2021年5月12日是世界第二个反勒索软件日,无法否认的是:勒索软件已成为安全界的流行语。这样的说法不是没有理由的,勒索软件的威胁已经存在了很长时间,但是它也一直在发生改变。年复一年,攻击者变得越来越大胆,攻击的方法也在不断地完善,当然,系统也在不断地遭到破坏。然而,媒体对于勒索软件的关注主要集中在哪些公司遭到了攻击,而没有聚焦勒索软件本身。在此报告中,我们从勒索软件的日常新闻中退后一步,跟随涟漪回溯到这个系统的核心,以了解勒索软件的组织方式。
首先,我们将揭穿三个先入为主的想法,这些想法阻碍了对勒索软件威胁的正确思考。接下来,我们深入研究暗网,以演示网络犯罪分子如何相互影响以及他们提供的服务类型。最后,我们以两个著名的勒索软件品牌结尾:REvil和Babuk。
无论我们在编写此报告方面做了多少工作,在开始阅读之前,请确保已安全备份您的数据!
第一部分:关于勒索软件的三个先入之见
想法1:勒索软件团伙就是团伙
随着2020年大型猎杀游戏的兴起,我们看到了勒索软件世界中许多引人注目的群体。犯罪分子发现,受害者如果能够事先建立某种信任,就更有可能支付赎金。为了确保他们恢复加密文件的能力永远不会受到质疑,他们建立了在线形象,撰写了新闻稿,并尽可能确保所有潜在受害者都知道他们的名字。
但是,通过将自己置于众人关注之下,这些组织掩盖了勒索软件生态系统的实际复杂性。从外部看,它们似乎是单一实体。但实际上它们只是矛尖。在大多数攻击中,都有大量参与者参与其中,一个关键的要点是,他们通过暗网市场相互提供服务。
Botmaster和帐户转销商的任务是提供受害者网络内部的初始访问权限。在本次讨论中,这个生态系统的其他成员(为了方便讨论,我们将其命名为red team)使用此初始访问权限来获得对目标网络的完全控制。在此过程中,他们将收集有关受害者的信息并窃取内部文件。
这些文件可能会转发给外包的分析师团队,他们将尝试确定目标的实际财务状况,以便确定他们可能支付的最高赎金价格。分析师还将留意任何可能用于支持其勒索策略的敏感信息或暗示性信息,目的是向决策者施加最大压力。
当red team准备发动攻击时,通常会从暗网开发人员那里购买勒索软件产品,通常以赎金分成作为交换。这里有一个可选的角色是packer的开发者,他们可以为勒索软件程序增加保护层,使得它们不易被安全产品所检测到。
最后,与受害者谈判可能由另外的团队来处理,当支付赎金后,需要一整套全新的技能,以清洗所获得的加密货币。
所有这一切当中,一个有趣的点是,“勒索软件价值链”中的各个行为者不需要彼此了解,事实上他们也没必要了解。他们通过互联网相互交互,用加密货币支付服务费用。随之而来的是,逮捕这些实体中的任何一个(虽然对威慑目的有用)对减缓生态系统几乎没有作用,因为无法获知共同犯罪者的身份,并且在逮捕之后其他供应者将立即填补所造成的空缺。
勒索软件世界必须被理解为一个生态系统,并被这样对待:这是一个只能系统解决的问题,例如,通过阻止金钱在其内部流通,这首先要求不支付任何赎金。
想法2:有针对性的勒索软件就是有针对性的
先前对勒索软件生态系统的描述对于选择受害者的方式具有重要意义。是的,犯罪集团越来越肆无忌惮,要求的赎金也越来越多。但是勒索软件攻击对他们来说也有机会主义的方面。据我们所知,这些团伙不会通过细读英国《金融时报》来决定下一步的目标。
令人惊讶的是,获得对受害者网络的初始访问权的人不是后来部署勒索软件的人,因此需要将访问收集视为一个完全独立的业务。为了使其可行,卖方需要源源不断的“产品”。花数周的时间试图突破像《财富》中写的500强公司这样的既定目标,在财务上并不明智,因为要成功突破是一件很困难的事情。取而代之的是,准入卖家追求更低的目标。这种渠道有两个主要来源:
- 僵尸网络所有者。知名的恶意软件家族参与了规模最大、影响最广泛的活动。他们的主要目标是创建受感染计算机的网络,尽管此时感染仅处于休眠状态。僵尸网络所有者(botmaster)将对受害机器的访问权限作为一种资源出售,可以通过多种方式获利,例如发起DDoS攻击、分发垃圾邮件,或者在勒索软件的情况下,利用这种初始感染来获得立足点在一个潜在的目标。
