勒索軟件攻擊仍然是許多網(wǎng)絡(luò)犯罪分子的首選,穩(wěn)妥地勒索或大或小的受害者,追求一個(gè)安全、容易和可靠的收益來源。但勒索軟件本身仍在以多種方式發(fā)展演化。例如,新玩家不斷出現(xiàn),而大牌偶爾會(huì)退出江湖。一些犯罪團(tuán)伙采用復(fù)雜的勒索軟件即服務(wù)的方式,吸引并利用網(wǎng)絡(luò)滲透、談判、惡意軟件開發(fā)等方面的專家。然而,也有許多勒索團(tuán)伙缺乏必要的預(yù)算和人員來有效地實(shí)現(xiàn)更大的目標(biāo),所以它們只能在外圍運(yùn)作。盡管許多勒索組織都有自己的數(shù)據(jù)泄露網(wǎng)站,但即便是這些網(wǎng)站也面臨運(yùn)營上的挑戰(zhàn)。在網(wǎng)絡(luò)安全公司和國際反勒索聯(lián)盟的共同努力下,外交、經(jīng)濟(jì)、金融、法律等手段多管齊下,勒索軟件攻擊組織的生存空間正在逐步被壓縮。在此背景下,勒索組織生態(tài)系統(tǒng)演化正呈現(xiàn)一些新的變化。
隨著勒索軟件攻擊的繼續(xù),勒索組織整體運(yùn)營生態(tài)系統(tǒng)呈現(xiàn)出如下持續(xù)進(jìn)化的趨勢(shì)。
1. 勒索組織的興衰就在一瞬間
網(wǎng)絡(luò)安全公司繼續(xù)追蹤勒索軟件攻擊者領(lǐng)域的穩(wěn)定變化,包括新面孔或至少是新名字的涌入。
第三季度,出現(xiàn)了Avaddon, Noname,相對(duì)較新的Prometheus和REvil,又名Sodinokibi。但是REvil在9月份又回來了,然后在上個(gè)月又消失了,可能是因?yàn)槭艿綀?zhí)法部門的打擊。
思科塔洛斯(Cisco Talos)安全研究員大衛(wèi)·利本伯格和凱特琳·修伊在博客中寫道,第三季度還出現(xiàn)了新玩家,或至少是新名字,包括CryptBD、Grief、Hive、Karma、Thanos和Vice Society。
2. 勒索品牌重塑很常見
然而,其中一些所謂的新業(yè)務(wù),可能只是重新命名的現(xiàn)有組織。以第三季度為例,Digital Shadows公司的網(wǎng)絡(luò)威脅情報(bào)分析師伊萬·瑞吉(Ivan Righi)在一份關(guān)于第三季度趨勢(shì)的分析報(bào)告中表示,“SynAck勒索軟件組織將自己更名為‘El_Cometa’,該組織旗下?lián)碛幸粋€(gè)名為‘File Leaks’的數(shù)據(jù)泄露網(wǎng)站。”
“DoppelPaymer勒索軟件被發(fā)現(xiàn)可能被重新命名為‘Grief’勒索軟件組織,而Karma勒索軟件組織被認(rèn)為是Nemty勒索軟件組織的重新命名,”他補(bǔ)充道。
3.攻擊在許多組織中蔓延
思科Talos研究人員表示,無論名稱是什么,第三季度似乎有更多勒索攻擊者實(shí)施了更多的攻擊。他們說,特別是在 Cisco Talos參與調(diào)查的事件響應(yīng)活動(dòng)中,只有Vice Society和REvil出現(xiàn)在不止一次活動(dòng)中,“突顯了新興勒索軟件變體的更大程度的攻擊廣泛性”。
而Ryuk勒索,盡管之前很活躍,但Cisco Talos并沒有觀測(cè)到其在已有的攻擊事件中出現(xiàn)。Cisco Talos的Liebenberg和Huey認(rèn)為:“許多安全研究人員認(rèn)為Conti勒索軟件家族是Ryuk的繼任者,這可能解釋了觀察到Ryuk參與勒索活動(dòng)數(shù)量下降的原因。”
這些發(fā)現(xiàn)與其他公司的記錄大體一致。例如,勒索軟件事件響應(yīng)公司 Coveware根據(jù)其在第三季度協(xié)助處理的數(shù)千個(gè)案例,記錄了Conti攻擊的急劇增加和 Ryuk攻擊的減少。因?yàn)樵摴編椭芎φ咛幚聿⒉豢偸枪_的事件,所以它可能是對(duì)野外實(shí)際發(fā)生的事情的更準(zhǔn)確評(píng)估之一。
4. 對(duì)勒索軟件運(yùn)營者而言賺大錢并不是那么容易
