首页 > 动态中心 > 技术文章  >  正文

如果不支付赎金,这些勒索软件卡特尔将泄漏您的数据

2023-06-15 00:00:00

文章摘要:勒索软件行业无疑已经发展了很长一段时间,从早期的AIDS木马到如今非常商业化的勒索即服务模型(RaaS),掠夺了各种规模的企业。现在,一种名为“双重勒索”的新型勒索软件技术正在随着疫情的爆发而迅猛发展,这种技术不仅可以锁定公司的文件,而且可以迫使公司支付赎金,否则其数据就会被公开泄露。随着勒索软件攻击的增加,这种勒索软件的发展使公司以及使用这些公司产品的消费者处于困境。看看这些数字,很容易就能看出

勒索软件行业无疑已经发展了很长一段时间,从早期的AIDS木马到如今非常商业化的勒索即服务模型(RaaS),掠夺了各种规模的企业。现在,一种名为“双重勒索”的新型勒索软件技术正在随着疫情的爆发而迅猛发展,这种技术不仅可以锁定公司的文件,而且可以迫使公司支付赎金,否则其数据就会被公开泄露

随着勒索软件攻击的增加,这种勒索软件的发展使公司以及使用这些公司产品的消费者处于困境。看看这些数字,很容易就能看出为什么:

  •  70%的勒索软件受害企业已支付了赎金,金额在20,000至40,000美元之间
  •  勒索软件受害的消费者支付了$ 500- $ 1,000勒索赎金
  •  预计到2021年,勒索软件将会使网络犯罪分子净赚200亿美元
  •  2019年-2023年期间,网络犯罪可能使企业蒙受5.2万亿美元的额外成本和收入损失

更糟糕的是,网络犯罪团伙针对各种规模的组织:2019年网络犯罪受害者中有62%是中小型企业。

但是,担心勒索软件不断上升的威胁的不仅仅是企业。Luca mela是一家追踪名为“双重勒索”的勒索软件新策略的网站的创建者,Luca Mella告诉Cyber News,相较关于企业受到勒索软件的新闻,消费者显然应该更担心。“由于双重勒索,在罪犯手中会传输大量数据,在许多情况下甚至是数百GB(千兆字节)。”

他说,这非常令人担忧。“当知道您的个人数据、身份证件扫描件、简历、账单、工资单、采购订单或任何其他此类信息正在被国际犯罪组织、国际犯罪分子或是本地诈骗犯获取时,会有何感想?”

如果这些勒索软件卡特尔出售消费者的个人数据,这些数据将被用于网络钓鱼或是身份盗窃等任何事情。因此,总的来说,每个人都应该担心勒索软件及其大规模的增长。

REvil的双重勒索战术

REvil,也称为Sodin或Sodinokibi,是一个勒索软件组织,它是第一个对勒索软件使用“双重勒索”策略的勒索软件,这是一种双管齐下的将公司锁定在他们文件之外的勒索方法,他们同时也威胁该公司如果不按时支付赎金,则向公众公开数据。

REvil可能来自现已解散的GandCrab犯罪团伙,主要是基于以下事实:REvil在GandCrab退出后立即活跃起来,而且这两个团伙使用的勒索软件具有明显的相似之处。GandCrab声称其已经支付了超过20亿美元的赎金,其运营商每周赚取250万美元。

REvil于2020年6月首次使用双重勒索策略,当时它正在拍卖从一家拒绝支付赎金的加拿大农业生产公司处窃取的数据。

从那时起,诸如Maze和DoppelPaymer卡特尔这样的竞争勒索软件组织都采用了相同的策略,并且,很不幸的是它们都取得了成功。

例如,在2019年末,Maze卡特尔袭击了犹他大学。当大学成功地从备份中还原了他们的数据时,Maze在数据加密之前先对其进行了窃取,并威胁要泄漏学生数据。因此,犹他大学被迫支付了457,059美元的赎金。

如果没有双重敲诈手段,网络犯罪集团就将承担损失。

不断变化的业务结构

需要注意的另一件事是:勒索软件组织不仅在其策略上“进化”,而且在组织结构上也“进化”了。在将一个特定勒索软件病毒与一个特定群体联系在一起之前,已经形成了类似于黑手党或商业组织的“卡特尔”。

这些卡特尔还具有为他们做事的“附属机构”,例如特权升级。主要组织使用附属组织留下的后门和信标来植入勒索软件并泄露数据,然后传递被盗的数据和攻击信息。作为回报,他们获得一定比例的分红。

