事件：REvil 基礎(chǔ)設(shè)施突然重新開啟

REvil 勒索軟件操作的暗網(wǎng)服務(wù)器在缺席近兩個(gè)月后突然重新啟動(dòng)。目前尚不清楚這是否標(biāo)志著他們的勒索軟件團(tuán)伙的回歸或執(zhí)法部門正在打開服務(wù)器。

7月2日，REvil 勒索軟件團(tuán)伙(又名 Sodinokibi)利用 Kaseya VSA 遠(yuǎn)程管理軟件中的零日漏洞對(duì)大約60家托管服務(wù)提供商(MSP) 及其1,500多家企業(yè)客戶進(jìn)行加密。

然后，REvil要求MSP提供500萬(wàn)美元用于解密器，或44,999美元用于各個(gè)企業(yè)的每個(gè)加密擴(kuò)展。

該團(tuán)伙還要求提供7000萬(wàn)美元的主解密密鑰來(lái)解密所有Kaseya受害者，但很快將價(jià)格降至5000萬(wàn)美元。

襲擊發(fā)生后，勒索軟件團(tuán)伙面臨來(lái)自執(zhí)法部門和白宮的越來(lái)越大的壓力，他們警告說(shuō)，如果俄羅斯不對(duì)境內(nèi)的威脅行為者采取行動(dòng)，美國(guó)將自行采取行動(dòng)。

不久之后，REvil勒索軟件團(tuán)伙消失了，他們所有的Tor服務(wù)器和基礎(chǔ)設(shè)施都被關(guān)閉。

9月7日，Tor支付/談判站點(diǎn)和REvil的Tor Happy Blog 數(shù)據(jù)泄露站點(diǎn)突然重新上線。

卷土重來(lái)

最危險(xiǎn)的勒索軟件團(tuán)伙可能已經(jīng)銷聲匿跡，但這只意味著他們正在進(jìn)行品牌重塑，改進(jìn)戰(zhàn)術(shù)，并發(fā)動(dòng)更猛烈的攻擊。

你準(zhǔn)備好了嗎?

在Colonial Pipeline、JBS和Kaseya網(wǎng)絡(luò)攻擊之后，勒索軟件組織被禁止進(jìn)入網(wǎng)絡(luò)犯罪論壇。其中一些甚至消失了，但這并不意味著它們?cè)诔吠?。如果說(shuō)和之前有什么不同的話，那就是勒索軟件團(tuán)伙變得更危險(xiǎn)了。

數(shù)字風(fēng)險(xiǎn)保護(hù)公司Digital Shadows的威脅情報(bào)經(jīng)理Alec Alvadaro認(rèn)為，他們并不害怕他們的目標(biāo)是誰(shuí)，現(xiàn)在發(fā)動(dòng)網(wǎng)絡(luò)攻擊的回報(bào)肯定大于風(fēng)險(xiǎn)，因此勒索軟件不會(huì)很快消失。

在最近的網(wǎng)絡(luò)研討會(huì)中，Digital Shadows研究了勒索軟件的前景，最著名的勒索軟件集團(tuán)，以及他們的戰(zhàn)術(shù)演變。

網(wǎng)絡(luò)犯罪論壇禁止勒索軟件

勒索軟件噩夢(mèng)始于2019年，當(dāng)時(shí)已經(jīng)解散的Maze勒索軟件集團(tuán)引入了雙重勒索戰(zhàn)術(shù)。

阿爾瓦拉多說(shuō):“對(duì)一個(gè)人有利的事對(duì)所有人都有利?！币徊ɡ账鬈浖F(tuán)體開始追隨這一趨勢(shì)。到2019年，組織學(xué)會(huì)了如何在一定程度上減輕勒索軟件的威脅，使用備份并安全存儲(chǔ)它們并將數(shù)據(jù)離線。自然，網(wǎng)絡(luò)犯罪分子創(chuàng)新并采用了雙重勒索策略。

在媒體報(bào)道中，勒索軟件團(tuán)伙發(fā)起很多影響巨大的攻擊，并且影響非常嚴(yán)重。

2019年以來(lái)，出現(xiàn)Maze勒索軟件網(wǎng)站、Sodinokibi(REvil)運(yùn)營(yíng)的Happy Blog、Conti News、Babuk Locker等多個(gè)數(shù)據(jù)泄露網(wǎng)站。自這一趨勢(shì)開始以來(lái)，已有超過(guò) 2,600 名受害者出現(xiàn)在數(shù)據(jù)泄露站點(diǎn)，僅在2021年第二季度，就有740名不同的受害者被點(diǎn)名。

