捕任何這些實體(雖然有助于威懾目的)對減緩生態系統幾乎沒有作用,因為無法獲得共犯的身份,而其他供應者將立即填補這一空白。
我們必須將勒索軟件世界理解為一個生態系統,并以此來對待它: 這是一個只能系統地解決的問題,例如,通過阻止資金在這個生態系統內流通——這首先是從一開始就不支付贖金。
先入之見二:有針對性的勒索軟件就是有針對性的
在選擇受害者的方式方面,前面對勒索軟件生態系統的描述具有顯著意義。是的,犯罪團伙越來越肆無忌憚,索要的贖金也越來越多。但勒索軟件攻擊也有機會主義的一面。據我們所知,這些團伙并沒有仔細閱讀英國《金融時報》來決定他們的下一個目標。
萬萬沒想到,獲得對受害者網絡的初始訪問權的人不是后來部署勒索軟件的人,因此需要將訪問收集視為一個完全獨立的業務。為了使其可行,賣家需要源源不斷的“產品”。花數周的時間試圖突破像《財富》 500強公司這樣的既定目標,在財務上并不明智,因為這不能保證成功。取而代之的是,準入賣家追求更低的目標。這種渠道主要有兩個來源:
僵尸網絡所有者。眾所周知的惡意軟件家族參與了規模最大、影響最廣的活動。他們的主要目標是創建受感染計算機的網絡,盡管目前感染還處于休眠狀態。僵尸網絡所有者(botmaster)將大量受害機器的訪問權限作為一種資源出售,可以通過多種方式獲利,比如發起DDoS攻擊、分發垃圾郵件,或者在勒索軟件的情況下,利用這種初始感染在潛在目標上獲得立足點。
訪問權限的賣家。黑客正在尋找面向互聯網的軟件(例如VPN設備或電子郵件網關)中公開披露的漏洞(1-days)。一旦這樣的漏洞被披露,它們就會在防御者應用相應的更新之前破壞盡可能多的受影響的服務器。
出售對組織的RDP的訪問權的報價示例
在這兩種情況下,在這兩種情況下,只有在攻擊者退后一步,弄清楚他們入侵了誰,以及這次感染是否可能導致支付贖金之后。勒索軟件生態系統中的參與者不做目標鎖定,因為他們幾乎從不選擇攻擊特定的組織。了解這一事實,突顯出企業及時更新面向互聯網的服務的重要性,并有能力在這些服務被用于不法行為之前發現潛伏感染。
先入之見三:網絡犯罪分子就是罪犯
好吧,嚴格來說,他們是。但由于勒索軟件生態系統的多樣性,這也是一個遠不止表面所見的領域。當然,在勒索軟件生態系統和其他網絡犯罪領域(如刷卡或銷售點(PoS)黑客)之間存在著一種有記錄的松散性。但值得指出的是,并非這個生態系統的所有成員都來自網絡犯罪的黑社會。在過去,高調的勒索軟件攻擊被用作一種破壞性手段。可以認為有些APT參與者仍在采取類似的策略來破壞對手經濟體的穩定,同時又保持很強的可否認性,這并非不合理。
同樣,去年發布的一份有關拉撒路團伙嘗試大目標的報告。ClearSky發現了類似的活動,他們將其歸因于Fox Kitten APT。研究人員注意到,勒索軟件攻擊的明顯盈利能力吸引了一些國家支持的黑客來到這個生態系統,以此作為規避國際制裁的一種方式。
數據表明,這種勒索軟件攻擊僅占總數的一小部分。盡管它們并不能代表公司需要采取什么防御措施,但它們的存在給受害者帶來了額外的風險。2020年10月1日,美國財政部OFAC發布了一份備忘錄,闡明向攻擊者匯款的公司需要確保收款人不受國際制裁。該聲明似乎已經生效,因為它已經影響了勒索軟件市場。毫無疑問,對勒索軟件運營商進行盡職調查本身就是一個挑戰。
第二部分:暗網惡作劇
通過市場通道
當涉及到在暗網上銷售與網絡犯罪相關的數字商品或服務時,大多數信息都集中在幾個大型平臺上,盡管有多個小型主題平臺專注于一個主題或產品。我們分析了三個主要的與勒索軟件相關的報價的論壇。這些論壇是使用勒索軟件的網絡犯罪分子交流和交易的主要平臺。雖然論壇上有數百個各種各樣的廣告和報價,但為了進行分析,我們只挑選了幾十個報價,這些報價都經過了論壇管理部門的驗證,并具有良好聲譽的團體發布。這些廣告包括各種各樣的報價,從源代碼的銷售到定期更新的招聘廣告,有英語和俄語版本。
不同類型的報價
如前所述,勒索軟件生態系統由扮演不同角色的參與者組成。暗網的論壇部分反映了這種情況,盡管這些市場上的報價主要是為了銷售或招聘。就像在任何市場上一樣,當運營商需要某些東西時,他們會在論壇上主動更新廣告展示位置,并在滿足需求后立即將其撤下。勒索軟件開發人員和附屬勒索軟件程序的運營商(以下簡稱“勒索軟件即服務”)提供以下功能:
