「大流行」中的「大流行」:勒索軟體即服務(RaaS)犯罪團伙大起底
勒索軟體是一個非常棘手的問題,這一點可謂是眾所周知的事實。
在過去一年中,無論是技術小白還是經驗豐富的網路安全專業人員都已經見證了一系列的勒索軟體事件,這些事件對全球範圍內的企業造成了毀滅性的打擊。勒索軟體的猖獗已經到了即便是網路安全領域以外的人,現在也已經熟悉了這個概念:網路背後的犯罪分子找到入侵組織系統的方法,通過鎖定它來阻止任何人的操作行為,並且直至受害者組織支付完高額贖金後,該系統才能重新恢復運行。
新冠(COVID-19)疫情使全球各地的經濟處於災難邊緣,而2020年勒索軟體一路高歌猛進的攻勢無疑又讓企業組織的經營能力雪上加霜。企業組織、政府機構、學校以及任何與之相關的事物一直是地下犯罪集團的攻擊目標,而這類組織一旦被犯罪分子鎖定,通常毫無招架之力。
缺乏抵抗能力並不意味著它們沒有努力對抗敵人。但是,即便對經驗豐富的專業人士而言,衡量和量化勒索軟體的品質與它所能造成的傷害也是一個巨大的挑戰。儘管此類事件持續曝光,但鑒於許多組織選擇在遭受攻擊後保持沉默,而使得安全產業難以估算攻擊體量以及受害者的平均恢復成本。
眾所周知,勒索軟體背後的犯罪集團正在蓬勃發展,並且成功創造了眾多新的變種,更糟糕的是,他們還正在向有權訪問公司網路並希望以此獲取大量非法資金的任何人提供勒索軟體及服務(RaaS)。
何為勒索軟體及服務(RaaS)?
勒索軟體不僅購買和下載都很方便,而且價格便宜。這種攻擊模式很容易傳播,與其他類型的流行攻擊相比,你不需要技術嫻熟或擁有昂貴的設備,這就意味著越來越多的網路犯罪分子正在轉向這種類型的惡意行為。此外,與竊取信用卡數據或個人信息相比,它還可以產生更快的付款。也許最重要的是,由於比特幣的匿名性加持,犯罪者被捕獲的風險也較低。
而為了實現勒索軟體收益最大化,勒索軟體即服務(RaaS)便應運而生。
勒索軟體即服務(RaaS)借鑒了軟體即服務(SaaS)模型。這種基於訂閱的惡意模型使即使是新手網路犯罪分子也能夠毫不費力地發起勒索軟體攻擊。您可以在市場上找到各種RaaS軟體包,這些軟體包可減少對惡意軟體進行編碼的需求。因此,網路犯罪分子即便不了解如何創建勒索軟體,也能夠輕鬆地使用它。
在這種類似於特許經營的惡意部署模式下,網路犯罪分子編寫勒索軟體代碼,並通過「會員計劃」將其出售/出租給其他有意發動攻擊的網路犯罪分子。他們提供有關如何使用該服務發起勒索軟體攻擊的技術知識和分步信息,甚至有一個平台可以通過實時儀錶板顯示攻擊狀態。而為了對受害者的系統進行加密,會員組織會僱傭黑客提供服務,這些黑客可以訪問目標網路、獲得域管理員特權、收集並竊取文件,然後將獲得訪問所需的所有信息傳遞給會員組織並對其進行加密。
一旦攻擊成功,就將贖金分配給服務提供商、編碼者和入侵網路的黑客以及勒索軟體會員。
根據Imperva稱,在傳統的會員營銷模式中,較大一部分費用歸屬產品所有者。在RaaS中……勒索軟體的作者只獲得了少量資金(5%-25%),其餘的則交給了分銷商(會員)。
這種惡性模式非常吸引網路犯罪分子,甚至您都可以在暗網上看到RaaS提供商的廣告。網路犯罪分子被吸引的原因有很多:首先,它使勒索軟體開發者能夠快速賺錢。其次,對於會員,這也減少了他們編寫惡意代碼的需要,他們可以簡單地從暗網中以低價租用易於使用的軟體包。
2020年風頭正盛的RaaS團伙
根據安全企業Intel 471的調查結果發現,在去年與今年總計有25個勒索軟體及服務(RaaS)問世,而且它們發動攻擊的規模與所造成的災情幾乎無法確實統計。