有些論壇開始對(duì)勒索軟件施行禁令，不僅不僅禁止銷售任何附屬公司或與勒索軟件相關(guān)的任何惡意軟件，甚至還禁止討論它。

由于XSS和Exploit等論壇禁止勒索軟件團(tuán)伙，他們轉(zhuǎn)向Telegram等社交媒體渠道討論勒索軟件業(yè)務(wù)。

在Colonial Pipeline、肉類供應(yīng)商JBS和Kaseya遭受臭名昭著的網(wǎng)絡(luò)攻擊后，勒索軟件參與者在論壇上被禁止。

Kaseya 遭到網(wǎng)絡(luò)攻擊 (c) Shutterstock

2021年上半年的頂級(jí)勒索軟件攻擊者是Conti、Avaddon、PYSA、REvil、DarkSide、Babuk Locker、DoppelPaymer 和Cl0p。

還有一些新貴，自今年第二季度開始增加活動(dòng)，如普羅米修斯(Prometheus)、LV 和另外15個(gè)組織。

如果是美國(guó)的工業(yè)品行業(yè)、建筑、零售、技術(shù)和醫(yī)療保健領(lǐng)域，處境將很危險(xiǎn)。每個(gè)月最受關(guān)注的地區(qū)將是美國(guó)，緊隨其后的是歐洲部分地區(qū)和亞洲部分地區(qū)，如印度、中國(guó)和其他一些國(guó)家。受到?jīng)_擊的將主要是規(guī)模更大、It和工業(yè)比重更高的國(guó)家。

最近主導(dǎo)該領(lǐng)域的勒索軟件組織盡管其中一些可能已經(jīng)消失，但這并不意味著它們不會(huì)再以另一個(gè)名字發(fā)動(dòng)襲擊。

殖民管道網(wǎng)絡(luò)攻擊導(dǎo)致天然氣短缺 (c) Shutterstock

Conti勒索軟件 – 穩(wěn)準(zhǔn)狠的攻擊手段

Conti于2019年底開始運(yùn)營(yíng)，并運(yùn)行Conti.News數(shù)據(jù)泄漏站點(diǎn)。根據(jù)Nikkel的說(shuō)法，該組織通過(guò)竊取的RDP憑據(jù)、帶有惡意附件的網(wǎng)絡(luò)釣魚電子郵件獲得初始訪問權(quán)限。

“它們更像是一種低速和緩慢的攻擊，更類似于民族國(guó)家的攻擊。與現(xiàn)有的一些自動(dòng)化攻擊相比，它們更像是一種人工操作的攻擊，” Nikkel說(shuō)。

Conti類似于民族國(guó)家威脅行為者——他們做功課并仔細(xì)選擇目標(biāo)。該組織試圖在數(shù)據(jù)發(fā)布到網(wǎng)站上之前為其尋找買家。

愛爾蘭的HSE、大眾汽車集團(tuán)、美國(guó)幾個(gè)城市、縣和學(xué)區(qū)都受到了Conti的影響。

“他們通常會(huì)針對(duì)網(wǎng)絡(luò)中的特定設(shè)備或存在安全漏洞問題的脆弱部分。在行動(dòng)前，偵察并挑出高回報(bào)、高價(jià)值的目標(biāo)，然后發(fā)起網(wǎng)絡(luò)攻擊。他們非常有針對(duì)性，他們知道自己在尋找什么，”尼克爾說(shuō)。

據(jù)觀察，在真正啟動(dòng)勒索軟件之前Conti已經(jīng)在網(wǎng)絡(luò)上呆了幾天甚至幾周。

“為了增加影響力，他們還使用網(wǎng)絡(luò)上已有的工具。這些工具已集成在系統(tǒng)當(dāng)中，并與企業(yè)網(wǎng)絡(luò)融合在一起，利用某些脆弱的部分進(jìn)行攻擊。因此使用靜態(tài)代碼檢測(cè)工具是加強(qiáng)軟件安全，降低系統(tǒng)安全漏洞的重要方式，這可以從根源上杜絕惡意軟件的捆綁，為企業(yè)網(wǎng)絡(luò)安全打好基礎(chǔ)。

