在全球迎來(lái)第二個(gè)反勒索軟件日之際,,我們無(wú)法否認(rèn):勒索軟件已經(jīng)成為安全領(lǐng)域的熱門詞匯,。這并非沒(méi)有充分的理由,,這種威脅可能存在了很長(zhǎng)時(shí)間,但現(xiàn)在已經(jīng)發(fā)生改變了,。年復(fù)一年,,攻擊者的膽子越來(lái)越大,方法也越來(lái)越精煉,,當(dāng)然,,系統(tǒng)也被攻破了。然而,,勒索軟件得到的大部分媒體關(guān)注都集中在記錄哪些公司成為其目標(biāo)上,。這篇報(bào)道將從每天的勒索軟件新聞中退出,問(wèn)題的核心,,了解它是如何組織的,。
首先,我們將揭穿三個(gè)阻礙正確思考勒索軟件威脅的先入之見(jiàn),。接下來(lái),,我們深入研究暗網(wǎng),展示網(wǎng)絡(luò)罪犯如何相互交流,,以及他們所提供的服務(wù)類型,。最后,我們以兩個(gè)著名的勒索軟件團(tuán)伙結(jié)尾:REvil和Babuk,。
在開(kāi)始閱讀之前,,請(qǐng)確保您的數(shù)據(jù)已安全備份,!
第一部分:關(guān)于勒索軟件的三個(gè)先入之見(jiàn)
先入之見(jiàn)一:勒索軟件團(tuán)伙就是團(tuán)伙
隨著2020年活動(dòng)的興起,,我們看到了勒索軟件世界中許多知名團(tuán)伙的出現(xiàn)。犯罪分子發(fā)現(xiàn),,受害者如果能夠事先建立某種信譽(yù),,就更有可能支付贖金。為了確保他們恢復(fù)加密文件的能力永遠(yuǎn)不會(huì)受到質(zhì)疑,,他們?cè)诰W(wǎng)上樹(shù)立了自己的形象,,撰寫新聞稿,并確保所有潛在受害者都知道他們的名字,。
但是,,通過(guò)將自己置于眾人關(guān)注之下,這些組織掩蓋了勒索軟件生態(tài)系統(tǒng)的實(shí)際復(fù)雜性。從外部看,,它們似乎是單個(gè)實(shí)體,。但實(shí)際上它們只是矛尖。在大多數(shù)攻擊中,,都涉及大量的參與者,,一個(gè)關(guān)鍵的要點(diǎn)是;他們通過(guò)暗網(wǎng)市場(chǎng)相互提供服務(wù),。
Botmaster和帳戶銷售商的任務(wù)是提供受害者網(wǎng)絡(luò)內(nèi)部的初始訪問(wèn)權(quán)限,。這個(gè)生態(tài)系統(tǒng)的其他成員(為了方便討論,,將其命名為red team)使用初始訪問(wèn)權(quán)來(lái)獲得對(duì)目標(biāo)網(wǎng)絡(luò)的完全控制,。在這個(gè)過(guò)程中,,他們會(huì)收集受害者的信息,,并竊取內(nèi)部文件,。
這些文件可能會(huì)被外包給分析師團(tuán)隊(duì),,這些分析師將試圖計(jì)算出目標(biāo)的實(shí)際財(cái)務(wù)狀況,,以便確定他們可能支付的最高贖金價(jià)格,。分析師還將留意任何可能用于支持其勒索策略的敏感信息或暗示性信息,,目的是向決策者施加最大壓力,。
當(dāng)red team準(zhǔn)備發(fā)動(dòng)攻擊時(shí),它會(huì)從暗網(wǎng)開(kāi)發(fā)人員那里購(gòu)買勒索軟件產(chǎn)品,,通常以贖金分成作為交換,。這里的一個(gè)可選角色是packer 的開(kāi)發(fā)者,他們可以為勒索軟件程序添加保護(hù)層,,使安全產(chǎn)品更難檢測(cè)到它,。
最后,與受害者談判可能由另外的團(tuán)隊(duì)來(lái)處理,,當(dāng)支付贖金時(shí),,需要一套全新的技能來(lái)清洗所獲得的加密貨幣。
