不讲武德!实施“双重勒索”的七个新兴勒索软件组织
在今年年中一连串备受瞩目的勒索软件攻击之后,一些规模最大、最臭名昭著的勒索软件团伙消声觅迹了。
今年5月开始,勒索软件攻击始终占据新闻头条。俄语组织Conti对爱尔兰卫生服务机构发起勒索软件攻击,DarkSide对总部位于美国的Colonial Pipeline发起勒索软件攻击,REvil对肉类加工巨头JBS和远程管理软件公司Kaseya发起勒索软件攻击……这一连串的事件迫使拜登政府直接发出警告称,将付出行动来瓦解勒索软件商业模式。白宫已经正式通知俄方政府,如果它不对在其境内使用勒索软件开展活动的犯罪分子进行打击,那么美国政府将代替他行使这一权力。
白宫宣言后不久,DarkSide和REvil便像此前的Avaddon组织一样消失了。事实上,这些组织采取的都是“勒索软件即服务”(RaaS)模式,在这种模式中,运营商主要负责开发加密锁定勒索软件,并将其提供给“附属机构”——实际进行黑客攻击和勒索软件部署的第三发承包商。每当受害者支付赎金时,附属机构和运营商就会按照事先定好的分配比例进行分赃。
或者,至少理论上来说是这样的。安全公司Recorded Future的新网站The Record最近报道称,心怀不满的Conti附属机构泄露了该组织用于培训附属机构的手册和技术指南,原因是不满他们提供的薪酬过低。
新的和“改头换面”的运营商出现
考虑到目前许多企业仍然存在防御不足的情况,勒索软件将继续发挥巨大的盈利潜力,许多安全专家认为,Avaddon、DarkSide以及REvil背后的核心运营商可能将改头换面重新营业。与此同时,附属机构经常会处理多个勒索软件操作,有时还会同时进行。因此,尽管某些组织可能不复存在,但勒索软件的商业模式却在不断涌现。
与往常一样,新的勒索软件团伙会定期亮相。最近几周,执法人员和信息安全专家追踪发现,一些鲜为人知的参与者实施的攻击活动正在不断攀升。所有这些组织都在使用“双重勒索”策略,也就是说他们声称已在加密锁定系统之前窃取了数据,并威胁将窃取的数据泄漏到数据泄露站点上,除非受害者支付赎金。面对这种情况,即便受害者组织拥有备份数据也将无济于事。
以下是7个新兴勒索软件组织的更多详细信息:
1. ALTDOS
近日,新加坡网络安全局、警察部队和个人数据保护委员会警告称,ALTDOS网络犯罪组织自去年12月出现以来,一直以孟加拉国、新加坡和泰国的企业组织为目标。
根据他们发布的关于ALTDOS的联合公告称,目前尚不清楚ALTDOS使用的是哪种勒索软件变种。ALTDOS将使用ProtonMail上托管的电子邮件地址联系受害者,要求其付款或发布泄露的数据。此外,如果受害者没有在给定的时间内响应或遵守赎金要求,ALTDOS还可能对受害者面向互联网的系统发起分布式拒绝服务攻击,以中断其运营服务并提醒他们支付赎金。
与上述赎金组织一样,ALTDOS也实行“双重勒索”策略,这意味着它不仅会以获取解密工具胁迫受害者支付赎金,而且还在加密锁定系统之前窃取受害者数据,并以此要挟受害者付款,否则将删除或泄露窃取的数据。公告还指出,该组织有时会要求受害者单独为解密服务支付赎金,再为被盗数据免遭删除支付二次赎金。
2. AvosLocker
研究人员表示,AvosLocker组织于今年6月首次被发现,它似乎专注于美国、英国和欧洲部分地区的小型律师事务所,以及货运、物流和房地产公司。但研究发现,截至上月底,AvosLocker勒索软件运营商正使用一项通过Jabber和Telegraph分发垃圾邮件的服务,来宣传其勒索软件合作伙伴计划,试图招募更多的附属机构。
截至8月底,AvosLocker基于Tor的数据泄露网站列出了11名受害者,其中包括阿联酋 Moorfields眼科医院,该医院是英国国家卫生服务部Moorfields眼科医院基金会信托基金的一个分支机构,该组织称其窃取了超过60GB的数据. 目前Moorfields方面已经证实了此次攻击,但并未将事件归因于它。
Palo Alto公司Unit 42威胁研究小组的Doel Santos和Ruchna Nigam在一篇博文中表示,与其许多竞争对手一样,AvosLocker也提供技术支持服务,以帮助受害者在受到加密软件攻击后完成恢复工作。该组织声称这些软件是‘防故障’的,检测率低,并且能够处理大文件。我们观察到最初的赎金要求从50,000美元到75,000美元不等。
3. Hive Ransomware
专家称,新出现的Hive ransomware于6月26日首次被@fbgwls245 Twitter帐户背后自称来自韩国的“勒索软件猎人”发现。据悉,他是在将其上传到VirusTotal恶意软件扫描服务后,成功发现了该组织的恶意可执行文件。
截至8月底,Hive的数据泄露站点列出了34名受害者。Palo Alto的Santos和Nigam称:Hive会使用勒索工具集中的所有可用工具向受害者施加压力,包括最初妥协的日期、倒计时、泄漏网站上实际披露的日期,甚至是在社交媒体上分享所披露泄漏的选项。