過去一年中,Intel 471一直在跟蹤這25個不同的勒索軟體及服務(RaaS)組織,從知名的團體(他們中的一些已經成為勒索軟體的代名詞)到今年新問世的一些團體。據悉,這些新團體已經實現了技能升級,甚至完全具備取代當前頂級團體的能力。
以下是對過去一年中增長的勒索軟體即服務(RaaS)團隊的調查結果。不過,這並非是對勒索軟體場景的確定性衡量,因為可能被視為「破壞性」的因素(付款金額、系統停機時間以及與攻擊者的交流)可能會因具體人員和事件而異。此外,還有一些知名的勒索軟體團伙結成了緊密而秘密的犯罪圈子,通過直接和私密的通訊方式聯繫,外人難以覺察。
我們要做的是照亮那些相對黑暗的角落,在那個角落裡,狡猾的犯罪分子正在粗暴地蹂躪受害組織,並從中榨取人們辛辛苦苦賺來的血汗錢,而其面臨的懲罰卻十分有限。通過公開討論這些行動,整個社會可以更好地了解眼前日益嚴重的問題。
新興的Raas團伙
我們已驗證確實出現了以下團伙,但目前,有關這些團伙發起的成功攻擊、攻擊量、收到的贖金或緩解成本等方面的信息有限。
此類勒索軟體團伙包括CVartek.u45、Exorcist、Gothmog、Lolkek、Muchlove、Nemty、Rush、Wally、XINOF以及Zeoticus。
勒索市場的中堅力量
以下團伙與許多已確定的攻擊有關聯,並2020年前後逐漸發展壯大起來。這些團伙中的一些人甚至已經利用博客來「點名和羞辱」拒絕支付贖金的受害者。
此類勒索軟體包括:Avaddon、Conti、Clop、DarkSide、Pysa/Mespinoza、Ragnar、Ranzy、SunCrypt
以及Thanos等等。
Avaddon
Avaddon發現於2020年3月,其利用Phorpiex殭屍網路肆虐全網,並在感染目標電腦加密文件後,索要高達500美元的勒索贖金。據悉,Phorpiex作為一款具有蠕蟲特性的殭屍網路,至今已感染超過100萬台的windows計算機。Phorpiex殭屍網路主要通過可移動存儲介質、垃圾郵件、爆破用戶憑證、漏洞利用工具包、惡意程序安裝等多種渠道擴散的特性,也成為此次Avaddon新型勒索病毒迅速泛濫的原因之一。目前總計攻擊次數為10以下。
Conti
Conti現身於2020年8月,屬於新興的雙重勒索軟體陣營,在以勒索軟體加密系統之前,會先下載未加密的機密資料,以在受害者拒絕支付贖金以換取解密密鑰時,作為進一步的勒索籌碼,已有部分案例顯示有受害者最終是為了保護資料而選擇支付贖金。目前總計攻擊次數高達142次。
Clop
Clop是國際知名的安全軟體公司Avast 的惡意軟體研究員Jakub Kroustek於2020年3月首次發現的一種勒索軟體。該惡意軟體旨在通過附加「 .Clop 」擴展名來加密受害計算機上的數據並重命名每個文件。此外,它還可能從受害機器中提取以下信息:系統時間、操作系統類型、語言、鍵盤語言。目前總計攻擊次數為10次以上。
DarkSide
2020 年 8 月深信服安全團隊監測到一個新的流行勒索軟體家族出現,且自稱為 DarkSide。這款勒索病毒的黑客組織會通過獲取的信息,評估企業的財力,然後再決定勒索的金額,同時該黑客組織還聲稱不會攻擊勒索醫療、教育、非營利及政府等機構。目前總計攻擊次數低於5起。
Pysa/Mespinoza
Mespinoza勒索軟體使用了pysa作為文件擴展名,因此研究人員也會使用該名稱來命名該款勒索軟體。據悉,Pysa勒索軟體團伙的攻擊目標遍及多個大洲,打擊了多個政府和商業相關的網路。目前總計攻擊次數超過40起。
Ragnar