在黑客论坛上招募Darkside勒索软件帮派的会员

联盟计划要么通过卡特尔将目标分配给小型联盟团队,要么由这些团队自己寻找目标。一旦目标网络被渗透,他们就将数据传递给卡特尔并收集付款。然后,卡特尔将数据提取出来,并在目标系统上对该数据进行加密。

此外,他们与其他网络犯罪团伙合作,以共享资源,协调受害者数据的泄漏并勒索受害者。例如,Maze卡特尔由勒索软件组Maze,LockBit,Ragnar Locker合作组成。

除此之外,这些勒索软件卡特尔还模仿基于订阅的软件即服务(SaaS)模型,发展了他们的服务产品。这些卡特尔现在提供“勒索即服务(ransomware as-a- service)”,即勒索软件行业的新进入者(个人或团体),不再需要开发自己的恶意软件或拥有必要的基础架构,这些组织具有“为您完成”的模型,即使非技术攻击者也可以利用该模型攻击和勒索受害者。

测量双重勒索

在查看过去几个月中卢卡·梅拉(Luca Mella)的双重勒索跟踪程序的数据时,我们可以看到,公开披露的违规行为次数激增:

当我们查看一个流行的黑客论坛上可供下载的公共数据库的总数时,我们注意到了相同的趋势:

需要注意的是,受勒索软件攻击影响的公司的真实数量是未知的。Mella告诉Cyber News:“在双重勒索中,我们只会注意到整个活动的一小部分。尤其是在协商中支付赎金的公司没有引起注意,并且有数种网络保险也涵盖了赎金。”

查看任何趋势的一种方法是简单地查看攻击者正在泄漏的漏洞数量。这可能与双重勒索策略有关–卡特尔可能会泄漏受影响公司数据库的某些部分,以协助其“谈判”。

实际上,正是由于这个确切的原因,我们已经遇到了一些泄漏,例如,位于迈阿密的Intcomex:

但是,仅查看已声明或泄漏的违规并不能真正呈现出正确的画面。当我们查看勒索软件参与者声称的泄漏时,趋势变得更加清晰:

尽管Mella的分析从2020年8月才开始,但趋势很明显–勒索软件随着时间的流逝而增加,不同的网络犯罪团伙随时间增加其输出。

他们的攻击重点非常广泛,其中制造业和零售业是受攻击最严重的行业:

在跟踪器运行一段时间后,Mella得出了一个清醒的结论:双重勒索操作者似乎根本没有对他们选择的目标进行区分。

“我起初以为这些团伙只针对高价值的巨额支付目标,”梅拉告诉《网络新闻》,“但数据显示,他们实际上正在攻击各种类型的公司:从价值亿万的公司到一家价值500万美元的本地中小型企业。”

他还注意到,他们通常会瞄准一些专业服务机构、律师事务所和零售企业,这也许是因为传统上它们相较于银行业这样的成熟部门对网络安全的准备不足。

“令我最惊讶的是受影响的行业种类繁多,其中包括许多医疗保健和非营利组织。”

当查看哪些勒索软件组织或分支机构在主导攻击时,我们可以看到Conti,Netwalker和Maze构成了所有攻击的53%以上:

但是,由于迷宫卡特尔与Conti和RagnarLocker合作,因此可以将它们视为主要的攻击组,总共占所有攻击的39%。

勒索软件和大流行

Mella收集了大部分数据,她表示,全球Covid-19大流行加速了双重勒索行为,这些团伙以私人和公共组织为目标,从业务中断中获利,扩大附属项目,并将僵尸网络加入了他们的工具库。

Mella认为,大流行是许多数字现象(包括双重勒索)的催化剂。Covid-19的威胁和封锁都加剧了双重勒索的影响,网络攻击通常分为两类:公司的IT变更和外部威胁。

“在几天之内,许多公司被迫打开安全防线,将大量劳动力投入到智能工作中,并同时引进新技术。”梅拉告诉CyberNews,“在很短的时间内发生了太多变化,只有那些拥有最佳安全状态的人才能妥善处理。现在,每家公司都不得不考虑这些增加的风险并进行应对。”

在外部方面,他认为网络犯罪分子意识到了这些弱点,并且已经开始加大力度。“2019年底,双重勒索隶属关系服务总共只有两三个;到2020年,这一数字将增长了10倍左右。”他告诉CyberNews。

虽然这里收集的所有数据尚待证实-网络犯罪团伙声称他们破坏了一家公司这件事可能是一个谎言-但它确实提出了一个令人深省的结论:勒索软件在2020年已经是一个大问题,其发展轨迹表明它将在2021年及以后成为更大的问题。