尽管该组织可能已经磨练了其作战策略,但黑莓的研究和情报团队最近表示,根据观察到的Hive样本显示,该恶意软件似乎“仍在开发中”。安全公司Emsisoft的威胁分析师Brett Callow甚至直接抨击其代码质量很差。他表示,到目前为止看到的Hive样本使用的是一种愚蠢且业余的加密方案,其中使用了100个不同位大小的RSA密钥来加密文件。
4. HelloKitty
涉及HelloKitty勒索软件的攻击于2020年初首次被发现。今年4 月,FireEye警告称,使用HelloKitty的攻击者一直针对未打补丁的SonicWall SMA 100系列统一接入网关。据悉,供应商已于1月23日确认并于2月23日修补了该设备中的零日漏洞(命名为 CVE-2021-20016)。
7月份,Palo Alto研究人员表示,他们发现了“HelloKitty的Linux变体,其目标是VMware的 ESXi管理程序,该管理程序广泛应用于云和本地数据中心”。ESXi 管理程序很可能成为攻击目标,因为攻击者正在寻找这种脆弱且部署广泛的程序,以实现利益最大化。一旦攻击者成功加密锁定这些系统,可能会要求巨额赎金。Palo Alto表示,使用HelloKitty的攻击者索要高达1000万美元的赎金,但他们最近收到的三笔赎金,总计仅为150万美元。
5. LockBit 2.0
LockBit 2.0以前名为ABCD ransomware,同样是以勒索软件即服务(RssS)模式运行的组织。虽然早在2019年9月就开始活跃,但Palo Alto最近发现其攻击方法已经发生了变化,并推出了称为LockBit 2.0的勒索软件。
自6月以来,该组织已经攻击了全球52个组织,最近的受害者包括咨询公司埃森哲。研究人员表示,威胁行为者在泄漏网站上的所有帖子中都放置了倒计时,直到保密信息发布给公众,这为受害者制造了额外的压力。
安全公司趋势科技在最近的一份报告中表示,LockBit 2.0以拥有当今勒索软件威胁环境中最快、最有效的加密方法之一而自豪。不过,这种说法显然是为了提高该组织的形象并吸引更多的附属机构。
最近,该组织中一位名为“LockBitSupp”的发言人接受了俄罗斯OSINT YouTube频道的采访,并赞扬了其运营计划的优点,称他们会将每笔赎金80%的部分分配给“负责任的”附属机构。LockBitSupp还表示,运营商会继续改进恶意软件和其他工具,试图使攻击不仅更快,而且更加自动化,包括泄露数据并将其路由到专用的数据泄漏站点。
截至8月底,LockBit 2.0泄漏站点列出了64名受害者,其中一些人的被盗信息已经公布,而另一些人的倒数计时器仍在运行。
6. OnePercent Group
8月份,FBI发布了有关OnePercent Group的警报通知,称该组织自2020年11月以来一直处于活跃状态,并使用网络钓鱼攻击将IcedID(又名 BokBot)银行木马病毒感染给受害者。该网络钓鱼电子邮件附有zip文件,其中包含Microsoft Word或Excel文档,里面含有旨在安装恶意软件的恶意宏,该恶意宏会投放并执行Cobalt Strike渗透测试工具。
FBI表示,攻击者借助PowerShell脚本在网络中横向移动,使用Rclone工具将数据泄露至云存储,然后最终在所有可能的情况下部署他们的加密锁定恶意软件。
FBI报告称,在部署勒索软件之前,攻击者已经在受害者的网络中潜伏了大约一个月。攻击实施后,攻击者会通过伪造的电话号码向受害者索要赎金,并向其提供一个ProtonMail电子邮件地址以供进一步沟通。攻击者会不断要求与受害公司指定的谈判代表交谈,或以发布被盗数据的方式对其进行威胁。
FBI称,对于任何拒绝付款的受害者,该组织此前曾威胁要将被盗数据出售给REvil(又名 Sodinokibi)组织。电子邮件安全公司Armorblox指出,FBI描述的妥协指标(IoC)与“Shathak(也称TA551)”组织的活动存在重叠。
7. BlackMatter Ransomware
7月下旬,一个名为“BlackMatter”的网络犯罪论坛用户宣布启动一项新行动,“将DarkSide、REvil和LockBit的最佳功能融入其中”。
然而,在分析了一个在野发现的BlackMatter解密器后,安全公司Emsisoft的首席技术官、勒索软件狩猎专家Fabian Wosar宣布,“BlackMatter应该正是DarkSide改头换面后的新身份。”
区块链分析公司Chainalysis在分析了BlackMatter使用的加密货币钱包后得出结论称,它就是DarkSide的新身份。
自此,可以说勒索软件运营商会通过改头换面的形式重新开张的预测似乎已经成为现实。安全专家表示,50年来,我们清楚地认识到黑客行为是一种令人上瘾的行为,更何况利润颇丰的勒索软件领域,期待简单的白宫宣言就能令其“变天”实在天真,改头换面要比改革或金盆洗手更有可能。
本文翻译自:https://www.bankinfosecurity.com/7-emerging-ransomware-groups-practicing-double-extortion-a-17384如若转载,请注明原文地址。