最有趣的是,,“勒索軟件價(jià)值鏈(ransomware value chain)”中的各種參與者不需要彼此認(rèn)識(shí),,事實(shí)上他們也不需要。它們通過(guò)互聯(lián)網(wǎng)進(jìn)行交互,,用加密貨幣支付服務(wù)費(fèi)用,。因此,逮捕任何這些實(shí)體(雖然有助于威懾目的)對(duì)減緩生態(tài)系統(tǒng)幾乎沒(méi)有作用,,因?yàn)闊o(wú)法獲得共犯的身份,,而其他供應(yīng)者將立即填補(bǔ)這一空白。
我們必須將勒索軟件世界理解為一個(gè)生態(tài)系統(tǒng),,并以此來(lái)對(duì)待它: 這是一個(gè)只能系統(tǒng)地解決的問(wèn)題,,例如,,通過(guò)阻止資金在這個(gè)生態(tài)系統(tǒng)內(nèi)流通——這首先是從一開(kāi)始就不支付贖金。
先入之見(jiàn)二:有針對(duì)性的勒索軟件就是有針對(duì)性的
在選擇受害者的方式方面,,前面對(duì)勒索軟件生態(tài)系統(tǒng)的描述具有顯著意義,。是的,犯罪團(tuán)伙越來(lái)越肆無(wú)忌憚,,索要的贖金也越來(lái)越多,。但勒索軟件攻擊也有機(jī)會(huì)主義的一面。據(jù)我們所知,,這些團(tuán)伙并沒(méi)有仔細(xì)閱讀英國(guó)《金融時(shí)報(bào)》來(lái)決定他們的下一個(gè)目標(biāo),。
萬(wàn)萬(wàn)沒(méi)想到,獲得對(duì)受害者網(wǎng)絡(luò)的初始訪問(wèn)權(quán)的人不是后來(lái)部署勒索軟件的人,,因此需要將訪問(wèn)收集視為一個(gè)完全獨(dú)立的業(yè)務(wù),。為了使其可行,賣家需要源源不斷的“產(chǎn)品”,?;〝?shù)周的時(shí)間試圖突破像《財(cái)富》 500強(qiáng)公司這樣的既定目標(biāo),在財(cái)務(wù)上并不明智,,因?yàn)檫@不能保證成功,。取而代之的是,準(zhǔn)入賣家追求更低的目標(biāo),。這種渠道主要有兩個(gè)來(lái)源:
僵尸網(wǎng)絡(luò)所有者,。眾所周知的惡意軟件家族參與了規(guī)模最大、影響最廣的活動(dòng),。他們的主要目標(biāo)是創(chuàng)建受感染計(jì)算機(jī)的網(wǎng)絡(luò),,盡管目前感染還處于休眠狀態(tài)。僵尸網(wǎng)絡(luò)所有者(botmaster)將大量受害機(jī)器的訪問(wèn)權(quán)限作為一種資源出售,,可以通過(guò)多種方式獲利,,比如發(fā)起DDoS攻擊、分發(fā)垃圾郵件,,或者在勒索軟件的情況下,,利用這種初始感染在潛在目標(biāo)上獲得立足點(diǎn)。
訪問(wèn)權(quán)限的賣家,。黑客正在尋找面向互聯(lián)網(wǎng)的軟件(例如VPN設(shè)備或電子郵件網(wǎng)關(guān))中公開(kāi)披露的漏洞(1-days),。一旦這樣的漏洞被披露,,它們就會(huì)在防御者應(yīng)用相應(yīng)的更新之前破壞盡可能多的受影響的服務(wù)器,。
出售對(duì)組織的RDP的訪問(wèn)權(quán)的報(bào)價(jià)示例
在這兩種情況下,在這兩種情況下,,只有在攻擊者退后一步,,弄清楚他們?nèi)肭至苏l(shuí),,以及這次感染是否可能導(dǎo)致支付贖金之后。勒索軟件生態(tài)系統(tǒng)中的參與者不做目標(biāo)鎖定,,因?yàn)樗麄儙缀鯊牟贿x擇攻擊特定的組織,。了解這一事實(shí),突顯出企業(yè)及時(shí)更新面向互聯(lián)網(wǎng)的服務(wù)的重要性,,并有能力在這些服務(wù)被用于不法行為之前發(fā)現(xiàn)潛伏感染,。
先入之見(jiàn)三:網(wǎng)絡(luò)犯罪分子就是罪犯