- 访问权限的卖家。黑客正在寻找面向互联网的软件(例如VPN设备或电子邮件网关)中公开披露的漏洞(1-days)。一旦披露了此漏洞,在防御者应用相应的更新之前,他们将会破坏尽可能多的受影响的服务器。
出售对组织的RDP的访问权的报价示例
在这两种情况下,只有在攻击者退后一步并弄清他们违反了谁的事实之后,并且这种感染是否可能导致赎金的支付才是事实。勒索软件生态系统中的参与者没有针对性,因为他们几乎从不选择攻击特定的组织。对这一事实的理解突显了公司及时更新面向Internet的服务以及有能力在潜伏感染被利用进行不法行为之前检测出它们的重要性。
想法3:网络犯罪分子就是罪犯
好吧,严格来讲,它们是。但是,由于勒索软件生态系统的多样性,这也是一个远不止表面所见的领域。当然,勒索软件生态系统与其他网络犯罪领域(例如,刷卡或销售点(PoS)黑客攻击)之间存在一个有记录的漏洞。但值得指出的是,并非该生态系统的所有成员都来自网络犯罪黑社会。过去,高调的勒索软件攻击被用作一种破坏性手段。可以认为有些APT参与者仍在采取类似策略来破坏敌对者的经济稳定,同时又有着合理的推诿理由,这并非不合理。
同样,我们去年发布了一份有关Lazarus group试图参与大型狩猎活动的报告。ClearSky发现了类似的活动,他们将其归因于Fox Kitten APT。研究人员注意到,勒索软件攻击显而易见的盈利能力已经吸引了一些国家赞助的黑客加入这一生态系统,以此来规避国际制裁。
我们的数据表明,这种勒索软件攻击仅占总数的一小部分。尽管它们并不能说明公司的防范体系存在什么问题,但它们的存在却给受害者带来了额外的风险。2020年10月1日,美国财政部OFAC发布了一份备忘录,阐明了向攻击者汇款的公司需要确保收款人不受国际制裁。该声明似乎已经生效,并且它已经对勒索软件市场造成了一定的影响。毫无疑问,对勒索软件运营商进行尽职调查本身就是一个挑战。
第二部分:暗网恶作剧
通过市场通道
在暗网上销售与网络犯罪相关的数字商品或服务时,尽管针对单个主题或产品的较小主题平台,但大多数信息仅聚集在少数几个大型平台上。我们分析了三个主要论坛,在这些论坛上汇总了与勒索软件相关的产品。这些论坛是使用勒索软件的网络罪犯进行积极交流和交易的主要平台。虽然论坛上有数百种各式各样的广告和报价,但为了进行分析,我们仅选择了几十个已由论坛管理机构验证并由具有良好声誉的团体放置的报价。这些广告包括各种各样的报价,从源代码销售到定期更新的招聘广告,主要是英语和俄语版本。
不同类型的报价
如前所述,勒索软件生态系统由扮演不同角色的参与者组成。暗网论坛部分反映了这种情况,尽管这些市场上的报价主要针对销售或招聘,但就像在任何市场上一样,当运营商需要某些东西时,他们会在论坛上主动更新其广告投放,并在满足需求后立即将其撤下。勒索软件开发人员和会员勒索软件程序的运营商(以下简称“勒索软件即服务”)提供以下服务:
- 邀请加入合作伙伴网络,针对勒索软件运营商的联盟计划
- 勒索软件源代码或勒索软件生成器的广告
第一种类型的参与假定勒索软件组运营者与会员之间存在长期的合作关系。通常,勒索软件运营商会分得20%到40%的利润,而其余60-80%的利润则属于附属会员。
在合作伙伴计划中列出付款条件的要约示例
许多勒索软件运营商正在寻找合作伙伴,但有些人也在出售勒索软件源代码或自己动手(DIY)勒索软件包,报价从300美元到5000美元不等。
就勒索软件的技术熟练程度和卖方投入的精力而言,出售勒索软件源代码或泄漏样本是从勒索软件获利的最简单方法。但是,由于源代码和示例会很快失去其价值,这样的报价也赚得最少。有两种不同类型的报价:有支持/没有支持。如果购买的勒索软件没有支持,则一旦网络安全解决方案检测到勒索软件,购买者就需要自己弄清楚如何重新打包,或者找到一个可以提供样本重新包装的服务,但这仍然很容易就被安全解决方案检测到。
提供支持的服务(诚然,在金融类恶意软件市场中更为广泛)通常会提供定期更新并做出有关恶意软件更新的决策。