· 邀請加入合作伙伴網絡,針對勒索軟件運營商的聯盟計劃
· 勒索軟件源代碼或勒索軟件生成器的廣告
第一種類型的參與假定勒索軟件運營者與會員之間存在長期的合作關系。通常,會獲得20%到40%的利潤分成,而剩下的60-80%會留給附屬會員。
在合作伙伴計劃中列出付款條件的要約示例
當許多勒索軟件運營商在尋找合作伙伴時,一些人在出售勒索軟件源代碼或DIY勒索軟件包。報價從300美元到5000美元不等。
就勒索軟件的技術熟練程度和賣方投入的精力而言,出售勒索軟件源代碼或泄露樣本是從勒索軟件獲利的最簡單方法。但是,由于源代碼和示例會很快失去其價值,因此此類提議的收益也最少。有兩種不同類型的報價–有和沒有支持。如果購買的勒索軟件沒有支持,那么一旦被網絡安全解決方案檢測到,勒索軟件購買者就需要自己弄清楚如何重新包裝,或者找到一個提供樣本重新包裝的服務——這仍然很容易被安全解決方案檢測到。
提供支持的服務(誠然,在金融惡意軟件市場中更為普遍)通常會提供定期更新并做出有關惡意軟件更新的決策。
在這方面,與2017年相比,暗網論壇的報價沒有太大變化。
勒索軟件開發人員有時將構建程序和源代碼宣傳為一次性購買,沒有客戶支持
提供勒索軟件訂閱和附加服務看起來與任何其他合法產品的廣告非常相似,只是利益和價格范圍不同
暗網中看不到一些大型團伙
盡管暗網上提供的報價數量和范圍肯定不小,但市場并不能反映整個勒索軟件生態系統。一些大型勒索軟件團伙要么獨立工作,要么直接尋找合作伙伴(例如,據我們所知,Ryuk在Trickbot感染后能夠訪問其某些受害者的系統,這表明兩個團體之間存在潛在的伙伴關系)。因此,論壇通常會托管較小的參與者-要么是中等規模的RaaS運營商,要么是出售源代碼的較小參與者或新手。
暗網上會員的基本規則
勒索軟件市場是一個封閉的市場,其背后的運營商對選擇與誰合作非常謹慎。這種謹慎反映在運營商在選擇合作伙伴時投放的廣告和附加的標準中。
第一個通用規則是對運營商的地理限制。當惡意軟件操作員與合作伙伴合作時,他們避免在其所在轄區使用惡意軟件。嚴格遵守此規則,不遵守此規則的合作伙伴會很快失去訪問他們一直合作的項目的機會。
此外,運營商會篩選潛在的合作伙伴,例如檢查他們聲稱來自的那個國家/地區的知識,如下例所示,來減少雇用臥底警察的機會。他們還可能根據其政治觀點對某些國籍施加限制。這些只是運營商試圖確保其安全性的一些方式。
在此示例中,該團伙建議通過詢問有關前蘇聯共和國的歷史和通常只有俄語為母語的人才能回答的晦澀問題來審查新的附屬組織
根據這則廣告,Avaddon可能會考慮說英語的會員,如果他們已經建立聲譽或可以提供保證金
案例
為了更詳細的概述,我們選擇了2021年最值得注意的兩個大型勒索軟件。
第一個是REvil(又名Sodinokibi)團伙。自2019年以來,該勒索軟件已經在暗網上進行了廣告宣傳,并以RaaS運營商的身份享有很高的聲譽。該團伙的名字REvil經常出現在信息安全社區的新聞頭條上。2021年,REvil運營商索要的贖金最高。
另一個是Babuk locker.。Babuk是2021年發現的第一個新的RaaS團伙,表明其活動量很大。
REvil
由REvil投放的廣告示例
REvil是最多產的RaaS運營之一。該團伙的第一次活動是在2019年4月,在另一個現已停止的勒索軟件團伙GandCrab被關閉之后。
為了分發勒索軟件,REvil與在網絡犯罪論壇上雇用的附屬機構合作。贖金需求基于受害者的年收入,而分銷商可以獲得贖金的60%到75%。使用門羅幣(XMR)加密貨幣用于支付。根據對REvil運營商的采訪,該團伙從2020年的運營中獲得了超過1億美元的收入。
開發人員會定期更新REvil勒索軟件,以避免被檢測,并提高持續攻擊的可靠性。該團伙在黑客論壇的各種帖子中公布所有的重大更新和新合作伙伴的項目。2021年4月18日,開發人員宣布勒索軟件的* nix實施正在進行封閉測試。
REvil通知了勒索軟件的* nix實施的內部測試
技術細節