好吧,嚴(yán)格來(lái)說(shuō),,他們是,。但由于勒索軟件生態(tài)系統(tǒng)的多樣性,這也是一個(gè)遠(yuǎn)不止表面所見(jiàn)的領(lǐng)域,。當(dāng)然,,在勒索軟件生態(tài)系統(tǒng)和其他網(wǎng)絡(luò)犯罪領(lǐng)域(如刷卡或銷售點(diǎn)(PoS)黑客)之間存在著一種有記錄的松散性。但值得指出的是,,并非這個(gè)生態(tài)系統(tǒng)的所有成員都來(lái)自網(wǎng)絡(luò)犯罪的黑社會(huì),。在過(guò)去,高調(diào)的勒索軟件攻擊被用作一種破壞性手段,??梢哉J(rèn)為有些APT參與者仍在采取類似的策略來(lái)破壞對(duì)手經(jīng)濟(jì)體的穩(wěn)定,同時(shí)又保持很強(qiáng)的可否認(rèn)性,,這并非不合理,。
同樣,去年發(fā)布的一份有關(guān)拉撒路團(tuán)伙嘗試大目標(biāo)的報(bào)告,。ClearSky發(fā)現(xiàn)了類似的活動(dòng),,他們將其歸因于Fox Kitten APT。研究人員注意到,,勒索軟件攻擊的明顯盈利能力吸引了一些國(guó)家支持的黑客來(lái)到這個(gè)生態(tài)系統(tǒng),,以此作為規(guī)避國(guó)際制裁的一種方式。
數(shù)據(jù)表明,,這種勒索軟件攻擊僅占總數(shù)的一小部分,。盡管它們并不能代表公司需要采取什么防御措施,但它們的存在給受害者帶來(lái)了額外的風(fēng)險(xiǎn),。2020年10月1日,,美國(guó)財(cái)政部OFAC發(fā)布了一份備忘錄,闡明向攻擊者匯款的公司需要確保收款人不受國(guó)際制裁,。該聲明似乎已經(jīng)生效,,因?yàn)樗呀?jīng)影響了勒索軟件市場(chǎng)。毫無(wú)疑問(wèn),,對(duì)勒索軟件運(yùn)營(yíng)商進(jìn)行盡職調(diào)查本身就是一個(gè)挑戰(zhàn),。
第二部分:暗網(wǎng)惡作劇
通過(guò)市場(chǎng)通道
當(dāng)涉及到在暗網(wǎng)上銷售與網(wǎng)絡(luò)犯罪相關(guān)的數(shù)字商品或服務(wù)時(shí),,大多數(shù)信息都集中在幾個(gè)大型平臺(tái)上,盡管有多個(gè)小型主題平臺(tái)專注于一個(gè)主題或產(chǎn)品,。我們分析了三個(gè)主要的與勒索軟件相關(guān)的報(bào)價(jià)的論壇,。這些論壇是使用勒索軟件的網(wǎng)絡(luò)犯罪分子交流和交易的主要平臺(tái)。雖然論壇上有數(shù)百個(gè)各種各樣的廣告和報(bào)價(jià),,但為了進(jìn)行分析,,我們只挑選了幾十個(gè)報(bào)價(jià),這些報(bào)價(jià)都經(jīng)過(guò)了論壇管理部門的驗(yàn)證,,并具有良好聲譽(yù)的團(tuán)體發(fā)布,。這些廣告包括各種各樣的報(bào)價(jià),從源代碼的銷售到定期更新的招聘廣告,,有英語(yǔ)和俄語(yǔ)版本,。
不同類型的報(bào)價(jià)
如前所述,勒索軟件生態(tài)系統(tǒng)由扮演不同角色的參與者組成,。暗網(wǎng)的論壇部分反映了這種情況,,盡管這些市場(chǎng)上的報(bào)價(jià)主要是為了銷售或招聘。就像在任何市場(chǎng)上一樣,,當(dāng)運(yùn)營(yíng)商需要某些東西時(shí),,他們會(huì)在論壇上主動(dòng)更新廣告展示位置,并在滿足需求后立即將其撤下,。勒索軟件開(kāi)發(fā)人員和附屬勒索軟件程序的運(yùn)營(yíng)商(以下簡(jiǎn)稱“勒索軟件即服務(wù)”)提供以下功能:
· 邀請(qǐng)加入合作伙伴網(wǎng)絡(luò),,針對(duì)勒索軟件運(yùn)營(yíng)商的聯(lián)盟計(jì)劃
· 勒索軟件源代碼或勒索軟件生成器的廣告
