到现在为止,有机构估算勒索软件攻击背后的犯罪集团创造了数以千亿美元的不法收入。同时对于受害者而言,即使他们最终选择支付赎金,也要承担恢复成本,同时也很难挽回信誉损失。
Sophos 报告称,2020 年勒索软件攻击的平均成本对于支付赎金的受害者组织来说接近 150 万美元,对于那些没有支付赎金的组织来说,大约是 732,000 美元;Ivanti 发布报告称,2021年遭受勒索软件攻击的企业平均要支付 220,298 美元,并承受 23 天的停机时间,企业、组织面对勒索攻击不得不防。
但根据各机构统计数据显示,勒索软件团伙的数量可能达到数百个。这还不包括从其中一些购买勒索软件即服务(RaaS)产品的所谓“附属机构”。虽然我们总能听到某某勒索团伙宣布解散的消息,但其实研究人员发现他们大多还是会另换门面,这种方式多是一种逃避打击的“隐身”方式,勒索软件的高额汇报率让他们很难抗拒这种“不劳而获”。
兵法有著,知己知彼百战不殆,我们在面对勒索软件攻击时,除了做好主动防御以及事后防御,先对攻击者进行充分了解或许是不错的主意,同时安全企业一方也可参考这一披露,进一步补齐相关安全能力。以下是主要勒索软件列表,但需要说明的是它并不是最全的,同时勒索软件发展极其快速,所以现在一些最新出现的勒索软件没有出现也不足为奇。
WannaCry
历史:2017 年 5 月,由于美国国家安全局 (NSA) 开发的 EternalBlue 漏洞利用,然后被黑客窃取,WannaCry 蠕虫得以在计算机网络中迅速传播。它迅速感染了数百万台 Windows 计算机。
运作方式:WannaCry 由多个组件组成。它以 dropper 的形式到达受感染的计算机,这是一个 独立的程序,可提取嵌入自身的其他应用程序组件,包括:
加密和解密数据的应用程序
包含加密密钥的文件
Tor的副本
一旦启动,WannaCry 会尝试访问硬编码的 URL。如果不能,它会继续搜索和加密重要格式的文件,从 Microsoft Office 文件到 MP3 和 MKV。然后它会显示勒索通知,要求比特币解密文件。
目标受害者:WannaCry 攻击影响了全球公司,但医疗保健、能源、交通和通信领域的知名企业受到的打击尤其严重。
归属:朝鲜的拉撒路集团被认为是 WannaCry 的幕后黑手。
Sodinokibi/REvil
历史:Sodinokibi,也称为REvil,是另一个 RaaS 平台, 于 2019 年 4 月首次出现。显然与 GandCrab 有关,它还具有阻止其在俄罗斯和几个邻国以及叙利亚执行的代码。它负责 关闭德克萨斯州超过 22 个小城镇,并在 2019 年新年前夜关闭了英国货币兑换服务 Travelex。最近,REvil 勒索软件被用于对肉类加工公司 JBS 的攻击,暂时中断了美国的肉类供应。它还对向 MSP 提供软件的Kaseya的攻击负责。数以千计的 MSP 客户受到影响。卡塞亚袭击后不久,REvil 的网站从互联网上消失了。
运作方式:Sodinokibi 以多种方式传播,包括利用 Oracle WebLogic 服务器或 Pulse Connect Secure VPN中的漏洞。它针对 Microsoft Windows 系统并加密除配置文件之外的所有文件。如果受害者不支付赎金,他们将面临双重威胁:他们将无法取回数据,并且他们的敏感数据将被出售或发布在地下论坛上。
目标受害者: Sodinokibi 在其排除的地区以外的全球范围内感染了许多不同的组织。
归属:Sodinokibi 在 GandCrab 关闭后声名鹊起。该组织的一名据称成员使用 Unknown 句柄确认该勒索软件是建立在该组织获得的旧代码库之上的。
Cerber
历史:Cerber是一个 RaaS 平台,于 2016 年首次出现,当年 7 月为攻击者带来了 200,000 美元的净收入。
运作方式:Cerber 利用 Microsoft 漏洞感染网络。它的功能类似于其他勒索软件威胁。它使用 AES-256 算法加密文件,并针对数十种文件类型,包括文档、图片、音频文件、视频、档案和备份。它还可以扫描和加密可用的网络共享,即使它们没有映射到计算机中的驱动器号。然后,Cerber 将三个文件放在受害者的桌面上,其中包含赎金要求和如何支付的说明。