勒索软件策略的演变

勒索软件的第一个实例发生在1989年,由约瑟夫·波普(Joseph Popp)编写,被称为AIDS特洛伊木马。这种攻击没有现代的攻击方法那样有效:文件没有经过加密,而是隐藏在受害者的计算机上,唯一经过加密的是文件名。即使这样,解密密钥也可以在木马代码中找到。

快进到2000年代中期,勒索软件开始受到关注。到2006年,诸如GPCode之类的恶意软件开始出现在公司计算机上,并以.doc,.html,.jpg,.xls,.zip和.rar等扩展名对计算机驱动器上的文件进行加密。然后,勒索软件会在每个文件目录中放置一个文本文件,指示受害者将电子邮件发送到指定的地址,勒索金额大约为$ 100- $ 200。

即使那样,受害者也可以在无需支付任何赎金的情况下恢复数据。

但是,随着网络犯罪分子变得越来越复杂,他们使用越来越多的RSA加密密钥大小来创建其木马。在2006年1月,GPCode使用了56位RSA公钥(在56小时内破解),但是在2008年6月,它使用了1024位RSA密钥,如果真的强行破解,以当前计算机的水平估计最长要使用200万年,因此破解是不可行的。

随着比特币的引入,勒索软件确实变得更加有利可图,并且可能更易于操作。2013年末,CryptoLocker勒索软件传播开来,在2013年10月15日至12月18日期间,其创建者获得了大约2700万美元的收入。

勒索软件如CryptoBlocker,OphionBlocker和Pclock这样的新变种不断增加,这使用户有72小时的时间来支付1比特币的赎金。如果受害者不付款,文件将被删除。

然后,Chimera在2015年开始发挥作用。这种特殊的勒索软件诱骗公司员工点击托管在Dropbox上的恶意文件链接,从而对受害者进行勒索。一旦被感染,攻击者将要求约700美元的比特币作为解密密钥。但是,与标准勒索软件流程不同的是,Chimera的创建者扬言如果受害者不支付赎金就将受害者的文件发布到互联网上。没有证据表明任何受害者的个人数据都曾被发布到网上过,但是这种勒索软件策略的升级可能助长了勒索软件的新常态,即“双重勒索”。

避免勒索软件的攻击

由于卡特尔的结构–会员、、分支机构松散地渗透到目标网络中–这些勒索软件组织正在使用各种各样的攻击媒介。例如,Maze卡特尔(Maze Cartel)使用了妥协的RDP会话、弱用户凭证、社会工程学等。

事实上,联盟计划的方式是非常巧妙的,因为它允许更多的去中心化的创造力和创新力:有效的卡特尔集团并不关心分支机构具体是如何做的,只要它完成了即可得到报酬。这也允许卡特尔集团同时进行多个操作,如果所有操作都集中起来,将很难管理和维护。

有鉴于此,通过采用零信任安全策略(“不信任任何人”策略)可以为组织提供最佳服务。本质上,在尝试授予访问权限之前,必须验证组织内部或外部尝试连接到其系统的所有内容。

缓解策略是至关重要的一个方面,组织备份其数据以便在受到攻击时不会中断其业务运营。

但是,这仅涵盖了双重勒索问题之一。企业还需要一种积极主动的战略,其中包括:

  •  防止恶意软件传播到设备:过滤允许的文件类型,阻止恶意网站等。
  •  保护远程访问设备:修补已知漏洞,启用MFA,使用安全的虚拟网络,采用最低权限模型。
  •  防止恶意软件通过网络传播:使用MFA,修补虚拟网络,防火墙,防病毒,设备和基础架构,隔离过时的平台。
  •  防止任何恶意软件在设备上运行:集中管理设备,使软件保持最新,尽快安装安全更新并启用自动更新。

尽管如此,梅拉告诉CyberNews,预防不应该成为组织战略的全部重点。相反,企业应该准备应急响应。“有了正确的投资、良好的安全运营人员和快速的网络应急响应能力,就有可能在勒索软件运营商影响企业和利益相关者的信任之前拦截它们。”[来源:今日头条]

上一篇 : 同态加密的四大误解 | 加密解密
  • 相关推荐
  • 公司电脑如何远程定时屏幕录像?

    如果员工的电脑需要定期自动录制电脑屏幕,我该怎么办?洞察眼远程监控软件支持定期录制电脑屏幕,并将变化完整记录在电脑屏幕上,用于监控电脑操作记录、QQ聊天记录、上网记录等。广泛应用于公司电脑的监管、企业对员工的监管、学校电脑教室或网吧电脑的监管。远程监控软件的使用步骤:1.在需要定时录制的电脑上安装远程监控软件,并使用洞...