Ragnar Locker首次現身於2019年10月,其攻擊是有選擇性的,目標往往是公司,而不是個人用戶。包括葡萄牙跨國能源巨頭、世界第四大風能生產商EDP的系統均遭到過攻擊,並被索要1580枚BTC(合1090萬美元)作為贖金。目前總計攻擊次數超過25起。
Ranzy
Ranzy出現在2020年10月,似乎是ThunderX和Ako勒索軟體的變體,不過有一些關鍵的更新,包括加密的調整,過濾的方法,以及使用公開的「leak blog」為那些不遵守贖金要求的人發布受害者數據。目前總計攻擊次數僅為1起。
SunCrypt
SunCrypt 於 2019 年 10 月開始出現,目前已加入Maze聯合組織展開雙向合作,並一起分享獲得的收益。目前總計攻擊次數超過20起,而據統計SunCrypt數據泄漏站點上也已列出了九名受害者以及存在的敏感數據文件。
Thanos
2020年7/8月份,就有研究人員觀察到與對中東和北非的兩個國有組織的攻擊有關的文件,這些組織安裝並運行了Thanos勒索軟體的變體。據悉,研究人員於2020年1月13日首次觀測到Thanos,此後已觀測到130多個獨特樣本。最新的版本是攻擊者為中東和北非國營組織特別設計的。該勒索軟體允許外部黑客使用並攻擊他們的目標,使用條件是遵守與開發者的收入分成計劃,分成約為60%-70%。據稱,該勒索軟體允許操作者可以自定義軟體的勒索信,修改文本以選擇他們想要的任何加密貨幣,而不僅限於比特幣。目前總計攻擊次數超過5起。
老牌團體
這些團體出現頻率最高,經常出現在各大新聞頭條中。他們都建立了微博用來「點名和羞辱」拒絕支付贖金的受害者。總體來說,這些都是在過去幾年中成功獲得數億勒索贖金的組織-由於部分組織拒絕上報勒索行為,所以這個數字可能比實際要低得多。
此類勒索軟體團伙包括DoppelPaymer、Egregor/Maze、Netwalker、REvil以及Ryuk等等。
DopplePaymer
自2019年以來,DoppelPaymer就一直與BitPaymer(又名FriedEx)勒索軟體相關聯。CrowdStrike強調了這些變體之間的一些相似之處,推測DoppelPaymer可能是由前BitPaymer成員組成。
該勒索軟體本身通常是在網路受到威脅並滲漏敏感數據後,再手動部署的。DoppelPaymer團隊運營著一個基於Tor的博客,名為「Dopple leaks」,專門用於發布有關受感染公司及其被盜數據的信息。
該團伙曾針對墨西哥能源巨頭Pemex以及和美國聯邦政府合作的IT承包商等全球知名組織實施了攻擊活動。不過,DoppelPaymer勒索軟體最受關注和爭議的還是發生於2020年針對杜塞爾多夫醫院的攻擊事件。由於杜塞爾多夫醫院當時遭受勒索軟體攻擊,未能收治一位需要接受緊急治療的女性患者,該患者不得已被轉移到30公里外的伍珀塔爾市一家醫院後死亡。Doppelpaymer也由此成為首例勒索軟體人命案的元兇。
Egregor/Maze
早在文章發布前,Maze(迷宮)勒索軟體服務背後的運營團伙已經宣布將關閉其運營。有分析人員猜測,該組織的成員可能會被納入Egregor勒索軟體背後的服務中。Egregor在操作上遵循一種熟悉的模式:破壞公司網路以竊取敏感數據並部署勒索軟體,與受害者進行通信並索取贖金,然後在受害者組織拒絕支付贖金時將敏感數據轉儲到博客中。
有證據表明,Egregor也與Sekhmet勒索軟體有關。Intel 471研究人員發現,Egregor包含與Sekhmet相同的Base64編碼數據,其中最後一行包含受感染系統的其他參數。研究人員還發現,Egregor贖金記錄與Sekhmet所使用的記錄極為相似。
