現在人盡皆知，勒索軟件變成了一個巨大的麻煩。

過去的一年中，我們見證了一系列勒索軟件的攻擊，攻擊摧毀了全球的很多企業。即使不是網絡安全行業的從業人員，都已經知道犯罪分子已經找到通過網絡進入公司的方法，然后犯罪分子可以鎖定計算機使之不可用，直到公司支付了相關的贖金才會恢復。

[[358710]]

COVID-19 的大流行使得很多國家的經濟處于下滑的邊緣，勒索軟件猛烈的攻擊勢頭進一步考驗了許多公司的經營狀況。

眾所周知，勒索軟件背后的網絡犯罪團伙正在蓬勃發展，不斷創造新的變種，并且在非法市場提供了能夠訪問其他公司內部網絡的權限。過去一年中，Intel 471 追蹤了 25 個不同的勒索軟件即服務(RaaS)的服務。我們旨在更好地了解網絡犯罪的的真實情況，全社會可以更好地了解這一日益嚴重的問題。

新興的 RaaS

崛起的 RaaS

以下變種確認與許多攻擊有關，其攻擊頻率在 2020 年有所增加，通常會在博客上掛出受害者的相關信息以羞辱拒絕支付贖金的公司。

規模龐大的 RaaS

這些規模龐大的 RaaS 在江湖中占有很高的地位，很多攻擊都與他們有關，整體倆看已經賺到了數億美元的收入，考慮到有些未披露的攻擊事件，實際數字會比這更高。

(1) DoppelPaymer

自 2019 年以來，DoppelPaymer 與 BitPaymer(又名 FriedEx )有關。CrowdStrike 強調了這些變體之間的一些相似之處，并推測 DoppelPaymer 可能是出自前 BitPaymer 開發成員的手筆。

DoppelPaymer 團隊基于 Tor 運營著一個名為 “Dopple leaks” 的博客，該博客用于發布有關受感染公司及其被盜數據的信息。受害者包括諸如墨西哥能源巨頭 Pemex 和與美國聯邦政府合作的 IT 承包商等。

DoppelPaymer 勒索軟件最受關注、最引起爭議的是 2020 年 9 月針對杜塞爾多夫大學醫院的攻擊。攻擊者者實際上是想以杜塞爾多夫大學為目標，但最終先感染了其醫院。攻擊者后續向醫院發送了數字密鑰使醫院恢復正常運轉。

(2) Egregor/Maze

在發布此報告時，Maze 勒索軟件即服務背后的維護者宣布將關閉運營。有人猜測，Maze 組織的成員可能會被納入 Egregor 勒索軟件背后的維護組織中。Egregor 在操作中遵循一種熟悉的模式：“攻陷公司網絡以竊取敏感數據并部署勒索軟件，與受害者進行通信并索取贖金，然后在受害者拒絕支付贖金時將敏感數據在博客上發布”。

有證據表明，Egregor 也與 Sekhmet 勒索軟件有關。Intel 471 的研究人員發現，Egregor 包含與 Sekhmet 相同的 Base64 編碼數據，其中最后一行包含來自失陷主機的其他參數。研究人員還發現，Egregor 的勒索信息與 Sekhmet 所使用的勒索信息是極為相似的。

在 Crytek、Ubisoft 和 Barnes&Noble 的攻擊事件中也發現了 Egregor 的身影。

(3) Netwalker

NetWalker 最早在 2019 年 9 月被發現，是 Intel 471 跟蹤的最活躍的服務之一。它背后的攻擊者在 2020 年率先使用了與 COVID-19 疫情大流行有關的釣魚郵件感染受害者。5月，其運營者啟用了一個基于 Tor 的博客，以發布那些拒絕支付贖金的受害者那里偷來的敏感數據。

攻擊者使用了無文件感染技術，據稱可以繞過 Windows 7 和更新版本操作系統的 UAC。NetWalker 可以在兩種模式下操作：在“網絡模式”下，可以控制單個計算機擴展到整個網絡進行勒索，而受害者可以購買具有主密鑰的解密工具或購買必要的密鑰以對某些計算機進行解密。在“個人模式”下，一次贖金只針對一臺計算機。

據稱，該組織僅在上個月就披露了 25 起與之有關的事件。Netwalker 攻擊中最引人注目的目標是密歇根州立大學，且該大學拒絕支付贖金。

(4) REvil

REvil 是市場上最常見的勒索軟件變體之一，首次被發現于 2019 年 4 月 17 日，攻擊者利用了 Oracle WebLogic 服務器中的漏洞(CVE-2019-2725)。兩個月后，在 XSS 論壇上開始出現銷售廣告。

REvil 一直是最活躍的勒索軟件團伙之一，聲稱對諸如英國金融服務提供商 Travelex，美國娛樂和媒體法律公司 Grubman Shire Meiselas&Sacks 以及美國德克薩斯州 23 個地方政府的攻擊負責。

REvil 獲得訪問權限的最常見方式之一是通過遠程桌面協議(RDP)漏洞，例如 BlueGate 漏洞，該漏洞允許用戶遠程執行代碼。在 Travelex 和 Grubman Shire Meiselas&Sacks 的攻擊案例中，通過利用過時的 Citrix 和 Pulse Secure 遠程訪問軟件可在“大約三分鐘內”訪問整個網絡。

REvil 發現 RaaS 的運營模式有利可圖，這種模式顯然導致了利潤的飛漲。根據 REvil 的說法，一個會員的收入從每個目標約 2 萬美元已經增長到 3 萬美元。

(5) Ryuk

Ryuk 幾乎可以說是勒索軟件的同義詞，因為該變種是最受歡迎的勒索軟件之一，有著大量的受害者。一開始，Ryuk 與 Trickbot 和 Emotet 在感染鏈中聯合攻擊。最近，我們還發現了 Ryuk 通過 Bazar Loader 投遞。

過去一年里，Ryuk 爆炸式增長，對全球數百萬起勒索軟件事件負責。一些安全研究人員估計，在今年發起的勒索軟件攻擊中，有多達三分之一都與 Ryuk 有關。而 Ryuk 今年的攻擊目標一直集中在醫療保健領域。

參考來源：Intel471