[[402936]]

2021年5月12日是世界第二個反勒索軟件日，無法否認的是：勒索軟件已成為安全界的流行語。這樣的說法不是沒有理由的,勒索軟件的威脅已經存在了很長時間，但是它也一直在發生改變。年復一年，攻擊者變得越來越大膽，攻擊的方法也在不斷地完善，當然，系統也在不斷地遭到破壞。然而，媒體對于勒索軟件的關注主要集中在哪些公司遭到了攻擊，而沒有聚焦勒索軟件本身。在此報告中，我們從勒索軟件的日常新聞中退后一步，跟隨漣漪回溯到這個系統的核心，以了解勒索軟件的組織方式。

首先，我們將揭穿三個先入為主的想法，這些想法阻礙了對勒索軟件威脅的正確思考。接下來，我們深入研究暗網，以演示網絡犯罪分子如何相互影響以及他們提供的服務類型。最后，我們以兩個著名的勒索軟件品牌結尾：REvil和Babuk。

無論我們在編寫此報告方面做了多少工作，在開始閱讀之前，請確保已安全備份您的數據!

第一部分：關于勒索軟件的三個先入之見

想法1：勒索軟件團伙就是團伙

隨著2020年大型獵殺游戲的興起，我們看到了勒索軟件世界中許多引人注目的群體。犯罪分子發現，受害者如果能夠事先建立某種信任，就更有可能支付贖金。為了確保他們恢復加密文件的能力永遠不會受到質疑，他們建立了在線形象，撰寫了新聞稿，并盡可能確保所有潛在受害者都知道他們的名字。

但是，通過將自己置于眾人關注之下，這些組織掩蓋了勒索軟件生態系統的實際復雜性。從外部看，它們似乎是單一實體。但實際上它們只是矛尖。在大多數攻擊中，都有大量參與者參與其中，一個關鍵的要點是，他們通過暗網市場相互提供服務。

Botmaster和帳戶轉銷商的任務是提供受害者網絡內部的初始訪問權限。在本次討論中，這個生態系統的其他成員(為了方便討論，我們將其命名為red team)使用此初始訪問權限來獲得對目標網絡的完全控制。在此過程中，他們將收集有關受害者的信息并竊取內部文件。

這些文件可能會轉發給外包的分析師團隊，他們將嘗試確定目標的實際財務狀況，以便確定他們可能支付的最高贖金價格。分析師還將留意任何可能用于支持其勒索策略的敏感信息或暗示性信息，目的是向決策者施加最大壓力。

當red team準備發動攻擊時，通常會從暗網開發人員那里購買勒索軟件產品，通常以贖金分成作為交換。這里有一個可選的角色是packer的開發者，他們可以為勒索軟件程序增加保護層，使得它們不易被安全產品所檢測到。

最后，與受害者談判可能由另外的團隊來處理，當支付贖金后，需要一整套全新的技能，以清洗所獲得的加密貨幣。

所有這一切當中，一個有趣的點是，“勒索軟件價值鏈”中的各個行為者不需要彼此了解，事實上他們也沒必要了解。他們通過互聯網相互交互，用加密貨幣支付服務費用。隨之而來的是，逮捕這些實體中的任何一個(雖然對威懾目的有用)對減緩生態系統幾乎沒有作用，因為無法獲知共同犯罪者的身份，并且在逮捕之后其他供應者將立即填補所造成的空缺。

勒索軟件世界必須被理解為一個生態系統，并被這樣對待：這是一個只能系統解決的問題，例如，通過阻止金錢在其內部流通，這首先要求不支付任何贖金。

想法2：有針對性的勒索軟件就是有針對性的

先前對勒索軟件生態系統的描述對于選擇受害者的方式具有重要意義。是的，犯罪集團越來越肆無忌憚，要求的贖金也越來越多。但是勒索軟件攻擊對他們來說也有機會主義的方面。據我們所知，這些團伙不會通過細讀英國《金融時報》來決定下一步的目標。

令人驚訝的是，獲得對受害者網絡的初始訪問權的人不是后來部署勒索軟件的人，因此需要將訪問收集視為一個完全獨立的業務。為了使其可行，賣方需要源源不斷的“產品”。花數周的時間試圖突破像《財富》中寫的500強公司這樣的既定目標，在財務上并不明智，因為要成功突破是一件很困難的事情。取而代之的是，準入賣家追求更低的目標。這種渠道有兩個主要來源：