此外,在針對遊戲開發商Crytek和Ubisoft以及美國最大零售連鎖書店Barnes Noble的攻擊事件中也發現了Egregor的身影。
Netwalker
NetWalker最早在2019年9月被發現,是Intel 471跟蹤到的最多產的RaaS之一。其背後的攻擊者在2020年使用了釣魚郵件攻擊,這些郵件利用了對疫情大流行的影響和恐懼來誘使受害者將惡意軟體安裝到系統中。5月,運營商啟動了一個基於Tor的博客,以發布從受害者組織那裡偷來的敏感數據,原因是這些組織拒絕支付所要求的贖金。
NetWalker背後的攻擊者使用了無文件感染技術,據稱可以繞過Windows 7和更新版本操作系統的用戶帳戶控制組件。NetWalker可以在兩種模式下操作:在「網路模式」下,可以對單個計算機或整個網路的計算機進行勒索,而受害者可以購買具有主密鑰的解密工具或購買必要的密鑰以對所有網路中的計算機進行解密。在「個人模式」下,一次贖金僅解密一台計算機。
據稱,該組織僅在10月份就發動了25起勒索軟體事件。其中最引人注目的是針對密歇根州立大學的攻擊,不過該學校最終選擇拒絕支付贖金。
REvil
REvil是市場上最普遍的勒索軟體變體之一,首次部署於2019年4月17日,攻擊者利用Oracle WebLogic伺服器中的漏洞CVE-2019-2725實施了攻擊活動。兩個月後,XSS論壇上開始出現售賣勒索軟體服務的廣告。
REvil一直是最活躍的勒索軟體團伙之一,其聲稱參與了針對諸如英國金融服務提供商Travelex、美國娛樂和媒體法律公司Grubman Shire Meiselas&Sacks以及德克薩斯州23個地方政府的攻擊活動。
該組織獲取企業系統訪問許可權最常見的方法之一就是採用遠程桌面協議(RDP)漏洞,例如 BlueGate漏洞,該漏洞允許授權用戶遠程執行代碼。該組織代表承認最好使用信息竊取程序來獲取遠程訪問憑據,以取得在公司網路中的最初立足點。談及針對Travelex和Grubman Shire Meiselas&Sacks的攻擊,該代表稱,通過Citrix 和 Pulse Secure VPN漏洞進行遠程代碼攻擊,三分鐘內就可以訪問整個網路。
當該組織自己進行攻擊時,它發現RaaS模型可以帶來更多收益。REvil的會員負責訪問目標網路,下載有價值的文件並部署實際的勒索軟體,而REvil團伙則負責受害者談判以及勒索,勒索贖金和分發。這種模式顯然導致了利潤的飛漲:根據REvil的說法,一個會員的收入從每個目標約20,000美元增加到30,000美元,而另一家RaaS提供的收益在與REvil聯手後僅六個月內就達到了每個目標約700萬美元至800萬美元。
Ryuk
Ryuk這個名字可以說已經發展成了勒索軟體的同義詞,因為該變種是最受歡迎的勒索軟體之一,具有強大的聯盟計劃和大量受害者。
Ryuk是通過使用Trickbot殭屍網路和Emotet惡意軟體進行最後階段交付的勒索軟體。最近,該勒索軟體還通過Bazar loader進行交付。
Ryuk的會員在攻擊中遵循的模式是:僱用參與者發起垃圾郵件活動以傳播銀行惡意軟體。然後,另一組參與者在受感染的公司網路內進行提升許可權,最後,團隊開始部署勒索軟體並處理與受害者的談判。
過去一年裡,Ryuk勒索軟體已經實現了爆炸式增長,全球數百萬起勒索軟體事件中都有它的份。一些安全研究人員估計,在今年發起的勒索軟體攻擊中,有多達三分之一的事件涉及Ryuk。
Ryuk今年一直集中針對醫療保健領域進行勒索攻擊。其中引發最大關注的就是針對美國最大的醫院系統之一的Universal Health Services進行的勒索攻擊。