大量勒索軟件組織似乎仍然活躍。例如,就在10月25日,以色列威脅情報(bào)公司Kela報(bào)告稱,11個(gè)勒索組織在其數(shù)據(jù)泄露門戶網(wǎng)站上列出了受害者名單,這個(gè)勒索組織的名單依次為Avos Locker、BlackByte、BlackMatter、Clop、Conti、Grief、LockBit、Marketo、Midas、Pysa和Xing。
有些勒索運(yùn)營者賺了大錢。根據(jù)Coveware幫助調(diào)查的數(shù)千起案件,在第三季度,當(dāng)一家企業(yè)、政府機(jī)構(gòu)或任何其他組織選擇支付贖金時(shí),他們平均支付了14萬美元。雖然這一平均值與第二季度相比保持穩(wěn)定,但報(bào)告指出,在同一時(shí)間段內(nèi),支付中值增長了50%以上,這表明在拜登政府去年夏天宣布打擊勒索軟件之后,攻擊者開始更多地關(guān)注中小型受害者。
但是McAfee的研究員Thibault Seret在一篇博客文章中指出,并不是每一個(gè)“勒索軟件即服務(wù)”的運(yùn)營者都看到了六位數(shù)的贖金支付,甚至更多。
“根據(jù)最近的頭條新聞,您可能會(huì)認(rèn)為所有勒索軟件運(yùn)營商每年都通過其邪惡活動(dòng)賺取數(shù)百萬美元,這是情有可原的,”他說。“然而,在有組織的網(wǎng)絡(luò)犯罪團(tuán)伙發(fā)起的每一次大規(guī)模攻擊的陰影下,都可以發(fā)現(xiàn)許多較小規(guī)模的攻擊參與者,他們無法訪問最新的勒索軟件樣本,無法成為后DarkSide RaaS 的附屬機(jī)構(gòu) ,只能以擴(kuò)大其金融影響力以加快發(fā)展。”
5. 惡意軟件泄露給較小的玩家
但是規(guī)模較小的勒索軟件運(yùn)營者可以在其他方面具有創(chuàng)新性。例如,Seret 詳細(xì)介紹了6月份Babuk勒索軟件構(gòu)建器的泄漏是如何被一些人利用作為構(gòu)建他們自己的更高級(jí)加密鎖定惡意軟件的構(gòu)建塊。
但在另一種情況下,他說,以前與 .NET 勒索軟件Delta Plus相關(guān)的攻擊者只是調(diào)整了Babuk贖金記錄——插入他們(而不是 Babuk)控制的比特幣錢包地址,讓受害者支付贖金——然后用它來瞄準(zhǔn)受害者。他指出,有了這個(gè)新的惡意軟件,盡管只是稍微調(diào)整了一下,攻擊組織開始要求贖金,贖金不是數(shù)百美元,而是數(shù)千美元。
最近流行的Delta Plus攻擊(來源:McAfee)
6. 泄露被盜數(shù)據(jù)面臨不少挑戰(zhàn)
雖然從受害者那里竊取數(shù)據(jù)并威脅泄露是勒索軟件團(tuán)伙普遍采用的策略,但這并不是萬無一失的。但問題是,受害者當(dāng)然仍然可能選擇不付錢——如果攻擊者沒有竊取敏感數(shù)據(jù),可能會(huì)更嚴(yán)重。此外,數(shù)字陰影(Digital Shadows)的Righi在一篇博客文章中表示,托管數(shù)據(jù)也充滿了挑戰(zhàn)。
第三季度,勒索軟件組織在其數(shù)據(jù)泄露網(wǎng)站上列出的受害者人數(shù)。(本文為游戲邦/ gamerboom.com編譯)
他表示:“許多勒索軟件組織在管理數(shù)據(jù)泄露網(wǎng)站和在暗網(wǎng)托管數(shù)據(jù)供下載方面遇到了困難。”“這導(dǎo)致一些勒索軟件組織使用公共文件共享網(wǎng)站,如Mega.nz或PrivatLab.com。由于這些服務(wù)托管在清晰的網(wǎng)絡(luò)上,它們經(jīng)常會(huì)被刪除,大多數(shù)下載鏈接會(huì)在一兩天內(nèi)被刪除。”
他指出,另一個(gè)挑戰(zhàn)是暗網(wǎng)站,即只能通過匿名的Tor瀏覽器訪問的網(wǎng)站,其設(shè)計(jì)優(yōu)先考慮隱私而不是性能。因此,瀏覽暗網(wǎng)可能會(huì)很慢,試圖下載泄露的數(shù)據(jù)可能會(huì)讓人沮喪。