在这方面,与2017年相比,暗网论坛的报价没有太大变化。
勒索软件开发人员有时会在没有客户支持的情况下一次性购买生成器和源代码
提供勒索软件订阅和附加服务看起来与任何其他合法产品的广告非常相似,只是利益和价格范围不同
暗网中看不到一些大型团伙
尽管暗网上提供的报价的数量和范围肯定不小,但市场并不能反映整个勒索软件生态系统。一些大型勒索软件团体要么独立工作,要么直接寻找合作伙伴(例如,据我们所知,Ryuk在Trickbot感染后能够访问其某些受害者的系统,这表明两个团体之间存在潜在的伙伴关系)。因此,论坛通常会托管较小的参与者,要么是中等规模的RaaS运营商,要么是出售源代码的较小参与者或新手。
暗网会员的基本规则
勒索软件市场是一个封闭的市场,其背后的运营商对选择与谁合作非常谨慎。这种谨慎反映在运营商放置的广告以及他们选择合作伙伴时附加的条件上。
第一个通用的规则是对运营商施加地理条件的限制。当恶意软件操作员与合作伙伴合作时,他们避免在其所在辖区使用恶意软件。会员需要严格遵守此规则,不遵守此规则的合作伙伴会很快失去对其一直使用的程序的访问权限。
此外,运营商会筛选潜在的合作伙伴,例如通过检查他们声称自己所来自的国家或地区的了解,来避免自己所雇用的是卧底官员,如下例所示。他们还可能根据其政治观点对某些国籍施加限制。这些只是运营商试图确保其安全性的一些方式。
在此示例中,该团伙建议通过询问有关前苏联共和国的历史和通常只有俄语为母语的人才能回答的晦涩问题来审查新的附属组织。
根据这则广告,Avaddon可能会考虑说英语的会员,如果他们已经建立声誉或可以提供保证金。
为了更详细的进行描述,我们选择了2021年最值得关注的两个大型狩猎类勒索软件。
第一个是REvil(又名Sodinokibi)团伙。该勒索软件自2019年以来在地下论坛上进行了广告宣传,并因以RaaS运营商的声誉享有盛誉。该团伙的名字REvil经常出现在信息安全社区的新闻头条中。在2021年,REvil运营商索要的赎金最高。
另一个是Babuk locker。Babuk是2021年发现的第一个的RaaS团伙,这表明他的活动量很大。
REvil
由REvil投放的广告示例
REvil是最多产的RaaS运营之一。该团伙的首次活动是在2019年4月,在另一个现已淘汰的勒索软件团伙GandCrab关闭之后。
为了分发勒索软件,REvil与在网络犯罪论坛上雇用的会员合作。赎金数量基于受害者的年收入,分销商赚取赎金的60%至75%,使用门罗币(XMR)加密货币进行支付。根据对REvil运营商的采访,该团伙从2020年的运营中获得了超过1亿美元的收入。
开发人员会定期更新REvil勒索软件,以避免被检测到,同时提高持续攻击的可靠性。该团伙在网络犯罪论坛的各个帖子中宣布所有的重大更新和新的合作伙伴计划项目。2021年4月18日,开发人员宣布勒索软件的* nix实施正在进行封闭测试。
REvil通知了勒索软件的* nix实施的内部测试
技术细节
REvil使用Salsa20对称流算法通过椭圆曲线非对称算法来加密文件和密钥的内容。该恶意软件样本具有一个加密的配置块,其中包含许多字段,攻击者可以对该payload进行微调。该可执行文件可以在加密之前终止黑名单进程,窃取基本主机信息,对本地存储设备和网络共享上未列入白名单的文件和文件夹进行加密。您可以在我们的私密(https://opentip.kaspersky.com/comparison/?utm_source=SL&utm_medium=SL&utm_campaign=SL)和公共(https://securelist.com/sodin-ransomware/91473/)报告中,可以更详细地了解REvil的技术功能。
现在,勒索软件主要通过受损的RDP访问、网络钓鱼和软件漏洞进行分发。附属机构负责获得对公司网络的初始访问权限并部署locker,这是RaaS模型的标准做法。应当指出的是,该团伙对新会员的招募规则非常严格:REvil只招募会说俄语、有进入网络经验的高技能合作伙伴。