第一種類型的參與假定勒索軟件運(yùn)營(yíng)者與會(huì)員之間存在長(zhǎng)期的合作關(guān)系。通常,,會(huì)獲得20%到40%的利潤(rùn)分成,,而剩下的60-80%會(huì)留給附屬會(huì)員。
在合作伙伴計(jì)劃中列出付款條件的要約示例
當(dāng)許多勒索軟件運(yùn)營(yíng)商在尋找合作伙伴時(shí),,一些人在出售勒索軟件源代碼或DIY勒索軟件包,。報(bào)價(jià)從300美元到5000美元不等。
就勒索軟件的技術(shù)熟練程度和賣方投入的精力而言,,出售勒索軟件源代碼或泄露樣本是從勒索軟件獲利的最簡(jiǎn)單方法,。但是,由于源代碼和示例會(huì)很快失去其價(jià)值,,因此此類提議的收益也最少,。有兩種不同類型的報(bào)價(jià)–有和沒(méi)有支持。如果購(gòu)買的勒索軟件沒(méi)有支持,,那么一旦被網(wǎng)絡(luò)安全解決方案檢測(cè)到,,勒索軟件購(gòu)買者就需要自己弄清楚如何重新包裝,或者找到一個(gè)提供樣本重新包裝的服務(wù)——這仍然很容易被安全解決方案檢測(cè)到,。
提供支持的服務(wù)(誠(chéng)然,,在金融惡意軟件市場(chǎng)中更為普遍)通常會(huì)提供定期更新并做出有關(guān)惡意軟件更新的決策。
在這方面,,與2017年相比,,暗網(wǎng)論壇的報(bào)價(jià)沒(méi)有太大變化。
勒索軟件開(kāi)發(fā)人員有時(shí)將構(gòu)建程序和源代碼宣傳為一次性購(gòu)買,,沒(méi)有客戶支持
提供勒索軟件訂閱和附加服務(wù)看起來(lái)與任何其他合法產(chǎn)品的廣告非常相似,,只是利益和價(jià)格范圍不同
暗網(wǎng)中看不到一些大型團(tuán)伙
盡管暗網(wǎng)上提供的報(bào)價(jià)數(shù)量和范圍肯定不小,但市場(chǎng)并不能反映整個(gè)勒索軟件生態(tài)系統(tǒng),。一些大型勒索軟件團(tuán)伙要么獨(dú)立工作,,要么直接尋找合作伙伴(例如,據(jù)我們所知,,Ryuk在Trickbot感染后能夠訪問(wèn)其某些受害者的系統(tǒng),,這表明兩個(gè)團(tuán)體之間存在潛在的伙伴關(guān)系)。因此,,論壇通常會(huì)托管較小的參與者-要么是中等規(guī)模的RaaS運(yùn)營(yíng)商,,要么是出售源代碼的較小參與者或新手。
暗網(wǎng)上會(huì)員的基本規(guī)則
勒索軟件市場(chǎng)是一個(gè)封閉的市場(chǎng),,其背后的運(yùn)營(yíng)商對(duì)選擇與誰(shuí)合作非常謹(jǐn)慎,。這種謹(jǐn)慎反映在運(yùn)營(yíng)商在選擇合作伙伴時(shí)投放的廣告和附加的標(biāo)準(zhǔn)中。
第一個(gè)通用規(guī)則是對(duì)運(yùn)營(yíng)商的地理限制,。當(dāng)惡意軟件操作員與合作伙伴合作時(shí),,他們避免在其所在轄區(qū)使用惡意軟件。嚴(yán)格遵守此規(guī)則,,不遵守此規(guī)則的合作伙伴會(huì)很快失去訪問(wèn)他們一直合作的項(xiàng)目的機(jī)會(huì),。
此外,運(yùn)營(yíng)商會(huì)篩選潛在的合作伙伴,,例如檢查他們聲稱來(lái)自的那個(gè)國(guó)家/地區(qū)的知識(shí),,如下例所示,來(lái)減少雇用臥底警察的機(jī)會(huì),。他們還可能根據(jù)其政治觀點(diǎn)對(duì)某些國(guó)籍施加限制,。這些只是運(yùn)營(yíng)商試圖確保其安全性的一些方式。
在此示例中,,該團(tuán)伙建議通過(guò)詢問(wèn)有關(guān)前蘇聯(lián)共和國(guó)的歷史和通常只有俄語(yǔ)為母語(yǔ)的人才能回答的晦澀問(wèn)題來(lái)審查新的附屬組織