REvil使用Salsa20對稱流算法通過橢圓曲線非對稱算法來加密文件和密鑰的內容。該惡意軟件樣本有一個加密的配置塊,其中包含許多字段,攻擊者可以對該負載進行微調。該執行文件可以在加密前終止黑名單進程,竊取主機基本信息,可以對本地存儲設備和網絡共享上的未列入白名單的文件和文件夾進行加密。
現在,勒索軟件主要通過受損的RDP訪問、網絡釣魚和軟件漏洞進行分發。附屬機構負責獲得對公司網絡的初始訪問權限并部署locker——RaaS模型的標準實踐。應該注意的是,該團伙對新成員的招募有非常嚴格的規定:REvil只招募會說俄語、有進入網絡經驗的高技能合作伙伴。
成功攻擊后,會有特權提升,偵察和橫向移動。然后操作員對敏感文件進行評估、竊取和加密。下一步是與被攻擊的公司談判。如果受害者決定不支付贖金,那么REvil操作員將開始在。onion Happy Blog網站上發布受攻擊公司的敏感數據。在數據泄露網站上公布泄露的機密數據的策略,最近已經成為Big Game Hunting的主流。
REvil博客上的帖子示例,其中包括從受害者那里竊取的數據
值得注意的是,勒索軟件運營商已經開始利用語音呼叫其業務伙伴和記者并使用DDoS攻擊,迫使受害者支付贖金。據該運營商稱,2021年3月,該團伙推出了一項無需額外費用的服務,讓會員組織聯系受害者的合作伙伴和媒體,以施加最大壓力,再加上DDoS (L3, L7)作為付費服務。
REvil宣布了一項新功能,可以安排給媒體和目標伙伴的電話,以便在要求贖金時施加額外壓力
據研究,該惡意軟件影響了近20個行業。受害比例最大的行業是工程與制造(30%),其次是金融(14%)、專業與消費者服務(9%)、法律(7%)以及IT與電信(7%)。
這場攻擊運動的受害者包括通濟隆(Travelex)、百富門(Brown-Forman Corp.)、制藥集團皮埃爾?法布爾(Pierre Fabre)以及知名律師事務所格魯伯曼?夏爾?梅塞拉斯與薩克斯(Grubman Shire Meiselas & Sacks)等公司。2021年3月,該團伙侵入宏碁,索要5000萬美元的贖金,創下歷史最高紀錄。
2021年4月18日,REvil團伙的一名成員宣布,該團伙在招募新成員的論壇上發帖稱,該組織即將宣布發動“有史以來最高調的攻擊”4月20日,該組織在Happy Blog網站上發布了許多據稱是Apple設備的設計圖紙。根據攻擊者稱,數據是從Quanta的網絡中竊取的。Quanta Computer是中國臺灣的一家制造商,也是Apple的合作伙伴之一。Quanta最初的贖金要求為5000萬美元。
在過去的幾個季度中,REvil的目標活動激增
REvil是Big GameHunting的典型代表。2021年,我們將看到為獲取敏感公司數據而索要更多贖金的趨勢。使用新戰術向受害者施壓,積極開發非windows版本,定期招募新分支機構,所有這些都表明,攻擊的數量和規模只會2021年增加。
Babuk
Babuk locker是2021年大型勒索攻擊活動中的另一團伙。在2021年初,我們發現了數起涉及該勒索軟件的事件。
2021年4月底, Babuk背后的攻擊者宣布活動結束,稱他們將公開其源代碼,以便“做類似開源RaaS的事情”。這意味著我們可能會看到一波新的勒索軟件活動,只要各種較小的攻擊團伙采用泄露的源代碼進行他們的操作。我們已經在其他RaaS和MaaS項目中看到過這種情況——去年針對Android的Cerberus銀行木馬就是一個很好的例子。
Babuk關于終止運營的公告
該團伙顯然為每個受害者定制了獨特的樣本,因為它包括組織的硬編碼名稱、個人勒索軟件注釋以及加密文件的擴展名。Babuk的運營商還使用RaaS模型。在感染之前,分支機構或運營商會破壞目標網絡,因此他們可以確定如何有效安裝勒索軟件并評估敏感數據,從而為受害者設置最高的現實勒索價格。巴布克(Babuk)背后的團隊將其小組定義為使用RDP作為感染媒介“隨機測試企業網絡安全性”的賽博朋克(CyberPunks)。該團伙將80%的贖金交給其會員。
Babuk投放的廣告示例