目标受害者:作为一个 RaaS 平台,Cerber 对任何人都构成威胁。
归署:Cerber 的创建者在一个私人俄语论坛上销售该平台。
Conti
历史:Conti RaaS 平台于 2020 年 5 月首次出现,被认为是 Ryuk 勒索软件的继任者。据信,截至 2021 年 1 月,Conti已经感染了 150 多个组织,并为其犯罪开发商及其附属机构赚取了数百万美元。自成立以来,至少发现了三个新版本。
运作方式:Conti 使用双重威胁,即扣留解密密钥并出售或泄露受害者的敏感数据。事实上,它运营着一个网站 Conti News,在该网站上列出受害者并发布被盗数据。一旦恶意软件感染了系统,它就会花时间横向移动以访问更敏感的系统。众所周知,Conti 通过使用多线程来快速加密文件。
目标受害者:作为 RaaS 操作,Conti 对任何人都构成威胁,尽管 2021 年 1 月的一轮感染似乎以政府组织为目标。据信,Wizard Spider 组织使用 Conti 对爱尔兰的国家卫生服务机构和至少 16 个美国医疗保健和紧急网络进行勒索软件攻击。
归署:Conti 是一个成员身份不明的团伙的作品。
CryptoLocker
历史:在 2013 年首次发现的攻击中,CryptoLocker 开启了现代勒索软件时代,并在其鼎盛时期感染了多达 500,000 台 Windows 机器。它也被称为 TorrentLocker。
运作方式:CryptoLocker 是一种木马,它会在受感染的计算机中搜索要加密的文件,包括任何内部或网络连接的存储设备。它通常通过带有包含恶意链接的文件附件的网络钓鱼电子邮件传递。一旦打开文件,下载器就会被激活,从而感染计算机。
目标受害者:CryptoLocker 似乎没有针对任何特定实体。
归署:CryptoLocker 是由开发银行木马 Gameover Zeus 的犯罪团伙成员创建的。
CryptoWall
历史: CryptoWall,也称为 CryptoBit 或 CryptoDefense,最早出现于 2014 年,在原 CryptoLocker 关闭后开始流行。它经历了几次修订。
运作方式:CryptoWall 通过垃圾邮件或漏洞利用工具包分发。它的开发人员似乎避免复杂,而倾向于使用简单但有效的经典勒索软件方法。在运行的前六个月,它感染了 625,000 台计算机。
目标受害者:这种勒索软件已经使全球数以万计的各种类型的组织成为受害者,但避开了俄语国家。
归属:CryptoWall 开发者很可能是一个在俄语国家开展活动的犯罪团伙。CryptoWall 3.0 检测它是否在白俄罗斯、乌克兰、俄罗斯、哈萨克斯坦、亚美尼亚或塞尔维亚的计算机上运行,然后自行卸载。
CTB-Locker
历史: CTB-Locker 于 2014 年首次报道,是另一种以高感染率而闻名的 RaaS 产品。2016 年,新版本的 CTB-Locker 针对 Web 服务器。
运作方式:附属公司每月向 CTB-Locker 开发人员支付费用,以访问托管的勒索软件代码。该勒索软件使用椭圆曲线加密技术来加密数据。它还以其多语言能力而闻名,这增加了全球潜在受害者的数量。
目标受害者:鉴于其 RaaS 模式,CTB-Locker 对任何组织都构成威胁,但西欧、北美和澳大利亚的 1 级国家最常成为目标,尤其是如果已知他们过去曾支付过赎金费用。
DarkSide
历史:至少从 2020 年 8 月开始运营的DarkSide于 2021 年 5 月因勒索软件攻击而成为公众关注的焦点,该攻击使 Colonial Pipelin e 瘫痪。
运作方式: DarkSide 通过一个附属计划在 RaaS 模型上工作。它使用数据加密和数据盗窃的双重勒索威胁。它通常使用手动黑客技术进行部署。
DarkSide 的运营商似乎精通媒体。他们运营着一个网站,记者可以在该网站上注册以接收有关违规和非公开信息的预先信息,并承诺快速回复任何媒体问题。