根據(jù)這則廣告,,Avaddon可能會(huì)考慮說(shuō)英語(yǔ)的會(huì)員,如果他們已經(jīng)建立聲譽(yù)或可以提供保證金
案例
為了更詳細(xì)的概述,,我們選擇了2021年最值得注意的兩個(gè)大型勒索軟件,。
第一個(gè)是REvil(又名Sodinokibi)團(tuán)伙。自2019年以來(lái),,該勒索軟件已經(jīng)在暗網(wǎng)上進(jìn)行了廣告宣傳,,并以RaaS運(yùn)營(yíng)商的身份享有很高的聲譽(yù),。該團(tuán)伙的名字REvil經(jīng)常出現(xiàn)在信息安全社區(qū)的新聞?lì)^條上。2021年,,REvil運(yùn)營(yíng)商索要的贖金最高,。
另一個(gè)是Babuk locker.。Babuk是2021年發(fā)現(xiàn)的第一個(gè)新的RaaS團(tuán)伙,,表明其活動(dòng)量很大,。
REvil
由REvil投放的廣告示例
REvil是最多產(chǎn)的RaaS運(yùn)營(yíng)之一。該團(tuán)伙的第一次活動(dòng)是在2019年4月,,在另一個(gè)現(xiàn)已停止的勒索軟件團(tuán)伙GandCrab被關(guān)閉之后,。
為了分發(fā)勒索軟件,REvil與在網(wǎng)絡(luò)犯罪論壇上雇用的附屬機(jī)構(gòu)合作,。贖金需求基于受害者的年收入,,而分銷商可以獲得贖金的60%到75%。使用門羅幣(XMR)加密貨幣用于支付,。根據(jù)對(duì)REvil運(yùn)營(yíng)商的采訪,,該團(tuán)伙從2020年的運(yùn)營(yíng)中獲得了超過(guò)1億美元的收入。
開(kāi)發(fā)人員會(huì)定期更新REvil勒索軟件,,以避免被檢測(cè),,并提高持續(xù)攻擊的可靠性。該團(tuán)伙在黑客論壇的各種帖子中公布所有的重大更新和新合作伙伴的項(xiàng)目,。2021年4月18日,,開(kāi)發(fā)人員宣布勒索軟件的* nix實(shí)施正在進(jìn)行封閉測(cè)試。
REvil通知了勒索軟件的* nix實(shí)施的內(nèi)部測(cè)試
技術(shù)細(xì)節(jié)
REvil使用Salsa20對(duì)稱流算法通過(guò)橢圓曲線非對(duì)稱算法來(lái)加密文件和密鑰的內(nèi)容,。該惡意軟件樣本有一個(gè)加密的配置塊,,其中包含許多字段,攻擊者可以對(duì)該負(fù)載進(jìn)行微調(diào),。該執(zhí)行文件可以在加密前終止黑名單進(jìn)程,,竊取主機(jī)基本信息,可以對(duì)本地存儲(chǔ)設(shè)備和網(wǎng)絡(luò)共享上的未列入白名單的文件和文件夾進(jìn)行加密,。
現(xiàn)在,,勒索軟件主要通過(guò)受損的RDP訪問(wèn)、網(wǎng)絡(luò)釣魚和軟件漏洞進(jìn)行分發(fā),。附屬機(jī)構(gòu)負(fù)責(zé)獲得對(duì)公司網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限并部署locker——RaaS模型的標(biāo)準(zhǔn)實(shí)踐,。應(yīng)該注意的是,該團(tuán)伙對(duì)新成員的招募有非常嚴(yán)格的規(guī)定:REvil只招募會(huì)說(shuō)俄語(yǔ),、有進(jìn)入網(wǎng)絡(luò)經(jīng)驗(yàn)的高技能合作伙伴,。
成功攻擊后,會(huì)有特權(quán)提升,偵察和橫向移動(dòng),。然后操作員對(duì)敏感文件進(jìn)行評(píng)估,、竊取和加密。下一步是與被攻擊的公司談判,。如果受害者決定不支付贖金,,那么REvil操作員將開(kāi)始在。onion Happy Blog網(wǎng)站上發(fā)布受攻擊公司的敏感數(shù)據(jù),。在數(shù)據(jù)泄露網(wǎng)站上公布泄露的機(jī)密數(shù)據(jù)的策略,,最近已經(jīng)成為Big Game Hunting的主流,。
