[[382648]]

勒索軟件行業(yè)無疑已經(jīng)發(fā)展了很長一段時間，從早期的AIDS木馬到如今非常商業(yè)化的勒索即服務(wù)模型(RaaS)，掠奪了各種規(guī)模的企業(yè)。現(xiàn)在，一種名為“雙重勒索”的新型勒索軟件技術(shù)正在隨著疫情的爆發(fā)而迅猛發(fā)展，這種技術(shù)不僅可以鎖定公司的文件，而且可以迫使公司支付贖金，否則其數(shù)據(jù)就會被公開泄露。

隨著勒索軟件攻擊的增加，這種勒索軟件的發(fā)展使公司以及使用這些公司產(chǎn)品的消費者處于困境。看看這些數(shù)字，很容易就能看出為什么：

•  70%的勒索軟件受害企業(yè)已支付了贖金，金額在20,000至40,000美元之間
•  勒索軟件受害的消費者支付了$ 500- $ 1,000勒索贖金
•  預計到2021年，勒索軟件將會使網(wǎng)絡(luò)犯罪分子凈賺200億美元
•  2019年-2023年期間，網(wǎng)絡(luò)犯罪可能使企業(yè)蒙受5.2萬億美元的額外成本和收入損失

更糟糕的是，網(wǎng)絡(luò)犯罪團伙針對各種規(guī)模的組織：2019年網(wǎng)絡(luò)犯罪受害者中有62%是中小型企業(yè)。

但是，擔心勒索軟件不斷上升的威脅的不僅僅是企業(yè)。Luca mela是一家追蹤名為“雙重勒索”的勒索軟件新策略的網(wǎng)站的創(chuàng)建者，Luca Mella告訴Cyber News，相較關(guān)于企業(yè)受到勒索軟件的新聞，消費者顯然應(yīng)該更擔心。“由于雙重勒索，在罪犯手中會傳輸大量數(shù)據(jù)，在許多情況下甚至是數(shù)百GB(千兆字節(jié))。”

他說，這非常令人擔憂。“當知道您的個人數(shù)據(jù)、身份證件掃描件、簡歷、賬單、工資單、采購訂單或任何其他此類信息正在被國際犯罪組織、國際犯罪分子或是本地詐騙犯獲取時，會有何感想?”

如果這些勒索軟件卡特爾出售消費者的個人數(shù)據(jù)，這些數(shù)據(jù)將被用于網(wǎng)絡(luò)釣魚或是身份盜竊等任何事情。因此，總的來說，每個人都應(yīng)該擔心勒索軟件及其大規(guī)模的增長。

REvil的雙重勒索戰(zhàn)術(shù)

REvil，也稱為Sodin或Sodinokibi，是一個勒索軟件組織，它是第一個對勒索軟件使用“雙重勒索”策略的勒索軟件，這是一種雙管齊下的將公司鎖定在他們文件之外的勒索方法，他們同時也威脅該公司如果不按時支付贖金，則向公眾公開數(shù)據(jù)。

REvil可能來自現(xiàn)已解散的GandCrab犯罪團伙，主要是基于以下事實：REvil在GandCrab退出后立即活躍起來，而且這兩個團伙使用的勒索軟件具有明顯的相似之處。GandCrab聲稱其已經(jīng)支付了超過20億美元的贖金，其運營商每周賺取250萬美元。

REvil于2020年6月首次使用雙重勒索策略，當時它正在拍賣從一家拒絕支付贖金的加拿大農(nóng)業(yè)生產(chǎn)公司處竊取的數(shù)據(jù)。

從那時起，諸如Maze和DoppelPaymer卡特爾這樣的競爭勒索軟件組織都采用了相同的策略，并且，很不幸的是它們都取得了成功。

例如，在2019年末，Maze卡特爾襲擊了猶他大學。當大學成功地從備份中還原了他們的數(shù)據(jù)時，Maze在數(shù)據(jù)加密之前先對其進行了竊取，并威脅要泄漏學生數(shù)據(jù)。因此，猶他大學被迫支付了457,059美元的贖金。