成功攻击后,会发生特权提升、侦察和横向移动。然后,操作员会评估、窃取和加密敏感文件。下一步是与受攻击的公司进行谈判。如果受害者决定不支付赎金,那么REvil操作员将开始在.onion Happy Blog网站上发布受攻击公司的敏感数据。在数据泄露网站上公布泄露的机密数据的策略,最近已经成为Big Game Hunting的主流。
REvil博客上的帖子示例,其中包括从受害者那里窃取的数据
值得注意的是,勒索软件运营商已开始对业务合作伙伴和记者使用语音呼叫业务以及DDoS攻击来迫使受害者支付赎金。据运营商称,该团伙于2021年3月推出了一项免费服务,可以安排让会员组织与受害者的合作伙伴和媒体致电,从而施加压力。外加收费的DDoS(L3,L7)服务。
REvil宣布了一项新功能,可以联系受害者的合作伙伴和媒体,以便在要求赎金时施加额外压力
根据我们的研究,该恶意软件影响了近20个业务部门。受害比例最大的行业是工程与制造(30%),其次是金融(14%)、专业与消费者服务(9%)、法律(7%)以及IT与电信(7%)。
这场攻击运动的受害者包括通济隆(Travelex)、百富门(Brown-Forman Corp.)、制药集团皮埃尔•法布尔(Pierre Fabre)以及知名律师事务所格鲁伯曼•夏尔•梅塞拉斯与萨克斯(Grubman Shire Meiselas & Sacks)等公司。2021年3月,该团伙侵入宏碁,索要5000万美元的赎金,创下历史最高纪录。
2021年4月18日,REvil小组的一名成员宣布,该团伙在招募新成员的论坛上发帖称,该组织即将宣布发动“有史以来最高调的攻击”。4月20日,该组织在Happy Blog网站上发布了许多涉嫌针对Apple设备的设计图纸。根据攻击者的说法,数据是从Quanta的网络中窃取的。Quanta Computer是一家中国台湾的一家制造商,也是Apple的合作伙伴之一。Quanta最初的赎金要求为5000万美元。
在过去的几个季度中,REvil的目标活动激增
REvil团伙是Big Game Hunting的典型代表。在2021年,我们看到了针对公司敏感数据勒索更多赎金的趋势。他们使用新策略向受害者施加压力,积极开发非Windows版本,以及定期招募新分支机构的现象都表明在2021年,攻击的数量和规模只会不断增加。
Babuk
Babuk locker是2021年Big Game Hunting中的另一团伙。在2021年初,我们观察到了几起涉及该勒索软件的事件。
2021年4月底,Babuk背后的攻击者宣布活动结束,称他们将公开其源代码,以便“做类似开源RaaS的事情”。这意味着,一旦各种规模较小的威胁参与者采用泄漏的源代码进行操作,我们可能会看到新一轮的勒索软件活动。我们已经在其他RaaS和MaaS项目中看到过这种情况——去年的Android的Cerberus银行木马就是很好的例子。
Babuk关于终止运营的公告
该团伙显然为每个受害者定制了独特的样本,因为它包括组织的硬编码名称、个人勒索软件注释以及加密文件的扩展名。Babuk的运营商也使用RaaS模型。在感染之前,分支机构或运营商会破坏目标网络,因此他们可以确定如何有效部署勒索软件并评估敏感数据,从而为受害者设定最高的现实勒索价格。巴布克(Babuk)背后的团队将其小组定义为使用RDP作为感染媒介“随机测试企业网络安全性”的赛博朋克(CyberPunks)。该团伙向其会员提供80%的赎金。
Babuk投放的广告示例
Babuk在讲俄语和英语的黑客论坛上做广告。2021年1月开始,一个论坛上出现了有关新勒索软件Babuk的公告,随后的帖子主要关注其更新和会员招募。
Babuk向新闻界发表的声明解释了他们的策略和受害者选择
Babuk的白名单阻止了以下国家或地区的会员:中国、越南、塞浦路斯、俄罗斯和其他独联体国家。根据ZoomInfo,运营商还禁止攻击医院、非营利慈善机构和年收入低于3000万美元的公司。要加入会员计划,合作伙伴必须通过有关Hyper-V和ESXi虚拟机管理程序的面试。