目标受害者: DarkSide 背后的组织声称它不会攻击医疗设施、COVID 疫苗研究和分销公司、殡仪服务、非营利组织、教育机构或政府组织。在殖民地管道袭击事件发生后,该组织发表声明称,将在其附属机构发动袭击之前对其潜在受害者进行审查。
归属:DarkSide 集团据信在俄罗斯运营,可能是 REvil 集团的前附属公司。
DoppelPaymer
历史:DoppelPaymer 于 2019 年 6 月首次出现,至今仍活跃且危险。美国联邦调查局网络部门于 2020 年 12 月对此发出警告。2020 年 9 月,当一家受害的德国医院被迫将患者送往另一个设施时,它被用于第一个导致死亡的勒索软件。
运作方式:DoppelPaymer 背后的团伙使用了一种不寻常的策略,即使用欺骗性的美国电话号码给受害者打电话,要求支付赎金,通常约为 50 比特币,或首次出现时约为 600,000 美元。他们声称来自朝鲜,并发出泄露或出售被盗数据的双重威胁。在某些情况下,他们更进一步,威胁受害公司的员工受到伤害。
DoppelPaymer 似乎基于 BitPaymer 勒索软件,尽管它有一些关键区别,例如使用线程文件加密以获得更好的加密率。与 BitPaymer 不同的是,DoppelPaymer 使用名为 Process Hacker 的工具来终止安全、电子邮件服务器、备份和数据库进程和服务,以削弱防御并避免破坏加密过程。
目标受害者:DoppelPaymer 针对医疗保健、紧急服务和教育等关键行业。
归属:不清楚,但一些报告表明,Dridex 木马背后的一个分支(称为 TA505)负责 DoppelPaymer。
Egregor
历史:Egregor 于 2020 年 9 月出现,并且发展迅速。它的名字来自神秘世界,被定义为“一群人的集体能量,尤其是当与一个共同目标保持一致时”。2021 年 2 月 9 日,美国、乌克兰和法国当局联合行动逮捕了 Egregor 集团的多名成员和附属机构,并使他们的网站下线。
运作方式:Egregor 遵循“双重勒索”趋势,即加密数据并威胁在不支付赎金的情况下泄露敏感信息。它的代码库相对复杂,能够通过使用混淆和反分析技术来避免检测。
目标受害者:截至 11 月下旬,Egregor 在全球 19 个行业中至少有 71 个组织受害。
归属: Egregor 的崛起恰逢 Maze 勒索软件团伙关闭其业务。迷宫集团的附属机构似乎已经转移到 Egregor。它是 Sekhmet 勒索软件系列的变体,与 Qakbot 恶意软件相关联。
FONIX
历史:FONIX 是一种 RaaS 产品,于 2020 年 7 月首次被发现。它很快经历了多次代码修改,但在 2021 年 1 月突然关闭。随后 FONIX 团伙发布了其主解密密钥。
运作方式:FONIX 团伙在网络犯罪论坛和暗网上宣传其服务。FONIX 的购买者会向该团伙发送电子邮件地址和密码。然后,该团伙将定制的勒索软件有效载荷发送给买方。FONIX 团伙从支付的任何赎金费用中抽取 25%。
目标受害者:由于 FONIX 是 RAAS,任何人都可能成为受害者。
归属:一个不知名的网络犯罪团伙。
GandCrab
历史:GandCrab 可能是有史以来最赚钱的 RaaS。截至 2019 年 7 月,其开发人员要求受害者支付超过 20 亿美元。GandCrab 于 2018 年 1 月首次被发现。
运作方式:GandCrab 是一个针对网络犯罪分子的附属勒索软件程序,他们向其开发人员支付他们收取的部分赎金费用。该恶意软件通常通过网络钓鱼电子邮件发送的恶意 Microsoft Office 文档传递。GandCrab 的变体利用了 Atlassian 的 Confluence 等软件中的漏洞。在这种情况下,攻击者利用该漏洞注入一个能够远程执行代码的流氓模板。
目标受害者:GandCrab 在全球范围内感染了多个行业的系统,尽管它旨在避开俄语地区的系统。
归因:GandCrab 与俄罗斯国民 Igor Prokopenko 有关联。