•  僵尸網絡所有者。知名的惡意軟件家族參與了規模最大、影響最廣泛的活動。他們的主要目標是創建受感染計算機的網絡，盡管此時感染僅處于休眠狀態。僵尸網絡所有者(botmaster)將對受害機器的訪問權限作為一種資源出售，可以通過多種方式獲利，例如發起DDoS攻擊、分發垃圾郵件，或者在勒索軟件的情況下，利用這種初始感染來獲得立足點在一個潛在的目標。
•  訪問權限的賣家。黑客正在尋找面向互聯網的軟件(例如VPN設備或電子郵件網關)中公開披露的漏洞(1-days)。一旦披露了此漏洞，在防御者應用相應的更新之前，他們將會破壞盡可能多的受影響的服務器。

出售對組織的RDP的訪問權的報價示例

在這兩種情況下，只有在攻擊者退后一步并弄清他們違反了誰的事實之后，并且這種感染是否可能導致贖金的支付才是事實。勒索軟件生態系統中的參與者沒有針對性，因為他們幾乎從不選擇攻擊特定的組織。對這一事實的理解突顯了公司及時更新面向Internet的服務以及有能力在潛伏感染被利用進行不法行為之前檢測出它們的重要性。

想法3：網絡犯罪分子就是罪犯

好吧，嚴格來講，它們是。但是，由于勒索軟件生態系統的多樣性，這也是一個遠不止表面所見的領域。當然，勒索軟件生態系統與其他網絡犯罪領域(例如，刷卡或銷售點(PoS)黑客攻擊)之間存在一個有記錄的漏洞。但值得指出的是，并非該生態系統的所有成員都來自網絡犯罪黑社會。過去，高調的勒索軟件攻擊被用作一種破壞性手段。可以認為有些APT參與者仍在采取類似策略來破壞敵對者的經濟穩定，同時又有著合理的推諉理由，這并非不合理。

同樣，我們去年發布了一份有關Lazarus group試圖參與大型狩獵活動的報告。ClearSky發現了類似的活動，他們將其歸因于Fox Kitten APT。研究人員注意到，勒索軟件攻擊顯而易見的盈利能力已經吸引了一些國家贊助的黑客加入這一生態系統，以此來規避國際制裁。

我們的數據表明，這種勒索軟件攻擊僅占總數的一小部分。盡管它們并不能說明公司的防范體系存在什么問題，但它們的存在卻給受害者帶來了額外的風險。2020年10月1日，美國財政部OFAC發布了一份備忘錄，闡明了向攻擊者匯款的公司需要確保收款人不受國際制裁。該聲明似乎已經生效，并且它已經對勒索軟件市場造成了一定的影響。毫無疑問，對勒索軟件運營商進行盡職調查本身就是一個挑戰。

第二部分：暗網惡作劇

通過市場通道

在暗網上銷售與網絡犯罪相關的數字商品或服務時，盡管針對單個主題或產品的較小主題平臺，但大多數信息僅聚集在少數幾個大型平臺上。我們分析了三個主要論壇，在這些論壇上匯總了與勒索軟件相關的產品。這些論壇是使用勒索軟件的網絡罪犯進行積極交流和交易的主要平臺。雖然論壇上有數百種各式各樣的廣告和報價，但為了進行分析，我們僅選擇了幾十個已由論壇管理機構驗證并由具有良好聲譽的團體放置的報價。這些廣告包括各種各樣的報價，從源代碼銷售到定期更新的招聘廣告，主要是英語和俄語版本。

不同類型的報價

如前所述，勒索軟件生態系統由扮演不同角色的參與者組成。暗網論壇部分反映了這種情況，盡管這些市場上的報價主要針對銷售或招聘，但就像在任何市場上一樣，當運營商需要某些東西時，他們會在論壇上主動更新其廣告投放，并在滿足需求后立即將其撤下。勒索軟件開發人員和會員勒索軟件程序的運營商(以下簡稱“勒索軟件即服務”)提供以下服務：

•  邀請加入合作伙伴網絡，針對勒索軟件運營商的聯盟計劃
•  勒索軟件源代碼或勒索軟件生成器的廣告

第一種類型的參與假定勒索軟件組運營者與會員之間存在長期的合作關系。通常，勒索軟件運營商會分得20%到40%的利潤，而其余60-80%的利潤則屬于附屬會員。

在合作伙伴計劃中列出付款條件的要約示例

許多勒索軟件運營商正在尋找合作伙伴，但有些人也在出售勒索軟件源代碼或自己動手(DIY)勒索軟件包，報價從300美元到5000美元不等。

就勒索軟件的技術熟練程度和賣方投入的精力而言，出售勒索軟件源代碼或泄漏樣本是從勒索軟件獲利的最簡單方法。但是，由于源代碼和示例會很快失去其價值，這樣的報價也賺得最少。有兩種不同類型的報價：有支持/沒有支持。如果購買的勒索軟件沒有支持，則一旦網絡安全解決方案檢測到勒索軟件，購買者就需要自己弄清楚如何重新打包，或者找到一個可以提供樣本重新包裝的服務，但這仍然很容易就被安全解決方案檢測到。

