文章摘要:勒索软件行业无疑已经发展了很长一段时间,从早期的AIDS木马到如今非常商业化的勒索即服务模型(RaaS),掠夺了各种规模的企业。现在,一种名为“双重勒索”的新型勒索软件技术正在随着疫情的爆发而迅猛发展,这种技术不仅可以锁定公司的文件,而且可以迫使公司支付赎金,否则其数据就会被公开泄露。随着勒索软件攻击的增加,这种勒索软件的发展使公司以及使用这些公司产品的消费者处于困境。看看这些数字,很容易就能看出
勒索软件行业无疑已经发展了很长一段时间,从早期的AIDS木马到如今非常商业化的勒索即服务模型(RaaS),掠夺了各种规模的企业。现在,一种名为“双重勒索”的新型勒索软件技术正在随着疫情的爆发而迅猛发展,这种技术不仅可以锁定公司的文件,而且可以迫使公司支付赎金,否则其数据就会被公开泄露。
随着勒索软件攻击的增加,这种勒索软件的发展使公司以及使用这些公司产品的消费者处于困境。看看这些数字,很容易就能看出为什么:
- 70%的勒索软件受害企业已支付了赎金,金额在20,000至40,000美元之间
- 勒索软件受害的消费者支付了$ 500- $ 1,000勒索赎金
- 预计到2021年,勒索软件将会使网络犯罪分子净赚200亿美元
- 2019年-2023年期间,网络犯罪可能使企业蒙受5.2万亿美元的额外成本和收入损失
更糟糕的是,网络犯罪团伙针对各种规模的组织:2019年网络犯罪受害者中有62%是中小型企业。
但是,担心勒索软件不断上升的威胁的不仅仅是企业。Luca mela是一家追踪名为“双重勒索”的勒索软件新策略的网站的创建者,Luca Mella告诉Cyber News,相较关于企业受到勒索软件的新闻,消费者显然应该更担心。“由于双重勒索,在罪犯手中会传输大量数据,在许多情况下甚至是数百GB(千兆字节)。”
他说,这非常令人担忧。“当知道您的个人数据、身份证件扫描件、简历、账单、工资单、采购订单或任何其他此类信息正在被国际犯罪组织、国际犯罪分子或是本地诈骗犯获取时,会有何感想?”
如果这些勒索软件卡特尔出售消费者的个人数据,这些数据将被用于网络钓鱼或是身份盗窃等任何事情。因此,总的来说,每个人都应该担心勒索软件及其大规模的增长。
REvil的双重勒索战术
REvil,也称为Sodin或Sodinokibi,是一个勒索软件组织,它是第一个对勒索软件使用“双重勒索”策略的勒索软件,这是一种双管齐下的将公司锁定在他们文件之外的勒索方法,他们同时也威胁该公司如果不按时支付赎金,则向公众公开数据。
REvil可能来自现已解散的GandCrab犯罪团伙,主要是基于以下事实:REvil在GandCrab退出后立即活跃起来,而且这两个团伙使用的勒索软件具有明显的相似之处。GandCrab声称其已经支付了超过20亿美元的赎金,其运营商每周赚取250万美元。
REvil于2020年6月首次使用双重勒索策略,当时它正在拍卖从一家拒绝支付赎金的加拿大农业生产公司处窃取的数据。
从那时起,诸如Maze和DoppelPaymer卡特尔这样的竞争勒索软件组织都采用了相同的策略,并且,很不幸的是它们都取得了成功。
例如,在2019年末,Maze卡特尔袭击了犹他大学。当大学成功地从备份中还原了他们的数据时,Maze在数据加密之前先对其进行了窃取,并威胁要泄漏学生数据。因此,犹他大学被迫支付了457,059美元的赎金。
如果没有双重敲诈手段,网络犯罪集团就将承担损失。
不断变化的业务结构
需要注意的另一件事是:勒索软件组织不仅在其策略上“进化”,而且在组织结构上也“进化”了。在将一个特定勒索软件病毒与一个特定群体联系在一起之前,已经形成了类似于黑手党或商业组织的“卡特尔”。
这些卡特尔还具有为他们做事的“附属机构”,例如特权升级。主要组织使用附属组织留下的后门和信标来植入勒索软件并泄露数据,然后传递被盗的数据和攻击信息。作为回报,他们获得一定比例的分红。
在黑客论坛上招募Darkside勒索软件帮派的会员