GoldenEye
历史:2016 年出现的GoldenEye 似乎基于Petya勒索软件。
运作方式:GoldenEye 最初是通过一项针对人力资源部门的活动传播的,其中包含虚假的求职信和简历。一旦其有效负载感染计算机,它就会执行一个宏来加密计算机上的文件,并在每个文件的末尾添加一个随机的 8 个字符的扩展名。然后,勒索软件会使用自定义引导加载程序修改计算机的硬盘主引导记录。
目标受害者:GoldenEye 在其网络钓鱼电子邮件中首先针对说德语的用户。
归属:未知
Grief
历史:Grief 勒索软件,也称为“Pay or Grief”,被认为是 DoppelPaymer 的继任者,于 2021 年 5 月出现。在 5 月至 10 月期间,该组织声称已经入侵了 41 家公司和其他组织,其中大部分在欧洲和英国 据估计,该集团在该时间段内赚了超过 1100 万美元。10 月下旬,该组织声称它破坏了美国国家步枪协会 (NRA) 并窃取了它持有的数据以勒索赎金。
运作方式:Grief 是一项 RaaS 操作,与执行入侵和安装勒索软件程序的关联公司合作,以换取赎金支付的佣金。该组织通过从受害组织窃取数据并威胁如果受害者不付款就将其释放来进行双重勒索。Grief 维护着一个泄密站点,在该站点上发布有关受害者的信息,最近,它开始警告受害者,如果他们联系执法部门、勒索软件谈判人员或数据恢复专家,他们将擦除他们可以访问的系统,使受害者无法恢复即使他们愿意为解密密钥付费。
DoppelPaymer 和 Grief 之间的代码差异很小。DoppelPaymer 用来终止各种进程的嵌入式 ProcessHacker 二进制文件已被删除,加密例程中使用的 RC4 密钥已从 40 字节增加到 48 字节。否则,加密算法保持不变:2048 位 RSA 和 256 位 AES。
目标受害者:Grief 已经损害了各种制造商、药店、食品服务和酒店服务提供商、教育机构以及市政当局和至少一个政府区。该组织尚未公布其声称在其泄密网站上所做的所有受害者的身份。
归因:Grief 勒索软件据信由 Evil Corp 运营,该网络犯罪集团以前以运行 Dridex 僵尸网络以及WastedLocker和 DoppelPaymer 勒索软件操作而闻名。Evil Corp 是财政部制裁名单上的网络犯罪组织之一,与之相关的两个人在 FBI 的通缉名单上。
Jigsaw
历史:Jigsaw 于 2016 年首次出现,但研究人员在发现后不久就发布了解密工具。
运作方式:Jigsaw 最值得注意的方面是它会加密一些文件,要求赎金,然后逐步删除文件,直到支付赎金。它每小时删除一个文件,持续 72 小时。此时,它会删除所有剩余的文件。
目标受害者:Jigsaw 似乎没有针对任何受害者群体。
归属:未知
KeRanger
历史: 2016 年发现的 KeRanger 被认为是第一个旨在攻击 Mac OS X 应用程序的可操作勒索软件。
运作方式:KeRanger 是通过一个合法但被破坏的 BitTorrent 客户端分发的,该客户端能够逃避检测,因为它有一个有效的证书。
目标受害者: Mac 用户
归属:未知
Leatherlocker
历史:Leatherlocker 于 2017 年首次在两个 Android 应用程序中被发现:Booster & Cleaner 和 Wallpaper Blur HD。谷歌在发现这些应用程序后不久就从其商店中删除了这些应用程序。
运作方式:受害者下载看似合法的应用程序。然后,该应用程序会要求授予恶意软件执行所需的访问权限。它不是加密文件,而是锁定设备主屏幕以防止访问数据。
目标受害者:下载受感染应用程序的 Android 用户。
归属:一个未知的网络犯罪集团。
LockerGoga
历史:LockerGoga 于 2019 年出现在针对工业公司的攻击中。尽管攻击者要求赎金,但 LockerGoga 似乎是故意设计为难以支付赎金。这导致一些研究人员相信其意图是破坏而不是经济利益。
