資訊專欄INFORMATION COLUMN
摘要:在今年年中一系列高調(diào)的攻擊之后,一些規(guī)模龐大臭名昭著的勒索軟件銷聲匿跡了。與往常一樣,新的勒索軟件團(tuán)伙定期亮相。不要指望勒索軟件真正消失,與其期待控制勒索軟件不如加強(qiáng)自身防御。
新的勒索軟件即服務(wù)組織尋找分支機(jī)構(gòu)勒索新的受害者。
在今年年中一系列高調(diào)的攻擊之后,一些規(guī)模龐大、臭名昭著的勒索軟件銷聲匿跡了。
Conti針對愛爾蘭醫(yī)療服務(wù),DarkSide針對美國殖民管道,REvil針對肉類加工巨頭JBS和遠(yuǎn)程管理軟件公司Kaseya的勒索軟件攻擊,導(dǎo)致拜登政府開始重視破壞勒索軟件的商業(yè)模式。
很快,DarkSide和REvil消失了,Avaddon也消失了,專家說他們看起來很有威脅性。所有這些都是“勒索軟件即服務(wù)”(ransomware-a%20-service)操作,即運(yùn)營商開發(fā)加密鎖勒索軟件,并將其提供給分支機(jī)構(gòu)——本質(zhì)上是個(gè)體承包商——這些分支機(jī)構(gòu)會(huì)感染受害者。無論何時(shí)受害者支付,關(guān)聯(lián)公司和運(yùn)營商共享預(yù)先安排的收益分割。
The%20Record最近報(bào)道稱,心懷不滿的Conti附屬公司泄露了用于培訓(xùn)附屬公司的手冊和技術(shù)指南,聲稱他的薪酬過低。
鑒于勒索軟件仍然有提供巨額盈利的潛力,許多機(jī)構(gòu)沒有做好充分的防護(hù),安全專家認(rèn)為,Avaddon、DarkSide和REvil背后的核心運(yùn)營商只會(huì)以不同的名稱重來。與此同時(shí),分支機(jī)構(gòu)經(jīng)常與多個(gè)勒索軟件操作合作,有時(shí)是同時(shí)進(jìn)行。因此,盡管一些群體似乎來去匆匆,但勒索軟件的商業(yè)模式仍在蓬勃發(fā)展。
與往常一樣,新的勒索軟件團(tuán)伙定期亮相。他們都使用雙重勒索,這意味著他們聲稱在加密鎖定系統(tǒng)之前竊取數(shù)據(jù),并威脅將竊取的數(shù)據(jù)泄露到數(shù)據(jù)泄露站點(diǎn),除非受害者支付贖金。
以下是有關(guān)七個(gè)此類操作的更多詳細(xì)信息:ALTDOS、AvosLocker、Hive、HelloKitty、LockBit%202.0和OnePercent%20Group,以及DarkSide衍生產(chǎn)品BlackMatter。
新加坡網(wǎng)絡(luò)安全局、警察部隊(duì)和個(gè)人數(shù)據(jù)保護(hù)委員會(huì)警告稱,ALTDOS網(wǎng)絡(luò)犯罪行動(dòng)自去年12月出現(xiàn)以來,一直針對孟加拉國、新加坡和泰國的組織。
“目前尚不清楚ALTDOS使用了哪種勒索軟件變體,ALTDOS將使用ProtonMail上的電子郵件地址聯(lián)系受害者,要求他們支付贖金,否則泄露的數(shù)據(jù)將被公布。”
如果受害者沒有在給定的時(shí)間范圍內(nèi)響應(yīng)或遵守贖金要求,ALTDOS還可能對受害者面向互聯(lián)網(wǎng)的系統(tǒng)發(fā)起分布式拒絕服務(wù)攻擊,以中斷運(yùn)營服務(wù)并提醒他們支付贖金。
這項(xiàng)行動(dòng)于6月首次被發(fā)現(xiàn),研究人員表示,它似乎專注于美國、英國和歐洲部分地區(qū)的小型律師事務(wù)所,以及貨運(yùn)、物流和房地產(chǎn)公司。但到上月底,這家小公司似乎仍在試圖招募更多的附屬機(jī)構(gòu),如,通過Jabber和Telegraph分發(fā)的垃圾郵件廣告。
截至上周四,AvosLocker基于Tor的數(shù)據(jù)泄露網(wǎng)站列出了11名受害者,其中包括阿聯(lián)酋Moorfields眼科醫(yī)院,該醫(yī)院是英國國家衛(wèi)生服務(wù)部Moorfields眼科醫(yī)院基金會(huì)信托基金的一個(gè)分支機(jī)構(gòu),該組織稱其竊取了超過60GB的數(shù)據(jù)。Moorfields已經(jīng)證實(shí)了這次襲擊。
“與其許多競爭對手一樣,AvosLocker%20提供技術(shù)支持,幫助受害者在受到加密軟件攻擊后恢復(fù),該組織聲稱該軟件具有‘防故障’、低檢測率且能夠處理大文件,”Palo%20Alto的Unit%2042威脅研究小組的Santos和Ruchna%20Nigam在博客中稱。“觀察到最初的贖金要求從%2050,000美元到75,000美元不等。”