至少,XSS俄語網(wǎng)絡(luò)犯罪論壇的許多用戶在試圖下載Clop勒索軟件三月份泄露的數(shù)據(jù)時(shí)是這么說的,這些數(shù)據(jù)是從安全公司Qualys那里竊取的。
“下載速度如此之慢,以至于一些用戶聲稱他們花了近一周的時(shí)間才下載到第一個(gè)數(shù)據(jù)集,而據(jù)報(bào)道,其他用戶放棄了,”Righi說。
數(shù)據(jù)泄露網(wǎng)站和支付門戶網(wǎng)站的托管也使它們成為執(zhí)法機(jī)構(gòu)的目標(biāo)。REvil似乎發(fā)生了什么事,當(dāng)管理員啟動(dòng)操作的Tor-based網(wǎng)站,卻發(fā)現(xiàn)別人——也許前管理員,也許一位執(zhí)法官員,也許——也都設(shè)置的副本文件,允許他們劫持REvil Tor的網(wǎng)站。
(Q3 2021勒索受者行業(yè)排行)
7. 運(yùn)營者面臨暴露的風(fēng)險(xiǎn)
一些勒索軟件運(yùn)營似乎特別賺錢,部分原因是一些受害者支付了價(jià)值數(shù)百萬美元的加密貨幣贖金。
最近,德國周報(bào)《Die Zeit》報(bào)道稱,德國警方認(rèn)為他們已經(jīng)確認(rèn)了REvil的一名疑似領(lǐng)導(dǎo)人,他自稱是比特幣企業(yè)家,名叫“Nikolay k”。——這不是他的真名——部分原因是追蹤了與GandCrab攻擊有關(guān)的加密貨幣,GandCrab是REvil的前身。據(jù)報(bào)道,警方在跟蹤了據(jù)信是2019年受害者之一斯圖加特國家劇院支付給GandCrab的價(jià)值1.7萬美元的加密貨幣后確定了他的身份,并發(fā)現(xiàn)它與 Nikolay K的一個(gè)電子郵件賬戶有關(guān)。
據(jù)《Die Zeit》報(bào)道,如果他是REvil的管理人員,這將有助于解釋他的妻子在社交媒體上記錄的奢華生活方式,包括游艇度假,手腕上戴著豪華Vanguard Encrypto手表,車道上停著一輛高端寶馬。
但是,受勒索軟件驅(qū)動(dòng)的生活方式和保持匿名的嘗試也可能對(duì)從業(yè)者造成損害。
例如,10月22日,Groove勒索軟件的管理員(網(wǎng)名為Orange)在Groove的數(shù)據(jù)泄露網(wǎng)站上發(fā)布了一條消息,稱整個(gè)行動(dòng)是一場(chǎng)旨在挑戰(zhàn)西方媒體的實(shí)驗(yàn)。他還用TetyaSluha和boriselcin來形容俄羅斯首任當(dāng)選總統(tǒng)葉利欽。這則消息是由boriselcin在XSS網(wǎng)絡(luò)犯罪論壇上發(fā)布的。
他的帖子“聲稱沒有Groove團(tuán)伙這樣的東西,整個(gè)事件的背后是一個(gè)人,他與許多勒索軟件附屬程序合作,包括BlackMatter、LockBit等,”Kela的威脅研究主管維多利亞·基維列維奇(Victoria Kivilevich)告訴信息安全媒體集團(tuán)。“作者聲稱,他被要求寫一篇關(guān)于大眾媒體操縱的文章,Groove網(wǎng)站就是為此而創(chuàng)建的。”
McAfee Enterprise高級(jí)威脅研究(Advanced Threat Research)首席工程師、網(wǎng)絡(luò)調(diào)查主管約翰?福克(John Fokker)建議,對(duì)所有刑事指控都要抱有強(qiáng)烈的懷疑態(tài)度。“不管Groove是不是惡作劇,他們或他都與多個(gè)漏洞有關(guān)。所以這對(duì)受害者來說絕對(duì)不是一個(gè)騙局,”他說。
一些勒索軟件頭目傾向于通過在俄語網(wǎng)絡(luò)犯罪論壇發(fā)帖發(fā)泄情緒,而不是簡(jiǎn)單地拿了錢然后悄悄退出,這也表明,他們承受著越來越大的壓力,要保持行動(dòng)的節(jié)奏,如果不能保持匿名的話。福克說:“我認(rèn)為這種情緒確實(shí)在高漲,如果執(zhí)法部門開始打擊,我們可以預(yù)期更多的這種情緒爆發(fā)。