联盟计划要么通过卡特尔将目标分配给小型联盟团队,要么由这些团队自己寻找目标。一旦目标网络被渗透,他们就将数据传递给卡特尔并收集付款。然后,卡特尔将数据提取出来,并在目标系统上对该数据进行加密。
此外,他们与其他网络犯罪团伙合作,以共享资源,协调受害者数据的泄漏并勒索受害者。例如,Maze卡特尔由勒索软件组Maze,LockBit,Ragnar Locker合作组成。
除此之外,这些勒索软件卡特尔还模仿基于订阅的软件即服务(SaaS)模型,发展了他们的服务产品。这些卡特尔现在提供“勒索即服务(ransomware as-a- service)”,即勒索软件行业的新进入者(个人或团体),不再需要开发自己的恶意软件或拥有必要的基础架构,这些组织具有“为您完成”的模型,即使非技术攻击者也可以利用该模型攻击和勒索受害者。
测量双重勒索
在查看过去几个月中卢卡·梅拉(Luca Mella)的双重勒索跟踪程序的数据时,我们可以看到,公开披露的违规行为次数激增:
当我们查看一个流行的黑客论坛上可供下载的公共数据库的总数时,我们注意到了相同的趋势:
需要注意的是,受勒索软件攻击影响的公司的真实数量是未知的。Mella告诉Cyber News:“在双重勒索中,我们只会注意到整个活动的一小部分。尤其是在协商中支付赎金的公司没有引起注意,并且有数种网络保险也涵盖了赎金。”
查看任何趋势的一种方法是简单地查看攻击者正在泄漏的漏洞数量。这可能与双重勒索策略有关–卡特尔可能会泄漏受影响公司数据库的某些部分,以协助其“谈判”。
实际上,正是由于这个确切的原因,我们已经遇到了一些泄漏,例如,位于迈阿密的Intcomex:
但是,仅查看已声明或泄漏的违规并不能真正呈现出正确的画面。当我们查看勒索软件参与者声称的泄漏时,趋势变得更加清晰:
尽管Mella的分析从2020年8月才开始,但趋势很明显–勒索软件随着时间的流逝而增加,不同的网络犯罪团伙随时间增加其输出。
他们的攻击重点非常广泛,其中制造业和零售业是受攻击最严重的行业:
在跟踪器运行一段时间后,Mella得出了一个清醒的结论:双重勒索操作者似乎根本没有对他们选择的目标进行区分。
“我起初以为这些团伙只针对高价值的巨额支付目标,”梅拉告诉《网络新闻》,“但数据显示,他们实际上正在攻击各种类型的公司:从价值亿万的公司到一家价值500万美元的本地中小型企业。”
他还注意到,他们通常会瞄准一些专业服务机构、律师事务所和零售企业,这也许是因为传统上它们相较于银行业这样的成熟部门对网络安全的准备不足。
“令我最惊讶的是受影响的行业种类繁多,其中包括许多医疗保健和非营利组织。”
当查看哪些勒索软件组织或分支机构在主导攻击时,我们可以看到Conti,Netwalker和Maze构成了所有攻击的53%以上:
但是,由于迷宫卡特尔与Conti和RagnarLocker合作,因此可以将它们视为主要的攻击组,总共占所有攻击的39%。
勒索软件和大流行
Mella收集了大部分数据,她表示,全球Covid-19大流行加速了双重勒索行为,这些团伙以私人和公共组织为目标,从业务中断中获利,扩大附属项目,并将僵尸网络加入了他们的工具库。
Mella认为,大流行是许多数字现象(包括双重勒索)的催化剂。Covid-19的威胁和封锁都加剧了双重勒索的影响,网络攻击通常分为两类:公司的IT变更和外部威胁。
“在几天之内,许多公司被迫打开安全防线,将大量劳动力投入到智能工作中,并同时引进新技术。”梅拉告诉CyberNews,“在很短的时间内发生了太多变化,只有那些拥有最佳安全状态的人才能妥善处理。现在,每家公司都不得不考虑这些增加的风险并进行应对。”
在外部方面,他认为网络犯罪分子意识到了这些弱点,并且已经开始加大力度。“2019年底,双重勒索隶属关系服务总共只有两三个;到2020年,这一数字将增长了10倍左右。”他告诉CyberNews。