运作方式:LockerGoga 使用带有恶意文档附件的网络钓鱼活动来感染系统。有效负载使用有效证书进行签名,这使他们能够绕过安全性。
目标受害者:LockerGoga 成为欧洲制造公司的受害者,其中最著名的是 Norsk Hydro,导致全球 IT 关闭。
归属: 一些研究人员说 LockerGoga 很可能是一个民族国家的作品。
Locky
历史:Locky 于 2016 年首次开始传播,使用类似于银行恶意软件 Dridex 的攻击模式。Locky 启发了许多变体,包括 Osiris 和 Diablo6。
运作方式:通常会向受害者发送一封电子邮件,其中包含声称是发票的 Microsoft Word 文档。该发票包含恶意宏。 由于存在安全隐患, Microsoft默认禁用宏。如果启用了宏,则文档会运行宏,该宏会下载 Locky。Dridex 使用相同的技术来窃取帐户凭据。
目标受害者:早期的 Locky 攻击以医院为目标,但随后的攻击范围广泛且没有针对性。
归属:怀疑 Locky 背后的网络犯罪集团隶属于 Dridex 背后的其中一个,因为两者之间有相似之处。
Maze
历史:Maze 是一个相对较新的勒索软件组,于 2019 年 5 月被发现。如果受害者不付费解密,它会向公众发布被盗数据。Maze 集团于 2020 年 9 月宣布将关闭其业务。
运作方式:迷宫攻击者通常使用可能被猜测、默认或通过网络钓鱼活动获得的有效凭据远程访问网络。然后恶意软件使用开源工具扫描网络以发现漏洞并了解网络。然后,它在整个网络中横向移动,寻找更多可用于权限提升的凭据。一旦找到域管理员凭据,它就可以访问和加密网络上的任何内容。
目标受害者:Maze 在全球范围内的所有行业开展业务。
归属:Maze 背后的人被认为是多个具有共同专长的犯罪集团,而不是一个单一的帮派。
Mespinoza
历史:Mespinoza 集团于 2019 年首次被发现,以自大和古怪而闻名。根据Palo Alto Software 的 Unit 42 的一份报告,该团伙将其受害者称为“合作伙伴”,并提供建议以说服管理层支付赎金。Mespinoza 使用自己的工具,名称如 MagicSocks 和 HappyEnd.bat。
运作方式:尽管有怪癖,但根据 Unit 42,Mespinoza 的做法非常自律。该团伙对潜在受害者进行了功课,以瞄准那些拥有最有价值资产的人。然后他们在文档中查找 SSN、驾驶执照或护照等关键字,以识别最敏感的文件。该攻击使用 RDP 获取网络访问权限,然后使用开源和内置系统工具横向移动并收集凭据。它安装名为 Gasket 的恶意软件来创建后门。Gasket 有一个名为 MagicSocks 的功能,可以为远程访问创建隧道。该团伙使用双重勒索方法,其中包括在不支付赎金的情况下发布敏感数据的威胁。
目标受害者:Mespinoza 在全球范围内开展业务,并针对许多行业的大型企业。它最近袭击了美国和英国的 K-12 学校、大学和神学院。
归属:未知
Netwalker
历史:Netwalker 自 2019 年以来一直活跃,是另一种勒索软件操作,它使用扣留解密密钥和出售或泄露被盗数据的双重威胁。然而,在 2021 年 1 月下旬,美国司法部宣布了一项全球行动,扰乱了 Netwalker 的运营。现在知道这种中断会持续多久还为时过早。
运作方式:从技术角度来看,Netwalker 是相对普通的勒索软件。它使用网络钓鱼电子邮件站稳脚跟,加密和泄露数据,并发送赎金要求。这是暴露敏感数据的第二个威胁,使其更加危险。众所周知,通过将被盗数据放在暗网上的受密码保护的折叠中,然后公开发布密钥来释放被盗数据。
目标受害者:Netwalker 主要针对医疗保健和教育机构。
归属:Circus Spider团伙被认为创造了 Netwalker。
NotPetya
历史:NotPetya于 2016 年首次出现,实际上是一种伪装成勒索软件的数据破坏恶意软件,称为擦除器。