提供支持的服務(誠然，在金融類惡意軟件市場中更為廣泛)通常會提供定期更新并做出有關惡意軟件更新的決策。

在這方面，與2017年相比，暗網論壇的報價沒有太大變化。

勒索軟件開發人員有時會在沒有客戶支持的情況下一次性購買生成器和源代碼

提供勒索軟件訂閱和附加服務看起來與任何其他合法產品的廣告非常相似，只是利益和價格范圍不同

暗網中看不到一些大型團伙

盡管暗網上提供的報價的數量和范圍肯定不小，但市場并不能反映整個勒索軟件生態系統。一些大型勒索軟件團體要么獨立工作，要么直接尋找合作伙伴(例如，據我們所知，Ryuk在Trickbot感染后能夠訪問其某些受害者的系統，這表明兩個團體之間存在潛在的伙伴關系)。因此，論壇通常會托管較小的參與者，要么是中等規模的RaaS運營商，要么是出售源代碼的較小參與者或新手。

暗網會員的基本規則

勒索軟件市場是一個封閉的市場，其背后的運營商對選擇與誰合作非常謹慎。這種謹慎反映在運營商放置的廣告以及他們選擇合作伙伴時附加的條件上。

第一個通用的規則是對運營商施加地理條件的限制。當惡意軟件操作員與合作伙伴合作時，他們避免在其所在轄區使用惡意軟件。會員需要嚴格遵守此規則，不遵守此規則的合作伙伴會很快失去對其一直使用的程序的訪問權限。

此外，運營商會篩選潛在的合作伙伴，例如通過檢查他們聲稱自己所來自的國家或地區的了解，來避免自己所雇用的是臥底官員，如下例所示。他們還可能根據其政治觀點對某些國籍施加限制。這些只是運營商試圖確保其安全性的一些方式。

在此示例中，該團伙建議通過詢問有關前蘇聯共和國的歷史和通常只有俄語為母語的人才能回答的晦澀問題來審查新的附屬組織。

根據這則廣告，Avaddon可能會考慮說英語的會員，如果他們已經建立聲譽或可以提供保證金。

為了更詳細的進行描述，我們選擇了2021年最值得關注的兩個大型狩獵類勒索軟件。

第一個是REvil(又名Sodinokibi)團伙。該勒索軟件自2019年以來在地下論壇上進行了廣告宣傳，并因以RaaS運營商的聲譽享有盛譽。該團伙的名字REvil經常出現在信息安全社區的新聞頭條中。在2021年，REvil運營商索要的贖金最高。

另一個是Babuk locker。Babuk是2021年發現的第一個的RaaS團伙，這表明他的活動量很大。

REvil

由REvil投放的廣告示例

REvil是最多產的RaaS運營之一。該團伙的首次活動是在2019年4月，在另一個現已淘汰的勒索軟件團伙GandCrab關閉之后。

為了分發勒索軟件，REvil與在網絡犯罪論壇上雇用的會員合作。贖金數量基于受害者的年收入，分銷商賺取贖金的60%至75%，使用門羅幣(XMR)加密貨幣進行支付。根據對REvil運營商的采訪，該團伙從2020年的運營中獲得了超過1億美元的收入。

開發人員會定期更新REvil勒索軟件，以避免被檢測到，同時提高持續攻擊的可靠性。該團伙在網絡犯罪論壇的各個帖子中宣布所有的重大更新和新的合作伙伴計劃項目。2021年4月18日，開發人員宣布勒索軟件的* nix實施正在進行封閉測試。

REvil通知了勒索軟件的* nix實施的內部測試

技術細節

REvil使用Salsa20對稱流算法通過橢圓曲線非對稱算法來加密文件和密鑰的內容。該惡意軟件樣本具有一個加密的配置塊，其中包含許多字段，攻擊者可以對該payload進行微調。該可執行文件可以在加密之前終止黑名單進程，竊取基本主機信息，對本地存儲設備和網絡共享上未列入白名單的文件和文件夾進行加密。您可以在我們的私密(https://opentip.kaspersky.com/comparison/?utm_source=SL&utm_medium=SL&utm_campaign=SL)和公共(https://securelist.com/sodin-ransomware/91473/)報告中，可以更詳細地了解REvil的技術功能。