虽然这里收集的所有数据尚待证实-网络犯罪团伙声称他们破坏了一家公司这件事可能是一个谎言-但它确实提出了一个令人深省的结论:勒索软件在2020年已经是一个大问题,其发展轨迹表明它将在2021年及以后成为更大的问题。
勒索软件策略的演变
勒索软件的第一个实例发生在1989年,由约瑟夫·波普(Joseph Popp)编写,被称为AIDS特洛伊木马。这种攻击没有现代的攻击方法那样有效:文件没有经过加密,而是隐藏在受害者的计算机上,唯一经过加密的是文件名。即使这样,解密密钥也可以在木马代码中找到。
快进到2000年代中期,勒索软件开始受到关注。到2006年,诸如GPCode之类的恶意软件开始出现在公司计算机上,并以.doc,.html,.jpg,.xls,.zip和.rar等扩展名对计算机驱动器上的文件进行加密。然后,勒索软件会在每个文件目录中放置一个文本文件,指示受害者将电子邮件发送到指定的地址,勒索金额大约为$ 100- $ 200。
即使那样,受害者也可以在无需支付任何赎金的情况下恢复数据。
但是,随着网络犯罪分子变得越来越复杂,他们使用越来越多的RSA加密密钥大小来创建其木马。在2006年1月,GPCode使用了56位RSA公钥(在56小时内破解),但是在2008年6月,它使用了1024位RSA密钥,如果真的强行破解,以当前计算机的水平估计最长要使用200万年,因此破解是不可行的。
随着比特币的引入,勒索软件确实变得更加有利可图,并且可能更易于操作。2013年末,CryptoLocker勒索软件传播开来,在2013年10月15日至12月18日期间,其创建者获得了大约2700万美元的收入。
勒索软件如CryptoBlocker,OphionBlocker和Pclock这样的新变种不断增加,这使用户有72小时的时间来支付1比特币的赎金。如果受害者不付款,文件将被删除。
然后,Chimera在2015年开始发挥作用。这种特殊的勒索软件诱骗公司员工点击托管在Dropbox上的恶意文件链接,从而对受害者进行勒索。一旦被感染,攻击者将要求约700美元的比特币作为解密密钥。但是,与标准勒索软件流程不同的是,Chimera的创建者扬言如果受害者不支付赎金就将受害者的文件发布到互联网上。没有证据表明任何受害者的个人数据都曾被发布到网上过,但是这种勒索软件策略的升级可能助长了勒索软件的新常态,即“双重勒索”。
避免勒索软件的攻击
由于卡特尔的结构–会员、、分支机构松散地渗透到目标网络中–这些勒索软件组织正在使用各种各样的攻击媒介。例如,Maze卡特尔(Maze Cartel)使用了妥协的RDP会话、弱用户凭证、社会工程学等。
事实上,联盟计划的方式是非常巧妙的,因为它允许更多的去中心化的创造力和创新力:有效的卡特尔集团并不关心分支机构具体是如何做的,只要它完成了即可得到报酬。这也允许卡特尔集团同时进行多个操作,如果所有操作都集中起来,将很难管理和维护。
有鉴于此,通过采用零信任安全策略(“不信任任何人”策略)可以为组织提供最佳服务。本质上,在尝试授予访问权限之前,必须验证组织内部或外部尝试连接到其系统的所有内容。
缓解策略是至关重要的一个方面,组织备份其数据以便在受到攻击时不会中断其业务运营。
但是,这仅涵盖了双重勒索问题之一。企业还需要一种积极主动的战略,其中包括:
- 防止恶意软件传播到设备:过滤允许的文件类型,阻止恶意网站等。
- 保护远程访问设备:修补已知漏洞,启用MFA,使用安全的虚拟网络,采用最低权限模型。
- 防止恶意软件通过网络传播:使用MFA,修补虚拟网络,防火墙,防病毒,设备和基础架构,隔离过时的平台。
- 防止任何恶意软件在设备上运行:集中管理设备,使软件保持最新,尽快安装安全更新并启用自动更新。
尽管如此,梅拉告诉CyberNews,预防不应该成为组织战略的全部重点。相反,企业应该准备应急响应。“有了正确的投资、良好的安全运营人员和快速的网络应急响应能力,就有可能在勒索软件运营商影响企业和利益相关者的信任之前拦截它们。”[来源:今日头条]