如果沒有雙重敲詐手段，網(wǎng)絡(luò)犯罪集團就將承擔損失。

不斷變化的業(yè)務(wù)結(jié)構(gòu)

需要注意的另一件事是：勒索軟件組織不僅在其策略上“進化”，而且在組織結(jié)構(gòu)上也“進化”了。在將一個特定勒索軟件病毒與一個特定群體聯(lián)系在一起之前，已經(jīng)形成了類似于黑手黨或商業(yè)組織的“卡特爾”。

這些卡特爾還具有為他們做事的“附屬機構(gòu)”，例如特權(quán)升級。主要組織使用附屬組織留下的后門和信標來植入勒索軟件并泄露數(shù)據(jù)，然后傳遞被盜的數(shù)據(jù)和攻擊信息。作為回報，他們獲得一定比例的分紅。

在黑客論壇上招募Darkside勒索軟件幫派的會員

聯(lián)盟計劃要么通過卡特爾將目標分配給小型聯(lián)盟團隊，要么由這些團隊自己尋找目標。一旦目標網(wǎng)絡(luò)被滲透，他們就將數(shù)據(jù)傳遞給卡特爾并收集付款。然后，卡特爾將數(shù)據(jù)提取出來，并在目標系統(tǒng)上對該數(shù)據(jù)進行加密。

此外，他們與其他網(wǎng)絡(luò)犯罪團伙合作，以共享資源，協(xié)調(diào)受害者數(shù)據(jù)的泄漏并勒索受害者。例如，Maze卡特爾由勒索軟件組Maze，LockBit，Ragnar Locker合作組成。

除此之外，這些勒索軟件卡特爾還模仿基于訂閱的軟件即服務(wù)(SaaS)模型，發(fā)展了他們的服務(wù)產(chǎn)品。這些卡特爾現(xiàn)在提供“勒索即服務(wù)(ransomware as-a- service)”，即勒索軟件行業(yè)的新進入者(個人或團體)，不再需要開發(fā)自己的惡意軟件或擁有必要的基礎(chǔ)架構(gòu)，這些組織具有“為您完成”的模型，即使非技術(shù)攻擊者也可以利用該模型攻擊和勒索受害者。

測量雙重勒索

在查看過去幾個月中盧卡·梅拉(Luca Mella)的雙重勒索跟蹤程序的數(shù)據(jù)時，我們可以看到，公開披露的違規(guī)行為次數(shù)激增：

當我們查看一個流行的黑客論壇上可供下載的公共數(shù)據(jù)庫的總數(shù)時，我們注意到了相同的趨勢：

需要注意的是，受勒索軟件攻擊影響的公司的真實數(shù)量是未知的。Mella告訴Cyber News：“在雙重勒索中，我們只會注意到整個活動的一小部分。尤其是在協(xié)商中支付贖金的公司沒有引起注意，并且有數(shù)種網(wǎng)絡(luò)保險也涵蓋了贖金。”

查看任何趨勢的一種方法是簡單地查看攻擊者正在泄漏的漏洞數(shù)量。這可能與雙重勒索策略有關(guān)–卡特爾可能會泄漏受影響公司數(shù)據(jù)庫的某些部分，以協(xié)助其“談判”。

實際上，正是由于這個確切的原因，我們已經(jīng)遇到了一些泄漏，例如，位于邁阿密的Intcomex：

但是，僅查看已聲明或泄漏的違規(guī)并不能真正呈現(xiàn)出正確的畫面。當我們查看勒索軟件參與者聲稱的泄漏時，趨勢變得更加清晰：

盡管Mella的分析從2020年8月才開始，但趨勢很明顯–勒索軟件隨著時間的流逝而增加，不同的網(wǎng)絡(luò)犯罪團伙隨時間增加其輸出。

他們的攻擊重點非常廣泛，其中制造業(yè)和零售業(yè)是受攻擊最嚴重的行業(yè)：

在跟蹤器運行一段時間后，Mella得出了一個清醒的結(jié)論：雙重勒索操作者似乎根本沒有對他們選擇的目標進行區(qū)分。

“我起初以為這些團伙只針對高價值的巨額支付目標，”梅拉告訴《網(wǎng)絡(luò)新聞》，“但數(shù)據(jù)顯示，他們實際上正在攻擊各種類型的公司：從價值億萬的公司到一家價值500萬美元的本地中小型企業(yè)。”