REvil博客上的帖子示例,,其中包括從受害者那里竊取的數(shù)據(jù)
值得注意的是,勒索軟件運(yùn)營(yíng)商已經(jīng)開(kāi)始利用語(yǔ)音呼叫其業(yè)務(wù)伙伴和記者并使用DDoS攻擊,,迫使受害者支付贖金,。據(jù)該運(yùn)營(yíng)商稱,2021年3月,,該團(tuán)伙推出了一項(xiàng)無(wú)需額外費(fèi)用的服務(wù),,讓會(huì)員組織聯(lián)系受害者的合作伙伴和媒體,以施加最大壓力,,再加上DDoS (L3, L7)作為付費(fèi)服務(wù),。
REvil宣布了一項(xiàng)新功能,可以安排給媒體和目標(biāo)伙伴的電話,,以便在要求贖金時(shí)施加額外壓力
據(jù)研究,,該惡意軟件影響了近20個(gè)行業(yè)。受害比例最大的行業(yè)是工程與制造(30%),,其次是金融(14%),、專業(yè)與消費(fèi)者服務(wù)(9%)、法律(7%)以及IT與電信(7%),。
這場(chǎng)攻擊運(yùn)動(dòng)的受害者包括通濟(jì)?。═ravelex)、百富門(Brown-Forman Corp.),、制藥集團(tuán)皮埃爾,?法布爾(Pierre Fabre)以及知名律師事務(wù)所格魯伯曼?夏爾,?梅塞拉斯與薩克斯(Grubman Shire Meiselas & Sacks)等公司,。2021年3月,該團(tuán)伙侵入宏碁,,索要5000萬(wàn)美元的贖金,,創(chuàng)下歷史最高紀(jì)錄。
2021年4月18日,REvil團(tuán)伙的一名成員宣布,,該團(tuán)伙在招募新成員的論壇上發(fā)帖稱,,該組織即將宣布發(fā)動(dòng)“有史以來(lái)最高調(diào)的攻擊”4月20日,該組織在Happy Blog網(wǎng)站上發(fā)布了許多據(jù)稱是Apple設(shè)備的設(shè)計(jì)圖紙,。根據(jù)攻擊者稱,,數(shù)據(jù)是從Quanta的網(wǎng)絡(luò)中竊取的。Quanta Computer是中國(guó)臺(tái)灣的一家制造商,,也是Apple的合作伙伴之一,。Quanta最初的贖金要求為5000萬(wàn)美元。
在過(guò)去的幾個(gè)季度中,,REvil的目標(biāo)活動(dòng)激增
REvil是Big GameHunting的典型代表,。2021年,我們將看到為獲取敏感公司數(shù)據(jù)而索要更多贖金的趨勢(shì),。使用新戰(zhàn)術(shù)向受害者施壓,,積極開(kāi)發(fā)非windows版本,定期招募新分支機(jī)構(gòu),,所有這些都表明,,攻擊的數(shù)量和規(guī)模只會(huì)2021年增加。
Babuk
Babuk locker是2021年大型勒索攻擊活動(dòng)中的另一團(tuán)伙,。在2021年初,,我們發(fā)現(xiàn)了數(shù)起涉及該勒索軟件的事件。
2021年4月底,, Babuk背后的攻擊者宣布活動(dòng)結(jié)束,,稱他們將公開(kāi)其源代碼,以便“做類似開(kāi)源RaaS的事情”,。這意味著我們可能會(huì)看到一波新的勒索軟件活動(dòng),,只要各種較小的攻擊團(tuán)伙采用泄露的源代碼進(jìn)行他們的操作。我們已經(jīng)在其他RaaS和MaaS項(xiàng)目中看到過(guò)這種情況——去年針對(duì)Android的Cerberus銀行木馬就是一個(gè)很好的例子,。
Babuk關(guān)于終止運(yùn)營(yíng)的公告
