随着全球新冠病毒大流行,世界各地的经济处于崩溃的边缘,失业率攀升。然而,勒索软件由于其匿名性和暴力性,导致一些使用勒索软件进行分发敛财的团队愈发增多。

2020年以来,这些制造勒索软件的服务商,以及从这些服务商购置勒索软件用于投递给受害者的攻击者(会员),二者配合,外加服务商提供的恐吓勒索之数据曝光服务,让世界各地公司、政府、学校等等机构深恶痛疾。

但勒索软件也并不是不能医治,如果杀毒软件厂商及时更新勒索软件特征,用户及时更新杀毒软件,便能在一定程度上降低系统被杀毒软件加密的概率,下面黑鸟就来给大家看一下2020年以来活跃的提供勒索软件使用服务团伙,也就是我们平常说的勒索软件即服务(RaaS)。

如下面的表格显示,一般有博客的团伙都会使用恐吓方法,即将加密公司系统前的数据,发布在博客上,从而要挟公司赶紧交赎金。

新成立的Raas团伙:

勒索市场的中坚力量:

勒索软件市场的最强力量:

DopplePaymer

自2019年以来,DoppelPaymer,由前BitPaymer(FriedEx)勒索软件成员组成。勒索软件本身通常是在拷贝敏感数据后,再手动部署。DoppelPaymer团队运营着一个基于Tor的博客,该博客用于发布有关受感染公司及其被盗数据的信息。

Egregor/Maze

目前Maze(迷宫)勒索软件服务幕后团伙已经宣布将关闭其运营。然而,有分析人员指出Maze的成员或者会员已经融入Egregor勒索软件背后的服务中。

Egregor在操作中遵循一种熟悉的模式:破坏公司网络以窃取敏感数据并部署勒索软件,与受害者进行通信并索取赎金,然后在受害者组织拒绝支付赎金时将敏感数据转储到博客中。

有证据表明,Egregor也与Sekhmet勒索软件有关。Egregor包含与Sekhmet相同的Base64编码数据,其中最后一行包含来自受感染系统的其他参数。研究人员还发现,Egregor赎金记录与Sekhmet所使用的记录极为相似。

Netwalker

NetWalker最早在2019年9月被发现,背后的攻击者在2020年使用了钓鱼邮件攻击,这些邮件利用了对疫情大流行的影响和恐惧来诱使受害者将恶意软件安装到系统中。5月,运营商启动了一个基于Tor的博客,以发布从受害者组织那里偷来的敏感数据,这些组织拒绝支付所要求的赎金。

NetWalker的会员使用了无文件感染技术,据称可以绕过Windows 7和更新版本操作系统的用户帐户控制组件。NetWalker可以在两种模式下操作:在网络模式下,可以对单个计算机或整个网络的计算机进行勒索,而受害者可以购买具有主密钥的解密工具或购买必要的密钥以对所有网络中的计算机进行解密。在个人模式下,一次赎金仅解密一台计算机。

REvil/Sodinokibi

REvil是市场上最普遍的勒索软件变体之一,首次部署于2019年4月17日,攻击者利用了Oracle WebLogic服务器中的漏洞CVE-2019-2725。两个月后,XSS论坛上开始出现售卖勒索软件服务的广告。

该组织攻击方法,最常见采用远程桌面协议(RDP)漏洞,例如 BlueGate漏洞,该漏洞允许授权用户远程执行代码。此外还有通过Citrix 和 Pulse Secure VPN漏洞进行远程代码攻击。据称攻击者在大约三分钟内就可以访问整个网络。

REvil的会员负责攻击和访问目标网络,下载有价值的文件并部署实际的勒索软件,而REvil团伙则负责受害者谈判以及勒索,勒索赎金和分发。这种模式显然导致了利润的飞涨:根据REvil的说法,一个会员的收入从每个目标约20,000美元增加到30,000美元,而另一家RaaS提供的收益在与REvil联手后仅六个月内就达到了每个目标约700万美元至800万美元。

Ryuk

Ryuk勒索软件,是一个通过使用Trickbot僵尸网络和Emotet恶意软件进行最后阶段分发的勒索软件。

Ryuk的会员在攻击中遵循一种模式:雇用黑客发起钓鱼邮件活动,以传播黑客的银行恶意软件。然后,另一组黑客在公司网络内进行提升权限并部署勒索软件。

2020年以来,Ryuk勒索软件爆炸式增长,全球数百万起勒索软件事件中都有它的影子。一些安全研究人员估计,在今年发起的勒索软件攻击中,有多达三分之一发现了Ryuk。

Ryuk今年一直集中针对医疗保健领域进行勒索攻击,曾针对美国最大的医院系统:全民健康服务公司进行勒索。

参考链接:

https://public.intel471.com/blog/ransomware-as-a-service-2020-ryuk-maze-revil-egregor-doppelpaymer/

声明:本文来自黑鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。