現在，勒索軟件主要通過受損的RDP訪問、網絡釣魚和軟件漏洞進行分發。附屬機構負責獲得對公司網絡的初始訪問權限并部署locker，這是RaaS模型的標準做法。應當指出的是，該團伙對新會員的招募規則非常嚴格：REvil只招募會說俄語、有進入網絡經驗的高技能合作伙伴。

成功攻擊后，會發生特權提升、偵察和橫向移動。然后，操作員會評估、竊取和加密敏感文件。下一步是與受攻擊的公司進行談判。如果受害者決定不支付贖金，那么REvil操作員將開始在.onion Happy Blog網站上發布受攻擊公司的敏感數據。在數據泄露網站上公布泄露的機密數據的策略，最近已經成為Big Game Hunting的主流。

REvil博客上的帖子示例，其中包括從受害者那里竊取的數據

值得注意的是，勒索軟件運營商已開始對業務合作伙伴和記者使用語音呼叫業務以及DDoS攻擊來迫使受害者支付贖金。據運營商稱，該團伙于2021年3月推出了一項免費服務，可以安排讓會員組織與受害者的合作伙伴和媒體致電，從而施加壓力。外加收費的DDoS(L3，L7)服務。

REvil宣布了一項新功能，可以聯系受害者的合作伙伴和媒體，以便在要求贖金時施加額外壓力

根據我們的研究，該惡意軟件影響了近20個業務部門。受害比例最大的行業是工程與制造(30%)，其次是金融(14%)、專業與消費者服務(9%)、法律(7%)以及IT與電信(7%)。

這場攻擊運動的受害者包括通濟隆(Travelex)、百富門(Brown-Forman Corp.)、制藥集團皮埃爾•法布爾(Pierre Fabre)以及知名律師事務所格魯伯曼•夏爾•梅塞拉斯與薩克斯(Grubman Shire Meiselas & Sacks)等公司。2021年3月，該團伙侵入宏碁，索要5000萬美元的贖金，創下歷史最高紀錄。

2021年4月18日，REvil小組的一名成員宣布，該團伙在招募新成員的論壇上發帖稱，該組織即將宣布發動“有史以來最高調的攻擊”。4月20日，該組織在Happy Blog網站上發布了許多涉嫌針對Apple設備的設計圖紙。根據攻擊者的說法，數據是從Quanta的網絡中竊取的。Quanta Computer是一家中國臺灣的一家制造商，也是Apple的合作伙伴之一。Quanta最初的贖金要求為5000萬美元。

 

在過去的幾個季度中，REvil的目標活動激增

REvil團伙是Big Game Hunting的典型代表。在2021年，我們看到了針對公司敏感數據勒索更多贖金的趨勢。他們使用新策略向受害者施加壓力，積極開發非Windows版本，以及定期招募新分支機構的現象都表明在2021年，攻擊的數量和規模只會不斷增加。

Babuk

Babuk locker是2021年Big Game Hunting中的另一團伙。在2021年初，我們觀察到了幾起涉及該勒索軟件的事件。

2021年4月底，Babuk背后的攻擊者宣布活動結束，稱他們將公開其源代碼，以便“做類似開源RaaS的事情”。這意味著，一旦各種規模較小的威脅參與者采用泄漏的源代碼進行操作，我們可能會看到新一輪的勒索軟件活動。我們已經在其他RaaS和MaaS項目中看到過這種情況——去年的Android的Cerberus銀行木馬就是很好的例子。

Babuk關于終止運營的公告

該團伙顯然為每個受害者定制了獨特的樣本，因為它包括組織的硬編碼名稱、個人勒索軟件注釋以及加密文件的擴展名。Babuk的運營商也使用RaaS模型。在感染之前，分支機構或運營商會破壞目標網絡，因此他們可以確定如何有效部署勒索軟件并評估敏感數據，從而為受害者設定最高的現實勒索價格。巴布克(Babuk)背后的團隊將其小組定義為使用RDP作為感染媒介“隨機測試企業網絡安全性”的賽博朋克(CyberPunks)。該團伙向其會員提供80%的贖金。

Babuk投放的廣告示例

Babuk在講俄語和英語的黑客論壇上做廣告。2021年1月開始，一個論壇上出現了有關新勒索軟件Babuk的公告，隨后的帖子主要關注其更新和會員招募。

Babuk向新聞界發表的聲明解釋了他們的策略和受害者選擇

Babuk的白名單阻止了以下國家或地區的會員：中國、越南、塞浦路斯、俄羅斯和其他獨聯體國家。根據ZoomInfo，運營商還禁止攻擊醫院、非營利慈善機構和年收入低于3000萬美元的公司。要加入會員計劃，合作伙伴必須通過有關Hyper-V和ESXi虛擬機管理程序的面試。

