事件:REvil 基礎設施突然重新開啟
REvil 勒索軟件操作的暗網服務器在缺席近兩個月后突然重新啟動。目前尚不清楚這是否標志著他們的勒索軟件團伙的回歸或執法部門正在打開服務器。
7月2日,REvil 勒索軟件團伙(又名 Sodinokibi)利用 Kaseya VSA 遠程管理軟件中的零日漏洞對大約60家托管服務提供商(MSP) 及其1,500多家企業客戶進行加密。
然后,REvil要求MSP提供500萬美元用于解密器,或44,999美元用于各個企業的每個加密擴展。
該團伙還要求提供7000萬美元的主解密密鑰來解密所有Kaseya受害者,但很快將價格降至5000萬美元。
襲擊發生后,勒索軟件團伙面臨來自執法部門和白宮的越來越大的壓力,他們警告說,如果俄羅斯不對境內的威脅行為者采取行動,美國將自行采取行動。
不久之后,REvil勒索軟件團伙消失了,他們所有的Tor服務器和基礎設施都被關閉。
9月7日,Tor支付/談判站點和REvil的Tor Happy Blog 數據泄露站點突然重新上線。
卷土重來
最危險的勒索軟件團伙可能已經銷聲匿跡,但這只意味著他們正在進行品牌重塑,改進戰術,并發動更猛烈的攻擊。
你準備好了嗎?
在Colonial Pipeline、JBS和Kaseya網絡攻擊之后,勒索軟件組織被禁止進入網絡犯罪論壇。其中一些甚至消失了,但這并不意味著它們在撤退。如果說和之前有什么不同的話,那就是勒索軟件團伙變得更危險了。
數字風險保護公司Digital Shadows的威脅情報經理Alec Alvadaro認為,他們并不害怕他們的目標是誰,現在發動網絡攻擊的回報肯定大于風險,因此勒索軟件不會很快消失。
在最近的網絡研討會中,Digital Shadows研究了勒索軟件的前景,最著名的勒索軟件集團,以及他們的戰術演變。
網絡犯罪論壇禁止勒索軟件
勒索軟件噩夢始于2019年,當時已經解散的Maze勒索軟件集團引入了雙重勒索戰術。
阿爾瓦拉多說:“對一個人有利的事對所有人都有利。”一波勒索軟件團體開始追隨這一趨勢。到2019年,組織學會了如何在一定程度上減輕勒索軟件的威脅,使用備份并安全存儲它們并將數據離線。自然,網絡犯罪分子創新并采用了雙重勒索策略。
在媒體報道中,勒索軟件團伙發起很多影響巨大的攻擊,并且影響非常嚴重。
2019年以來,出現Maze勒索軟件網站、Sodinokibi(REvil)運營的Happy Blog、Conti News、Babuk Locker等多個數據泄露網站。自這一趨勢開始以來,已有超過 2,600 名受害者出現在數據泄露站點,僅在2021年第二季度,就有740名不同的受害者被點名。
有些論壇開始對勒索軟件施行禁令,不僅不僅禁止銷售任何附屬公司或與勒索軟件相關的任何惡意軟件,甚至還禁止討論它。
由于XSS和Exploit等論壇禁止勒索軟件團伙,他們轉向Telegram等社交媒體渠道討論勒索軟件業務。
在Colonial Pipeline、肉類供應商JBS和Kaseya遭受臭名昭著的網絡攻擊后,勒索軟件參與者在論壇上被禁止。
Kaseya 遭到網絡攻擊 (c) Shutterstock
2021年上半年的頂級勒索軟件攻擊者是Conti、Avaddon、PYSA、REvil、DarkSide、Babuk Locker、DoppelPaymer 和Cl0p。
還有一些新貴,自今年第二季度開始增加活動,如普羅米修斯(Prometheus)、LV 和另外15個組織。
如果是美國的工業品行業、建筑、零售、技術和醫療保健領域,處境將很危險。每個月最受關注的地區將是美國,緊隨其后的是歐洲部分地區和亞洲部分地區,如印度、中國和其他一些國家。受到沖擊的將主要是規模更大、It和工業比重更高的國家。
最近主導該領域的勒索軟件組織盡管其中一些可能已經消失,但這并不意味著它們不會再以另一個名字發動襲擊。
殖民管道網絡攻擊導致天然氣短缺 (c) Shutterstock
Conti勒索軟件 – 穩準狠的攻擊手段
Conti于2019年底開始運營,并運行Conti.News數據泄漏站點。根據Nikkel的說法,該組織通過竊取的RDP憑據、帶有惡意附件的網絡釣魚電子郵件獲得初始訪問權限。