运作方式:NotPetya 病毒在表面上与 Petya 相似,因为它加密文件并要求以比特币赎金。Petya 要求受害者从垃圾邮件中下载它,启动它,并授予它管理员权限。NotPetya 可以在没有人为干预的情况下传播。最初的感染媒介似乎是通过 MEDoc中植入的后门,这是一个几乎所有乌克兰公司都在使用的会计软件包。从 Medoc 的服务器感染计算机后,NotPetya 使用多种技术传播到其他计算机,包括 EternalBlue 和 EternalRomance。它还可以利用Mimikatz在受感染机器的内存中查找网络管理凭据,然后使用 Windows PsExec 和 WMIC 工具远程访问和感染本地网络上的其他计算机。
目标受害者:袭击主要集中在乌克兰。
归属:据信俄罗斯 GRU 内的 Sandworm 组织对 NotPetya 负责。
Petya
历史:这个名字来源于一颗卫星,它是 1995 年詹姆斯邦德电影 GoldenEye 中险恶情节的一部分。 一个疑似属于恶意软件作者的推特账户使用了扮演恶棍的演员艾伦卡明的照片作为其头像。Petya 恶意软件的 初始版本于 2016 年 3 月开始传播。
运作方式:Petya 到达受害者的计算机上,该计算机附有一封声称是求职者简历的电子邮件。这是一个包含两个文件的包:一个年轻人的股票图像和一个可执行文件,通常在文件名中的某处带有“PDF”。当受害者单击该文件时,Windows 用户访问控制警告会告诉他们可执行文件将对您的计算机进行更改。一旦受害者接受更改,恶意软件就会加载,然后通过攻击存储介质上的低级结构来拒绝访问。
目标受害者:任何 Windows 系统都是潜在目标,但乌克兰是此次攻击的重灾区。
归属:未知
PureLocker
历史:2019 年发现的 PureLocker RaaS 平台针对运行 Linux 或 Windows 的企业生产服务器。它是用 PureBasic 语言编写的,因此得名。
运作方式:PureLocker 依靠 more_eggs 后门恶意软件来获取访问权限,而不是网络钓鱼尝试。攻击者瞄准已经被入侵并且他们理解的机器。PureLocker 然后分析机器并选择性地加密数据。
目标受害者:研究人员认为,只有少数犯罪团伙有能力购买 PureLocker,因为它的使用仅限于高价值目标。
归属:more_eggs 后门背后的恶意软件即服务 (MaaS) 提供商可能对 PureLocker 负责。
RobbinHood
历史:RobbinHood 是另一个使用 EternalBlue 的勒索软件变种。它使马里兰州巴尔的摩市在 2019 年陷入瘫痪。
运作方式:RobbinHood 最独特的功能在于其有效负载如何绕过端点安全性。它有五个部分:杀死进程和安全产品文件的可执行文件、部署签名第三方驱动程序和恶意未签名内核驱动程序的代码、存在漏洞的过时 Authenticode 签名驱动程序、杀死进程的恶意驱动程序和从内核空间删除文件,以及一个包含要杀死和删除的应用程序列表的文本文件。
过时的签名驱动程序有一个已知错误,恶意软件使用该错误来避免检测,然后在 Windows 7、Windows 8 和 Windows 10 上安装自己的未签名驱动程序。
目标受害者:北卡罗来纳州巴尔的摩市和格林维尔市等地方政府似乎受到罗宾胡德的重创。
归属:一个身份不明的犯罪集团。
Ryuk
历史:Ryuk 于 2018 年 8 月首次出现,但基于一个名为 Hermes 的旧勒索软件程序,该程序于 2017 年在地下网络犯罪论坛上出售。
运作方式:它通常与其他恶意软件(如TrickBot )结合使用。Ryuk 团伙以使用手动黑客技术和开源工具在私有网络中横向移动并在启动文件加密之前获得对尽可能多系统的管理访问权而闻名。
Ryuk 攻击者要求受害者支付高额赎金,通常为 15 到 50 个比特币(大约 100,000 到 500,000 美元),尽管 据报道已经支付了更高的赎金。
目标受害者:企业、医院和政府组织——通常是那些必须脆弱的——是最常见的 Ryuk 受害者。