Babuk可能是第一個因為公開宣布對LGBT和Black Lives Matter(BLM)社區持負面態度而登上頭條的勒索軟件幫派。正是由于這一事實，該組織將這些社區排除在白名單之外。但是在Babuk數據泄漏網站上的一篇關于兩個月工作結果總結的帖子中，該團伙報告說，他們已經將LGBT和BLM基金會以及慈善組織添加到了白名單中。

技術細節

關于加密算法，Babuk使用與橢圓曲線Diffie-Hellman(ECDH)相結合的對稱算法。成功加密后，該惡意軟件會在每個處理過的目錄中添加“How To Restore Your Files.txt”。除了文本之外，贖金記錄還包含指向一些被竊取數據的屏幕截圖的鏈接列表。這證明惡意軟件樣本是在受害者的數據被泄露之后被制作的。如上所述，每個樣本都是針對特定目標定制的。

在贖金記錄中，該團伙還建議受害者使用其個人聊天門戶網站進行談判。這些步驟并不僅限于Babuk，但通常出現在Big Game Hunting中。值得注意的是，贖金記錄的文本還包含一個指向.onion數據泄漏站點上相關帖子的私有鏈接，該鏈接無法從該站點的主頁上訪問。這里有一些屏幕截圖、關于被盜文件類型的文字描述以及針對受害者的一般威脅。如果受害者決定不與網絡罪犯談判，則此帖子的鏈接將公開。

Babuk locker背后的組織主要針對歐洲、美國和大洋洲的大型工業組織。目標行業包括但不限于運輸服務、醫療保健部門以及各種工業設備供應商。實際上，最近的案例表明，Babuk運營商正在擴大目標范圍。4月26日，DC警察局證實其網絡已被破壞，Babuk運營商聲稱對此事負責，并在他們的.onion數據泄露網站宣布了此次攻擊。

Babuk宣布成功攻擊DC警察局

根據該網站上的帖子，該團伙從華盛頓特區警察局網絡中竊取了250GB以上的數據。截至撰寫本文時，警察局還有三天時間開始與攻擊者進行談判，否則，該組織將開始向犯罪團伙泄漏數據。Babuk還警告說，它將繼續攻擊美國國有企業。

結論

2021年4月23日，我們發布的勒索軟件統計數據顯示，遭受該威脅的用戶數量顯著下降。不過這些數字不應該被曲解：盡管隨機個體遭受勒索軟件的可能性確實比過去要少，但對公司的風險從未如此高。

勒索軟件生態系統一直渴望利潤最大化，他們現在正在逐漸壯大，以致于可以被視為是對全球公司的系統性威脅。

曾經有一段時間，中小企業大多忽略了信息安全帶來的挑戰：他們太微小了，APT參與者根本不會將他們置于監視之下，但他們又足夠強大，不會受到隨機和一般攻擊的影響。但現在那些日子過去了，所有公司現在都必須做好抵御犯罪集團的準備。

值得慶幸的是，此類攻擊者通常會先攻擊一些容易得手的對象，因此從現在開始采取適當的安全措施將大有作為。

在5月12日(即反勒索軟件日)，卡巴斯基鼓勵組織遵循以下最佳做法，以保護您的組織免受勒索軟件的侵害：

• 經常更新所有設備上的軟件，以防止攻擊者通過利用漏洞滲透到您的網絡中。
• 將防御策略的重點放在檢測橫向移動和數據泄露上。要特別注意傳出的流量，以檢測網絡犯罪連接。設置入侵者無法篡改的脫機備份。確保在緊急情況下可以快速訪問它們。
• 為了保護公司環境，請對您的員工進行專門培訓。專門的培訓課程可以提供幫助，例如卡巴斯基自動安全意識平臺中提供的課程。
•  對您的網絡進行網絡安全審核，并及時修復在外部或內部發現的所有弱點。
• 對所有端點啟用勒索軟件保護。
•  安裝反APT和EDR解決方案，以實現高級威脅發現和檢測、調查以及對事件進行及時補救的功能。為您的SOC團隊提供最新威脅情報的訪問權限，并通過專業培訓定期對其進行升級。
• 如果您不幸成為受害者，切勿支付贖金。它不能保證您能取回數據，但會鼓勵犯罪分子繼續其活動。相反，您應將事件報告給您當地的執法機構。嘗試在互聯網上找到一個解密程序，例如https://www.nomoreransom.org/en/index.html

本文翻譯自： https://securelist.com/ransomware-world-in-2021/102169/如若轉載，請注明原文地址。