  • 上网行为管理系统如何使用

     如果大家想要监控自己的电脑,就可以选择上网行为管理系统,上网行为管理系统不仅可以帮助到企业管理员工,个人也是可以使用的,家里的孩子可能会偷偷的玩电脑,通过管理系统,大家就可以知道孩子到底用电脑干了些什么。  一、上网行为管理系统如何使用  如果大家想要进行实时的上网行为管理,首先就需要选择好监控软件,现在很多的人会选...

    2023-12-23 00:00:00
  • 电脑监控软件推荐(电脑监控软件哪个好?)

    如果是企业使用的话,电脑监控软件可以选择洞察眼软件,因为这款软件是专门面向企业研发出来的,主要就是针对企业在员工上网行为管理、数据安全保护、终端安全管理这些方面遇到的问题给出解决方案。   第一、员工上网行为管理 1、实时屏幕:实时监控员工电脑屏幕的运行情况,最多可支持同时监控16台电脑,管理者可以直观了解员工在上班...

  • 电脑监控软件如果隐藏进程

    摘要:电脑监控软件是一种用于管理、监控和保护电脑系统的工具,而隐藏进程则是其中一项重要功能。本文将围绕电脑监控软件隐藏进程展开,介绍其原理、作用以及如何实现隐藏进程。隐藏进程的原理1、隐藏进程是指通过改变进程的属性或伪装成系统进程,使其在任务管理器等工具中不可见。其原理是通过操作系统的API接口,修改进程的特征信息,从...

    2023-08-18 00:00:00
  • 公司电脑如何安装监控软件

    摘要:如果您想在公司电脑上安装监控软件,以实现上网行为管理、电脑监控、聊天监控和数据防泄密等功能,本文将为您提供一些详细的步骤和注意事项。小标题1:确认需求和合法性1、在安装监控软件之前,首先需要明确安装的目的和需求。例如,如果是为了提高员工工作效率和安全性,需要与员工充分沟通并取得他们的同意。2、同时,确保在安装监控...

    2023-08-18 00:00:00
  • 如果监视别人微信聊天记录

    摘要:微信作为目前最流行的社交软件之一,让人们可以方便地与朋友、家人和同事进行沟通。然而,对于一些特殊的情况,如父母关心孩子的在线安全、老板需要监督员工的工作任务等,监视别人微信聊天记录成为了一种需求。本文将围绕这一主题展开,介绍一些有关监视微信聊天记录的科普知识。小标题1:微信聊天记录的存储方式1、微信聊天记录在手机...

    2023-08-15 00:00:00
  • 企业如何进行源代码防泄密,如果离职员工泄密了怎么办?

    企业在日常生产生活过程,随着商业经济的快速发展,企业商业机密及重要文档的安全问题日益受到重视,如今不仅仅是大型企业或外企对防泄密格外重视重视,众多民营中小企业也开始意识到这个问题的重要性与必需性。 现在对于企业来讲内部防泄密主流的一些方法如下:教育员工,保护敏感信息不应该是安全和管理团队的责任,而是全体员工人人有责签署...

    2023-07-11 00:00:00
  • 企业使用局域网监控软件的优势

    如果是企业进行局域网监控软件进行选择的话,应该从多角度去思考它是否符合企业管理,能否满足企业的各项需求。好用的局域网监控软件的功能都是比较的全的,而且稳定性也是比较好,售后保障之类的都能够给到,就拿洞察眼MIT系统来说,他就涵盖了很多企业需要的大部分功能:屏幕监控、实时画面展示、屏幕录制、文件加密及自动备份、聊天审计、...

    2023-07-09 00:00:00
  • 内网监控软件的用处有哪些

    公司如果使用内网监控软件进行员工电脑管理的话,能够有效帮助企业管理员工日常工作。它功能强大,可实现许多功能,比如可以帮助办公人员实现远程快速传输文件到其他电脑进行远程办公,节省时间,提高工作效率;目前国内较为普遍使用的公司内网监控软件,知名的有洞察眼MIT系统公司内网监控软件就可以轻松实现文件安全方面的管理。公司内网监...

    2023-07-09 00:00:00
  • 企业电脑集中管理的好处有哪些

    如果一个企业发展的足够大,而且其办公地点分在不同的区域,总部想要了解员工工作情况就只能通过实地考察的方式进行,在面对企业内部员工管理难度大,异地办公电脑难以管控的问题,企业就可以通过电脑集中管理的方法进行电脑统一管理。通过电脑集中管理的方式可以有效提高员工的办公效率及企业信息安全问题,电脑集中管理能够让企业管理者清楚了...

    2023-07-09 00:00:00

大家都在搜的词:

微信扫一扫联系售前工程师