Babuk可能是第一个因为公开宣布对LGBT和Black Lives Matter(BLM)社区持负面态度而登上头条的勒索软件帮派。正是由于这一事实,该组织将这些社区排除在白名单之外。但是在Babuk数据泄漏网站上的一篇关于两个月工作结果总结的帖子中,该团伙报告说,他们已经将LGBT和BLM基金会以及慈善组织添加到了白名单中。
技术细节
关于加密算法,Babuk使用与椭圆曲线Diffie-Hellman(ECDH)相结合的对称算法。成功加密后,该恶意软件会在每个处理过的目录中添加“How To Restore Your Files.txt”。除了文本之外,赎金记录还包含指向一些被窃取数据的屏幕截图的链接列表。这证明恶意软件样本是在受害者的数据被泄露之后被制作的。如上所述,每个样本都是针对特定目标定制的。
在赎金记录中,该团伙还建议受害者使用其个人聊天门户网站进行谈判。这些步骤并不仅限于Babuk,但通常出现在Big Game Hunting中。值得注意的是,赎金记录的文本还包含一个指向.onion数据泄漏站点上相关帖子的私有链接,该链接无法从该站点的主页上访问。这里有一些屏幕截图、关于被盗文件类型的文字描述以及针对受害者的一般威胁。如果受害者决定不与网络罪犯谈判,则此帖子的链接将公开。
Babuk locker背后的组织主要针对欧洲、美国和大洋洲的大型工业组织。目标行业包括但不限于运输服务、医疗保健部门以及各种工业设备供应商。实际上,最近的案例表明,Babuk运营商正在扩大目标范围。4月26日,DC警察局证实其网络已被破坏,Babuk运营商声称对此事负责,并在他们的.onion数据泄露网站宣布了此次攻击。
Babuk宣布成功攻击DC警察局
根据该网站上的帖子,该团伙从华盛顿特区警察局网络中窃取了250GB以上的数据。截至撰写本文时,警察局还有三天时间开始与攻击者进行谈判,否则,该组织将开始向犯罪团伙泄漏数据。Babuk还警告说,它将继续攻击美国国有企业。
结论
2021年4月23日,我们发布的勒索软件统计数据显示,遭受该威胁的用户数量显著下降。不过这些数字不应该被曲解:尽管随机个体遭受勒索软件的可能性确实比过去要少,但对公司的风险从未如此高。
勒索软件生态系统一直渴望利润最大化,他们现在正在逐渐壮大,以致于可以被视为是对全球公司的系统性威胁。
曾经有一段时间,中小企业大多忽略了信息安全带来的挑战:他们太微小了,APT参与者根本不会将他们置于监视之下,但他们又足够强大,不会受到随机和一般攻击的影响。但现在那些日子过去了,所有公司现在都必须做好抵御犯罪集团的准备。
值得庆幸的是,此类攻击者通常会先攻击一些容易得手的对象,因此从现在开始采取适当的安全措施将大有作为。
在5月12日(即反勒索软件日),卡巴斯基鼓励组织遵循以下最佳做法,以保护您的组织免受勒索软件的侵害:
- 经常更新所有设备上的软件,以防止攻击者通过利用漏洞渗透到您的网络中。
- 将防御策略的重点放在检测横向移动和数据泄露上。要特别注意传出的流量,以检测网络犯罪连接。设置入侵者无法篡改的脱机备份。确保在紧急情况下可以快速访问它们。
- 为了保护公司环境,请对您的员工进行专门培训。专门的培训课程可以提供帮助,例如卡巴斯基自动安全意识平台中提供的课程。
- 对您的网络进行网络安全审核,并及时修复在外部或内部发现的所有弱点。
- 对所有端点启用勒索软件保护。
- 安装反APT和EDR解决方案,以实现高级威胁发现和检测、调查以及对事件进行及时补救的功能。为您的SOC团队提供最新威胁情报的访问权限,并通过专业培训定期对其进行升级。
- 如果您不幸成为受害者,切勿支付赎金。它不能保证您能取回数据,但会鼓励犯罪分子继续其活动。相反,您应将事件报告给您当地的执法机构。尝试在互联网上找到一个解密程序,例如https://www.nomoreransom.org/en/index.html
本文翻译自: https://securelist.com/ransomware-world-in-2021/102169/如若转载,请注明原文地址。