專家表示,新來的Hive 勒索軟件于 6 月 26 日首次被@fbgwls245 Twitter 帳戶背后自稱為韓國的“勒索軟件獵人”發(fā)現(xiàn),他在上傳到 VirusTotal 惡意軟件掃描服務(wù)后發(fā)現(xiàn)了該組織的惡意可執(zhí)行文件。
6月26日,自稱來自韓國的“勒索軟件獵人”@fbgwls245推特賬號(hào)首次發(fā)現(xiàn)了Hive勒索軟件,該用戶在將該組織的惡意可執(zhí)行文件上傳到VirusTotal惡意軟件掃描服務(wù)后發(fā)現(xiàn)了該軟件。
周四,Hive的數(shù)據(jù)泄露網(wǎng)站列出了34名受害者。“Hive使用勒索工具中所有可用的工具來給受害者制造壓力,包括最初妥協(xié)的日期,倒計(jì)時(shí),泄漏實(shí)際在他們的網(wǎng)站上公布的日期,甚至在社交媒體上分享泄露的選項(xiàng)。
黑莓的研究和情報(bào)團(tuán)隊(duì)最近表示,根據(jù)觀察到的Hive樣本,該惡意軟件似乎“仍在開發(fā)中”。
涉及HelloKitty勒索軟件的攻擊于2020年初首次被發(fā)現(xiàn)。%204月FireEye警告說,使用%20HelloKitty的攻擊者一直針對未打補(bǔ)丁的SonicWall%20SMA%20100系列統(tǒng)一接入網(wǎng)關(guān)。供應(yīng)商于1月23日確認(rèn)并于2月23日修補(bǔ)了設(shè)備中的零日漏洞,命名為CVE-2021-20016。
7月,Palo%20Alto的研究人員表示,他們發(fā)現(xiàn)了“HelloKitty%20的%20Linux變體,其目標(biāo)是%20VMware的ESXi管理程序,該管理程序廣泛用于云和本地?cái)?shù)據(jù)中心。”%20ESXi%20管理程序很可能成為攻擊目標(biāo),因?yàn)槿绻粽叱晒用苕i定這些系統(tǒng),可能會(huì)要求巨額贖金。使用HelloKitty的攻擊者索要高達(dá)1000萬美元的贖金,但他們最近收到了三筆總計(jì)僅150%20萬美元的大筆贖金。
LockBit以前稱為ABCD勒索軟件,自2019年9月以來一直活躍,但它最近推出了該操作稱為LockBit 2.0的勒索軟件,近期受害者包括咨詢公司埃森哲。
“LockBit 2.0 以擁有當(dāng)今勒索軟件威脅環(huán)境中最快、最有效的加密方法之一而自豪,”趨勢科技在最近的一份報(bào)告中表示。
顯然是為了提高該組織的形象并吸引新的附屬機(jī)構(gòu),該組織的一位名為“LockBitSupp”的發(fā)言人最近接受了俄羅斯OSINT YouTube頻道的采訪,贊揚(yáng)了他的運(yùn)營計(jì)劃的優(yōu)點(diǎn),他說這是每筆贖金的80%支付給負(fù)責(zé)的附屬機(jī)構(gòu)。LockBitSupp還表示,運(yùn)營商繼續(xù)改進(jìn)惡意軟件和其他工具,試圖使攻擊不僅更快,而且更自動(dòng)化,包括泄露數(shù)據(jù)并將其路由到專用的數(shù)據(jù)泄漏站點(diǎn)。
LockBit 2.0泄漏站點(diǎn)列出了64名受害者,其中一些已經(jīng)公布了他們被盜的信息,而其他人的倒計(jì)時(shí)仍在運(yùn)行。
聯(lián)邦調(diào)查局周一發(fā)布了關(guān)于OnePercent%20Group的快速警報(bào),警告稱該組織自2020年11月以來一直活躍,并利用釣魚攻擊讓受害者感染IcedID——又名BokBot——銀行木馬。這些釣魚電子郵件帶有包含Microsoft%20Word或Excel文檔的zip文件,其中包含旨在安裝惡意軟件的惡意宏,該宏會(huì)刪除并執(zhí)行Cobalt%20Strike滲透測試工具。
FBI表示,攻擊者通過使用PowerShell腳本,在網(wǎng)絡(luò)上橫向移動(dòng),使用Rclone工具將數(shù)據(jù)轉(zhuǎn)移到云存儲(chǔ),然后最終在所有可能的地方部署加密鎖定惡意軟件。
FBI報(bào)告稱:“在部署勒索軟件之前,這些行動(dòng)者已經(jīng)在受害者的網(wǎng)絡(luò)中被觀察了大約一個(gè)月。”