“它們更像是一種低速和緩慢的攻擊,更類似于民族國家的攻擊。與現有的一些自動化攻擊相比,它們更像是一種人工操作的攻擊,” Nikkel說。
Conti類似于民族國家威脅行為者——他們做功課并仔細選擇目標。該組織試圖在數據發布到網站上之前為其尋找買家。
愛爾蘭的HSE、大眾汽車集團、美國幾個城市、縣和學區都受到了Conti的影響。
“他們通常會針對網絡中的特定設備或存在安全漏洞問題的脆弱部分。在行動前,偵察并挑出高回報、高價值的目標,然后發起網絡攻擊。他們非常有針對性,他們知道自己在尋找什么,”尼克爾說。
據觀察,在真正啟動勒索軟件之前Conti已經在網絡上呆了幾天甚至幾周。
“為了增加影響力,他們還使用網絡上已有的工具。這些工具已集成在系統當中,并與企業網絡融合在一起,利用某些脆弱的部分進行攻擊。因此使用靜態代碼檢測工具是加強軟件安全,降低系統安全漏洞的重要方式,這可以從根源上杜絕惡意軟件的捆綁,為企業網絡安全打好基礎。
DarkSide – 帶頭進行重大變革
DarkSide于2020年8月開始運營,并在2020年第三季度至第四季度左右聲名狼藉。
“他們的目標是有能力支付的公司,”Nikkel說。
DarkSide最大的一次行動是2021年5月的Colonial Pipeline泄露事件。事件發生后,執法部門關閉他們的博客、贖金收集網站,并破壞了數據基礎設施;查封的資金(至少200萬美元公開)。DarkSide于2021年5月13日宣布退出。
阿爾瓦拉多認為,Colonial Pipeline事件是勒索軟件集團發生重大變化的先驅者。由于此次攻擊影響非常嚴重,拜登政府發布了一項行政命令,以應對勒索軟件。他還聲稱,網絡犯罪論壇禁止了勒索軟件。
但僅過了一個月,另一個勒索軟件團伙——REvil集團——就盯上了JBS。又一個月后,Kasyea被攻擊。
JBS 支付 1100 萬美元解決勒索軟件攻擊 (c) Shutterstock
他們好像并不害怕是在和作對。
Nikkel 指出,勒索軟件集團現在似乎有些公關能力。今年1月,DarkSide宣布他們將不會攻擊與COVID疫苗接種有關的停尸房、殯儀館和醫療機構。
REvil——神秘的出口
REvil被認為在2019年取代了GandCrab。在被禁止之前,它在XSS和漏洞利用論壇上做廣告。XSS通過靜態代碼檢測可以在軟件開發期間及時發現,增加軟件安全性在一定程度上可以避免遭到此類勒索軟件攻擊。Revil是JBS和Kaseya攻擊的主犯,他們的第一次攻擊目標是一家名為GSMS的律師事務所。
“這家律師事務所代理過很多名人,包括唐納德·特朗普、Lady Gaga和麥當娜等幾位歌手,以及其他一些高調的名人。他們威脅要勒索數據,但律師事務所拒絕了,然后他們開始慢慢地發布不同的文件,以顯示他們確實獲得了很多數據,”Nikkel說。
至于JBS和Kaseya的襲擊,它們是有記錄以來數額最大的贖金。
在JBS襲擊事件發生后,REvil的代表接受了采訪,他說他們不在乎制裁,更嚴格的法律和指導方針,以及執法部門發出的東西。但在2021年7月這個組織神秘消失。
品牌重塑
“很多這樣的勒索組織已經重新命名,并用新的名字做同樣的事。”
例如,DarkSide和REvil 組成了BlackMatter勒索軟件組,Avaddo變成了Haron,DoppelPaymer現在是Grief,SynAck現在是El Cometa。
勒索軟件運營商并不害怕他們的目標是誰。他們所要做的就是更改名稱,做一個新網站并重新開始工作。
“現在回報肯定大于風險,因此,勒索軟件不會很快消失,”他說。
勒索軟件團伙潛伏在暗處并伺機準備行動,企業要做的除了不斷提高網絡安全意識,增加軟件防御設備外,使用安全可信的軟件及設備更是必不可少。尤其惡意軟件不斷提高技術手段以繞過安防軟件及設備,直接利用軟件安全漏洞發動攻擊。軟件安全是網絡安全最基礎的防線,而代碼是軟件的“底層建筑”。通過安全可控的源代碼檢測工具提高代碼質量,查找代碼缺陷可以有效提高軟件安全性,為網絡安全防御做好重要補充工作。
參讀鏈接:
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/119832.html