他還注意到，他們通常會瞄準一些專業(yè)服務(wù)機構(gòu)、律師事務(wù)所和零售企業(yè)，這也許是因為傳統(tǒng)上它們相較于銀行業(yè)這樣的成熟部門對網(wǎng)絡(luò)安全的準備不足。

“令我最驚訝的是受影響的行業(yè)種類繁多，其中包括許多醫(yī)療保健和非營利組織。”

當查看哪些勒索軟件組織或分支機構(gòu)在主導攻擊時，我們可以看到Conti，Netwalker和Maze構(gòu)成了所有攻擊的53%以上：

但是，由于迷宮卡特爾與Conti和RagnarLocker合作，因此可以將它們視為主要的攻擊組，總共占所有攻擊的39%。

勒索軟件和大流行

Mella收集了大部分數(shù)據(jù)，她表示，全球Covid-19大流行加速了雙重勒索行為，這些團伙以私人和公共組織為目標，從業(yè)務(wù)中斷中獲利，擴大附屬項目，并將僵尸網(wǎng)絡(luò)加入了他們的工具庫。

Mella認為，大流行是許多數(shù)字現(xiàn)象(包括雙重勒索)的催化劑。Covid-19的威脅和封鎖都加劇了雙重勒索的影響，網(wǎng)絡(luò)攻擊通常分為兩類：公司的IT變更和外部威脅。

“在幾天之內(nèi)，許多公司被迫打開安全防線，將大量勞動力投入到智能工作中，并同時引進新技術(shù)。”梅拉告訴CyberNews，“在很短的時間內(nèi)發(fā)生了太多變化，只有那些擁有最佳安全狀態(tài)的人才能妥善處理。現(xiàn)在，每家公司都不得不考慮這些增加的風險并進行應(yīng)對。”

在外部方面，他認為網(wǎng)絡(luò)犯罪分子意識到了這些弱點，并且已經(jīng)開始加大力度。“2019年底，雙重勒索隸屬關(guān)系服務(wù)總共只有兩三個;到2020年，這一數(shù)字將增長了10倍左右。”他告訴CyberNews。

雖然這里收集的所有數(shù)據(jù)尚待證實-網(wǎng)絡(luò)犯罪團伙聲稱他們破壞了一家公司這件事可能是一個謊言-但它確實提出了一個令人深省的結(jié)論：勒索軟件在2020年已經(jīng)是一個大問題，其發(fā)展軌跡表明它將在2021年及以后成為更大的問題。

勒索軟件策略的演變

勒索軟件的第一個實例發(fā)生在1989年，由約瑟夫·波普(Joseph Popp)編寫，被稱為AIDS特洛伊木馬。這種攻擊沒有現(xiàn)代的攻擊方法那樣有效：文件沒有經(jīng)過加密，而是隱藏在受害者的計算機上，唯一經(jīng)過加密的是文件名。即使這樣，解密密鑰也可以在木馬代碼中找到。

快進到2000年代中期，勒索軟件開始受到關(guān)注。到2006年，諸如GPCode之類的惡意軟件開始出現(xiàn)在公司計算機上，并以.doc，.html，.jpg，.xls，.zip和.rar等擴展名對計算機驅(qū)動器上的文件進行加密。然后，勒索軟件會在每個文件目錄中放置一個文本文件，指示受害者將電子郵件發(fā)送到指定的地址，勒索金額大約為$ 100- $ 200。

即使那樣，受害者也可以在無需支付任何贖金的情況下恢復數(shù)據(jù)。

但是，隨著網(wǎng)絡(luò)犯罪分子變得越來越復雜，他們使用越來越多的RSA加密密鑰大小來創(chuàng)建其木馬。在2006年1月，GPCode使用了56位RSA公鑰(在56小時內(nèi)破解)，但是在2008年6月，它使用了1024位RSA密鑰，如果真的強行破解，以當前計算機的水平估計最長要使用200萬年，因此破解是不可行的。