該團(tuán)伙顯然為每個(gè)受害者定制了獨(dú)特的樣本,,因?yàn)樗ńM織的硬編碼名稱、個(gè)人勒索軟件注釋以及加密文件的擴(kuò)展名,。Babuk的運(yùn)營(yíng)商還使用RaaS模型,。在感染之前,分支機(jī)構(gòu)或運(yùn)營(yíng)商會(huì)破壞目標(biāo)網(wǎng)絡(luò),,因此他們可以確定如何有效安裝勒索軟件并評(píng)估敏感數(shù)據(jù),,從而為受害者設(shè)置最高的現(xiàn)實(shí)勒索價(jià)格。巴布克(Babuk)背后的團(tuán)隊(duì)將其小組定義為使用RDP作為感染媒介“隨機(jī)測(cè)試企業(yè)網(wǎng)絡(luò)安全性”的賽博朋克(CyberPunks),。該團(tuán)伙將80%的贖金交給其會(huì)員,。
Babuk投放的廣告示例
Babuk在俄語(yǔ)和英語(yǔ)的黑客論壇上做廣告。2021年1月開(kāi)始,一個(gè)論壇上出現(xiàn)了有關(guān)新勒索軟件Babuk的公告,,隨后的帖子主要關(guān)注更新和會(huì)員招募,。
Babuk向新聞界發(fā)表的聲明解釋了他們的策略和受害者選擇
Babuk的白名單防止針對(duì)以下國(guó)家/地區(qū):中國(guó)、越南,、塞浦路斯,、俄羅斯和其他獨(dú)聯(lián)體國(guó)家。根據(jù)ZoomInfo的數(shù)據(jù),,運(yùn)營(yíng)商還禁止攻擊醫(yī)院,、非營(yíng)利慈善機(jī)構(gòu)和年收入低于3000萬(wàn)美元的公司。要加入會(huì)員計(jì)劃,,合作伙伴必須通過(guò)有關(guān)Hyper-V和ESXi虛擬機(jī)管理程序的面試,。
Babuk可能是第一個(gè)因?yàn)楣_(kāi)宣布對(duì)LGBT和BLM(黑人生命也重要)社區(qū)持負(fù)面態(tài)度的勒索軟件團(tuán)伙而登上頭條。正是由于這個(gè)事實(shí),,該組織將這些社區(qū)排除在他們的白名單之外,。但在Babuk數(shù)據(jù)泄露網(wǎng)站上的一篇關(guān)于兩個(gè)月工作結(jié)果的帖子中,,該團(tuán)伙報(bào)告稱,,他們已經(jīng)將LGBT和BLM基金會(huì)以及慈善組織列入了白名單。
技術(shù)細(xì)節(jié)
關(guān)于加密算法,,Babuk使用與橢圓曲線Diffie-Hellman(ECDH)結(jié)合的對(duì)稱算法,。加密成功后,該惡意軟件會(huì)在每個(gè)處理過(guò)的目錄中添加“How To Restore Your Files.txt”,。除了文本之外,,贖金記錄還包含指向一些被竊取數(shù)據(jù)的屏幕截圖的鏈接列表。這證明惡意軟件樣本是在受害者的數(shù)據(jù)被泄露之后被制作的,。如上所述,,每個(gè)樣本都是針對(duì)特定目標(biāo)定制的。
在贖金記錄中,,該團(tuán)伙還建議受害者使用其個(gè)人聊天門戶網(wǎng)站進(jìn)行談判,。這些步驟并不僅限于Babuk,但通常出現(xiàn)在Big Game Hunting中很常見(jiàn),。值得注意的是,,贖金記錄的文本還包含一個(gè)指向。onion數(shù)據(jù)泄露站點(diǎn)上相關(guān)帖子的私有鏈接,,該鏈接無(wú)法從該站點(diǎn)的主頁(yè)上訪問(wèn),。這里有一些屏幕截圖,以及關(guān)于被盜文件類型的文字描述,,以及針對(duì)受害者的一般威脅,。如果受害者決定不與網(wǎng)絡(luò)罪犯談判,則此帖子的鏈接將公開(kāi)。