Babuk在俄語和英語的黑客論壇上做廣告。2021年1月開始,一個論壇上出現了有關新勒索軟件Babuk的公告,隨后的帖子主要關注更新和會員招募。
Babuk向新聞界發表的聲明解釋了他們的策略和受害者選擇
Babuk的白名單防止針對以下國家/地區:中國、越南、塞浦路斯、俄羅斯和其他獨聯體國家。根據ZoomInfo的數據,運營商還禁止攻擊醫院、非營利慈善機構和年收入低于3000萬美元的公司。要加入會員計劃,合作伙伴必須通過有關Hyper-V和ESXi虛擬機管理程序的面試。
Babuk可能是第一個因為公開宣布對LGBT和BLM(黑人生命也重要)社區持負面態度的勒索軟件團伙而登上頭條。正是由于這個事實,該組織將這些社區排除在他們的白名單之外。但在Babuk數據泄露網站上的一篇關于兩個月工作結果的帖子中,該團伙報告稱,他們已經將LGBT和BLM基金會以及慈善組織列入了白名單。
技術細節
關于加密算法,Babuk使用與橢圓曲線Diffie-Hellman(ECDH)結合的對稱算法。加密成功后,該惡意軟件會在每個處理過的目錄中添加“How To Restore Your Files.txt”。除了文本之外,贖金記錄還包含指向一些被竊取數據的屏幕截圖的鏈接列表。這證明惡意軟件樣本是在受害者的數據被泄露之后被制作的。如上所述,每個樣本都是針對特定目標定制的。
在贖金記錄中,該團伙還建議受害者使用其個人聊天門戶網站進行談判。這些步驟并不僅限于Babuk,但通常出現在Big Game Hunting中很常見。值得注意的是,贖金記錄的文本還包含一個指向。onion數據泄露站點上相關帖子的私有鏈接,該鏈接無法從該站點的主頁上訪問。這里有一些屏幕截圖,以及關于被盜文件類型的文字描述,以及針對受害者的一般威脅。如果受害者決定不與網絡罪犯談判,則此帖子的鏈接將公開。
Babuk locker背后的組織主要針對歐洲、美國和大洋洲的大型工業組織。目標行業包括但不限于運輸服務、醫療保健部門以及各種工業設備供應商。實際上,最近的案例表明Babuk運營商正在擴大目標范圍。4月26日,華盛頓特區警察局證實其網絡被攻破,Babuk的運營商聲稱對此事負責,并在他們的。onion數據泄露網站宣布了此次攻擊。
Babuk宣布成功襲擊DC警察局
根據該網站上的帖子,該團伙從華盛頓特區警察局網絡中竊取了超過250GB的數據。截至撰寫本文時,警察部門有三天時間與攻擊者進行談判;否則,該組織將開始向犯罪團伙泄露數據。Babuk還警告稱,它將繼續攻擊美國國有企業。
Babuk從DC警察局網絡竊取的文件的屏幕截圖發布在泄露網站上
結論
2021年4月23日,我們發布了勒索軟件統計數據,顯示遭受該威脅的用戶數量顯著下降。這些數字不應該被曲解:盡管隨機個體遭受勒索軟件的可能性確實比過去要少,但公司面臨的風險從未如此之高。
勒索軟件生態系統一直渴望利潤最大化,因此已經發展起來,現在可以被視為對全球公司的系統性威脅。
曾經有一段時間,中小企業大多可以忽略信息安全帶來的挑戰:它們足夠小,可以不受APT攻擊者的監視,但又足夠大,不會受到隨機和一般攻擊的影響。那些日子過去了,現在所有的公司都必須做好防范犯罪團伙的準備。
值得慶幸的是,此類攻擊者通常會搶先一步,而建立適當的安全措施將大有作為。
在5月12日(即反勒索軟件日),卡巴斯基鼓勵組織遵循以下最佳做法,以保護您的組織免受勒索軟件的侵害:
經常更新所有設備上的軟件,以防止攻擊者利用漏洞滲透到您的網絡。
將防御策略的重點放在檢測橫向移動和數據泄露上。要特別注意傳出的流量,以檢測網絡犯罪連接。設置入侵者無法篡改的脫機備份,確保在緊急情況下可以快速訪問它們。
為了保護公司環境,請培訓您的員工。專門的培訓課程可以提供幫助。
對網絡進行網絡安全審核,并修復在外部或內部發現的所有漏洞。
對所有端點啟用勒索軟件保護。
安裝防APT和EDR解決方案,以實現高級威脅發現和檢測、調查和及時補救事件的功能。
如果您成為受害者,切勿支付贖金。它不能保證您能取回數據,但會鼓勵犯罪分子繼續其活動。相反,應將事件報告給您當地的執法機構。試著在互聯網上找到一個解密器,例如:https://www.nomoreransom.org/en/index.html