隨著比特幣的引入，勒索軟件確實變得更加有利可圖，并且可能更易于操作。2013年末，CryptoLocker勒索軟件傳播開來，在2013年10月15日至12月18日期間，其創(chuàng)建者獲得了大約2700萬美元的收入。

勒索軟件如CryptoBlocker，OphionBlocker和Pclock這樣的新變種不斷增加，這使用戶有72小時的時間來支付1比特幣的贖金。如果受害者不付款，文件將被刪除。

然后，Chimera在2015年開始發(fā)揮作用。這種特殊的勒索軟件誘騙公司員工點擊托管在Dropbox上的惡意文件鏈接，從而對受害者進行勒索。一旦被感染，攻擊者將要求約700美元的比特幣作為解密密鑰。但是，與標準勒索軟件流程不同的是，Chimera的創(chuàng)建者揚言如果受害者不支付贖金就將受害者的文件發(fā)布到互聯(lián)網(wǎng)上。沒有證據(jù)表明任何受害者的個人數(shù)據(jù)都曾被發(fā)布到網(wǎng)上過，但是這種勒索軟件策略的升級可能助長了勒索軟件的新常態(tài)，即“雙重勒索”。

避免勒索軟件的攻擊

由于卡特爾的結(jié)構(gòu)–會員、、分支機構(gòu)松散地滲透到目標網(wǎng)絡(luò)中–這些勒索軟件組織正在使用各種各樣的攻擊媒介。例如，Maze卡特爾(Maze Cartel)使用了妥協(xié)的RDP會話、弱用戶憑證、社會工程學等。

事實上，聯(lián)盟計劃的方式是非常巧妙的，因為它允許更多的去中心化的創(chuàng)造力和創(chuàng)新力：有效的卡特爾集團并不關(guān)心分支機構(gòu)具體是如何做的，只要它完成了即可得到報酬。這也允許卡特爾集團同時進行多個操作，如果所有操作都集中起來，將很難管理和維護。

有鑒于此，通過采用零信任安全策略(“不信任任何人”策略)可以為組織提供最佳服務(wù)。本質(zhì)上，在嘗試授予訪問權(quán)限之前，必須驗證組織內(nèi)部或外部嘗試連接到其系統(tǒng)的所有內(nèi)容。

緩解策略是至關(guān)重要的一個方面，組織備份其數(shù)據(jù)以便在受到攻擊時不會中斷其業(yè)務(wù)運營。

但是，這僅涵蓋了雙重勒索問題之一。企業(yè)還需要一種積極主動的戰(zhàn)略，其中包括：

•  防止惡意軟件傳播到設(shè)備：過濾允許的文件類型，阻止惡意網(wǎng)站等。
•  保護遠程訪問設(shè)備：修補已知漏洞，啟用MFA，使用安全的虛擬網(wǎng)絡(luò)，采用最低權(quán)限模型。
•  防止惡意軟件通過網(wǎng)絡(luò)傳播：使用MFA，修補虛擬網(wǎng)絡(luò)，防火墻，防病毒，設(shè)備和基礎(chǔ)架構(gòu)，隔離過時的平臺。
•  防止任何惡意軟件在設(shè)備上運行：集中管理設(shè)備，使軟件保持最新，盡快安裝安全更新并啟用自動更新。

盡管如此，梅拉告訴CyberNews，預防不應(yīng)該成為組織戰(zhàn)略的全部重點。相反，企業(yè)應(yīng)該準備應(yīng)急響應(yīng)。“有了正確的投資、良好的安全運營人員和快速的網(wǎng)絡(luò)應(yīng)急響應(yīng)能力，就有可能在勒索軟件運營商影響企業(yè)和利益相關(guān)者的信任之前攔截它們。”

本文翻譯自：https://cybernews.com/security/these-ransomware-cartels-will-leak-your-data-until-you-pay/如若轉(zhuǎn)載，請注明原文地址。