FBI表示,在那之后,“受害者將開始收到要求贖金的假冒電話號(hào)碼,并獲得一個(gè)質(zhì)子郵件(ProtonMail)電子郵件地址,以便進(jìn)一步溝通。”“這些行動(dòng)者會(huì)堅(jiān)持要求與受害公司的指定談判代表對話,或者以其他方式威脅要公布被盜數(shù)據(jù)。”
該組織稱,對于任何拒絕付款的受害者,該組織此前曾威脅要將竊取的數(shù)據(jù)賣給REvil,也就是Sodinokibi組織。
7月下旬,一名網(wǎng)名為“BlackMatter”的網(wǎng)絡(luò)犯罪論壇用戶宣布啟動(dòng)一項(xiàng)新行動(dòng),“將DarkSide、REvil和LockBit的最佳特性融入其中”。
然而,在分析了一個(gè)在野外發(fā)現(xiàn)的BlackMatter 解密器后,不同安全公司得出結(jié)論:BlackMatter正是DarkSide的品牌重塑。
因此不難得出結(jié)論,勒索軟件運(yùn)營商會(huì)通過簡單地改變名稱以進(jìn)行新的活動(dòng)。信息安全資深人士威廉·休·默里稱,50年前我們就知道黑客是一種讓人上癮的行為,期待他們改革是不切實(shí)際的,與其說他們走向消亡,不如說又進(jìn)行了品牌重塑。
不要指望勒索軟件真正消失,與其期待控制勒索軟件不如加強(qiáng)自身防御。組織機(jī)構(gòu)的網(wǎng)絡(luò)安全性取決于其最脆弱的環(huán)節(jié),而眾多安全漏洞為網(wǎng)絡(luò)犯罪分子提供了“便捷通道”。“大型漏洞”聽起來可能反烏托邦,但它們正在成為現(xiàn)代網(wǎng)絡(luò)危機(jī)的一個(gè)共有的特征。然而,企業(yè)若仍然依靠傳統(tǒng)技術(shù)來使做預(yù)防準(zhǔn)備,是一個(gè)危險(xiǎn)的信號(hào)。
勒索軟件在不斷升級(jí)自身功能,以逃避或繞過軟件安全檢測,從而利用系統(tǒng)安全漏洞實(shí)施攻擊。因此,企業(yè)機(jī)構(gòu)更要確保軟件系統(tǒng)中不存在安全漏洞,從軟件內(nèi)部確保安全。
對軟件開發(fā)企業(yè)來說,加強(qiáng)在軟件開發(fā)生命周期中的安全檢測,如用SAST、SCA、DAST等自動(dòng)化工具,可以有效減少系統(tǒng)安全漏洞,大大降低軟件遭到攻擊的幾率。
參讀鏈接:
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/118638.html
摘要:勒索軟件卷土重來卷土重來最危險(xiǎn)的勒索軟件團(tuán)伙可能已經(jīng)銷聲匿跡,但這只意味著他們正在進(jìn)行品牌重塑,改進(jìn)戰(zhàn)術(shù),并發(fā)動(dòng)更猛烈的攻擊。阿爾瓦拉多認(rèn)為,事件是勒索軟件集團(tuán)發(fā)生重大變化的先驅(qū)者。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;c...
摘要:背景事情起源于兩個(gè)頂級(jí)黑客組織的撕美國國家安全局的最強(qiáng)黑客組織方程組和專門販賣重磅信息的頂級(jí)黑客組織暗影經(jīng)紀(jì)人。另外還保留了部分文件,打算以公開拍賣的形式出售給出價(jià)最高的競價(jià)者,預(yù)期的價(jià)格是萬比特幣價(jià)值接近億美元。 聲明:本文轉(zhuǎn)載自網(wǎng)絡(luò),有部分刪減。 背景 事情起源于兩個(gè)頂級(jí)黑客組織的撕X: NSA(美國國家安全局)的最強(qiáng)黑客組織方程組和專門販賣重磅信息的頂級(jí)黑客組織暗影經(jīng)紀(jì)人。 事件...
摘要:而且此前從未見過在勒索軟件攻擊中使用間歇性加密。在那里發(fā)現(xiàn)了勒索軟件的主要功能,第一部分初始化了一個(gè)加密庫,可能將其用于其加密功能。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body ...
閱讀 1317·2021-11-15 11:37
閱讀 2575·2021-09-22 10:56
閱讀 3398·2021-09-06 15:11
閱讀 811·2021-08-31 09:45
閱讀 2910·2021-07-28 11:16
閱讀 1815·2019-08-30 15:44
閱讀 484·2019-08-30 13:22
閱讀 3351·2019-08-30 13:18