DarkSide – 帶頭進(jìn)行重大變革

DarkSide于2020年8月開始運(yùn)營(yíng)，并在2020年第三季度至第四季度左右聲名狼藉。

“他們的目標(biāo)是有能力支付的公司，”Nikkel說(shuō)。

DarkSide最大的一次行動(dòng)是2021年5月的Colonial Pipeline泄露事件。事件發(fā)生后，執(zhí)法部門關(guān)閉他們的博客、贖金收集網(wǎng)站，并破壞了數(shù)據(jù)基礎(chǔ)設(shè)施;查封的資金(至少200萬(wàn)美元公開)。DarkSide于2021年5月13日宣布退出。

阿爾瓦拉多認(rèn)為，Colonial Pipeline事件是勒索軟件集團(tuán)發(fā)生重大變化的先驅(qū)者。由于此次攻擊影響非常嚴(yán)重，拜登政府發(fā)布了一項(xiàng)行政命令，以應(yīng)對(duì)勒索軟件。他還聲稱，網(wǎng)絡(luò)犯罪論壇禁止了勒索軟件。

但僅過(guò)了一個(gè)月，另一個(gè)勒索軟件團(tuán)伙——REvil集團(tuán)——就盯上了JBS。又一個(gè)月后，Kasyea被攻擊。

JBS 支付 1100 萬(wàn)美元解決勒索軟件攻擊 (c) Shutterstock

他們好像并不害怕是在和作對(duì)。

Nikkel 指出，勒索軟件集團(tuán)現(xiàn)在似乎有些公關(guān)能力。今年1月，DarkSide宣布他們將不會(huì)攻擊與COVID疫苗接種有關(guān)的停尸房、殯儀館和醫(yī)療機(jī)構(gòu)。

REvil——神秘的出口

REvil被認(rèn)為在2019年取代了GandCrab。在被禁止之前，它在XSS和漏洞利用論壇上做廣告。XSS通過(guò)靜態(tài)代碼檢測(cè)可以在軟件開發(fā)期間及時(shí)發(fā)現(xiàn)，增加軟件安全性在一定程度上可以避免遭到此類勒索軟件攻擊。Revil是JBS和Kaseya攻擊的主犯，他們的第一次攻擊目標(biāo)是一家名為GSMS的律師事務(wù)所。

“這家律師事務(wù)所代理過(guò)很多名人，包括唐納德·特朗普、Lady Gaga和麥當(dāng)娜等幾位歌手，以及其他一些高調(diào)的名人。他們威脅要勒索數(shù)據(jù)，但律師事務(wù)所拒絕了，然后他們開始慢慢地發(fā)布不同的文件，以顯示他們確實(shí)獲得了很多數(shù)據(jù)，”Nikkel說(shuō)。

至于JBS和Kaseya的襲擊，它們是有記錄以來(lái)數(shù)額最大的贖金。

在JBS襲擊事件發(fā)生后，REvil的代表接受了采訪，他說(shuō)他們不在乎制裁，更嚴(yán)格的法律和指導(dǎo)方針，以及執(zhí)法部門發(fā)出的東西。但在2021年7月這個(gè)組織神秘消失。

品牌重塑

“很多這樣的勒索組織已經(jīng)重新命名，并用新的名字做同樣的事。”

例如，DarkSide和REvil 組成了BlackMatter勒索軟件組，Avaddo變成了Haron，DoppelPaymer現(xiàn)在是Grief，SynAck現(xiàn)在是El Cometa。

勒索軟件運(yùn)營(yíng)商并不害怕他們的目標(biāo)是誰(shuí)。他們所要做的就是更改名稱，做一個(gè)新網(wǎng)站并重新開始工作。

“現(xiàn)在回報(bào)肯定大于風(fēng)險(xiǎn)，因此，勒索軟件不會(huì)很快消失，”他說(shuō)。

勒索軟件團(tuán)伙潛伏在暗處并伺機(jī)準(zhǔn)備行動(dòng)，企業(yè)要做的除了不斷提高網(wǎng)絡(luò)安全意識(shí)，增加軟件防御設(shè)備外，使用安全可信的軟件及設(shè)備更是必不可少。尤其惡意軟件不斷提高技術(shù)手段以繞過(guò)安防軟件及設(shè)備，直接利用軟件安全漏洞發(fā)動(dòng)攻擊。軟件安全是網(wǎng)絡(luò)安全最基礎(chǔ)的防線，而代碼是軟件的“底層建筑”。通過(guò)安全可控的源代碼檢測(cè)工具提高代碼質(zhì)量，查找代碼缺陷可以有效提高軟件安全性，為網(wǎng)絡(luò)安全防御做好重要補(bǔ)充工作。

參讀鏈接：

cybernews.com/security/in…