Babuk locker背后的組織主要針對(duì)歐洲,、美國(guó)和大洋洲的大型工業(yè)組織,。目標(biāo)行業(yè)包括但不限于運(yùn)輸服務(wù)、醫(yī)療保健部門以及各種工業(yè)設(shè)備供應(yīng)商,。實(shí)際上,,最近的案例表明Babuk運(yùn)營(yíng)商正在擴(kuò)大目標(biāo)范圍。4月26日,,華盛頓特區(qū)警察局證實(shí)其網(wǎng)絡(luò)被攻破,,Babuk的運(yùn)營(yíng)商聲稱對(duì)此事負(fù)責(zé),并在他們的,。onion數(shù)據(jù)泄露網(wǎng)站宣布了此次攻擊,。
Babuk宣布成功襲擊DC警察局
根據(jù)該網(wǎng)站上的帖子,該團(tuán)伙從華盛頓特區(qū)警察局網(wǎng)絡(luò)中竊取了超過(guò)250GB的數(shù)據(jù),。截至撰寫本文時(shí),,警察部門有三天時(shí)間與攻擊者進(jìn)行談判;否則,,該組織將開(kāi)始向犯罪團(tuán)伙泄露數(shù)據(jù),。Babuk還警告稱,它將繼續(xù)攻擊美國(guó)國(guó)有企業(yè),。
Babuk從DC警察局網(wǎng)絡(luò)竊取的文件的屏幕截圖發(fā)布在泄露網(wǎng)站上
結(jié)論
2021年4月23日,,我們發(fā)布了勒索軟件統(tǒng)計(jì)數(shù)據(jù),顯示遭受該威脅的用戶數(shù)量顯著下降,。這些數(shù)字不應(yīng)該被曲解:盡管隨機(jī)個(gè)體遭受勒索軟件的可能性確實(shí)比過(guò)去要少,,但公司面臨的風(fēng)險(xiǎn)從未如此之高。
勒索軟件生態(tài)系統(tǒng)一直渴望利潤(rùn)最大化,,因此已經(jīng)發(fā)展起來(lái),,現(xiàn)在可以被視為對(duì)全球公司的系統(tǒng)性威脅。
曾經(jīng)有一段時(shí)間,,中小企業(yè)大多可以忽略信息安全帶來(lái)的挑戰(zhàn):它們足夠小,,可以不受APT攻擊者的監(jiān)視,但又足夠大,,不會(huì)受到隨機(jī)和一般攻擊的影響,。那些日子過(guò)去了,現(xiàn)在所有的公司都必須做好防范犯罪團(tuán)伙的準(zhǔn)備,。
值得慶幸的是,,此類攻擊者通常會(huì)搶先一步,而建立適當(dāng)?shù)陌踩胧⒋笥凶鳛椤?/p>
在5月12日(即反勒索軟件日),,卡巴斯基鼓勵(lì)組織遵循以下最佳做法,,以保護(hù)您的組織免受勒索軟件的侵害:
經(jīng)常更新所有設(shè)備上的軟件,,以防止攻擊者利用漏洞滲透到您的網(wǎng)絡(luò)。
將防御策略的重點(diǎn)放在檢測(cè)橫向移動(dòng)和數(shù)據(jù)泄露上,。要特別注意傳出的流量,,以檢測(cè)網(wǎng)絡(luò)犯罪連接。設(shè)置入侵者無(wú)法篡改的脫機(jī)備份,,確保在緊急情況下可以快速訪問(wèn)它們,。
為了保護(hù)公司環(huán)境,請(qǐng)培訓(xùn)您的員工,。專門的培訓(xùn)課程可以提供幫助,。
對(duì)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)安全審核,并修復(fù)在外部或內(nèi)部發(fā)現(xiàn)的所有漏洞,。
對(duì)所有端點(diǎn)啟用勒索軟件保護(hù),。
安裝防APT和EDR解決方案,以實(shí)現(xiàn)高級(jí)威脅發(fā)現(xiàn)和檢測(cè),、調(diào)查和及時(shí)補(bǔ)救事件的功能,。
如果您成為受害者,切勿支付贖金,。它不能保證您能取回?cái)?shù)據(jù),,但會(huì)鼓勵(lì)犯罪分子繼續(xù)其活動(dòng)。相反,,應(yīng)將事件報(bào)告給您當(dāng)?shù)氐膱?zhí)法機(jī)構(gòu),。試著在互聯(lián)網(wǎng)上找到一個(gè)解密器,,例如:https://www.nomoreransom.org/en/index.html