归属:最初归因于朝鲜 Lazarus 集团,该集团在 2017 年 10 月使用 Hermes 攻击台湾远东国际银行 (FEIB),现在认为 Ryuk 是一个讲俄语的网络犯罪集团创建的,该集团获得了访问爱马仕。Ryuk 团伙,有时被称为 Wizard Spider 或 Grim Spider,也经营着 TrickBot。一些研究人员认为, Ryuk 可能是 Hermes 的原始作者或以 CryptoTech 为名的作者的创作。
SamSam
历史:SamSam 自 2015 年以来一直存在,主要针对医疗保健组织,并在接下来的几年中大幅增长。
运作方式:SamSam 是一种 RaaS 操作,其控制器会探测预选目标的弱点。它利用了从 IIS 到 FTP 再到 RDP 的各种漏洞。一旦进入系统,攻击者就会提升权限,以确保当他们开始加密文件时,攻击尤其具有破坏性。
目标受害者:受灾最严重的是美国的医疗保健和政府组织,包括 科罗拉多州交通部和 亚特兰大市。
归属:最初被一些人认为具有东欧血统,SamSam 主要针对美国机构。2018 年底,美国司法部 起诉了两名伊朗人 ,他们声称他们是袭击的幕后黑手。
SimpleLocker
历史:SimpleLocker 于 2014 年被发现,是第一个针对移动设备,特别是 Android 设备的广泛勒索软件攻击。
运作方式:当受害者下载恶意应用程序时,SimpleLocker 会感染设备。然后,恶意软件会扫描设备的 SD 卡以查找某些文件类型并对其进行加密。然后它会显示一个要求赎金的屏幕和有关如何付款的说明。
目标受害者:由于赎金票据是俄文并要求以乌克兰货币付款,因此假设攻击者最初针对的是该地区。
归属:据信 SimpleLocker 是由开发其他俄罗斯恶意软件(如 SlemBunk 和 GM Bot)的黑客编写的。
TeslaCrypt
历史:TeslaCrypt 是一种 Windows 勒索软件木马,于 2015 年首次检测到,以电脑游戏玩家为目标。几个较新的版本接连出现,但开发人员在 2016 年 5 月关闭了操作并发布了主解密密钥。
运作方式:一旦感染计算机,通常是在受害者访问运行漏洞利用工具包的被黑网站后,TeslaCrypt 会查找并加密游戏文件,例如游戏保存、录制的回放和用户配置文件。然后它需要 500 美元的比特币费用来解密文件。
目标受害者:电脑游戏玩家
归属:未知
Thanos
历史:Thanos RaaS 相对较新,发现于 2019 年底。它是第一个使用 RIPlace 技术的,可以绕过大多数反勒索软件方法。
运作方式:在地下论坛和其他封闭渠道中宣传,Thanos 是一种定制工具,其附属公司使用它来创建勒索软件有效负载。它提供的许多功能旨在逃避检测。Thanos 开发人员发布了多个版本,增加了禁用第三方备份、删除 Windows Defender 签名文件等功能,以及使响应团队更难取证的功能。
目标受害者:作为一个 RaaS 平台,Thanos 可以成为任何组织的受害者。
归属:未知
WastedLocker
历史:WastedLocker 勒索软件是最近出现的勒索软件之一,它于 2020 年 5 月开始攻击组织。它是更复杂的勒索软件示例之一,其创建者以索取高额赎金而闻名。
运作方式:该恶意软件使用基于 JavaScript 的名为 SocGholish 的攻击框架,该框架通过出现在合法但受感染的网站上的虚假浏览器更新以 ZIP 文件形式分发。一旦激活了 WastedLocker,就会下载并执行 PowerShell 脚本和一个名为 Cobalt Strike 的后门。然后,该恶意软件会探索网络并部署“离地而生”的工具来窃取凭据并获得对高价值系统的访问权限。然后,它使用 AES 和 RSA 密码学的组合对数据进行加密。
目标受害者:WastedLocker 专注于最有可能支付高额赎金的高价值目标,主要集中在北美和西欧。
归属:一个已知的犯罪团伙 Evil Corp 对 WastedLocker 负责。该组织还以操作 Dridex 恶意软件和僵尸网络而闻名。
WYSIWYE
历史: WYSIWYE 于 2017 年被发现,是一个针对 Windows 系统的 RaaS 平台。
运作方式:扫描 Web 以查找开放的远程桌面协议 (RDP) 服务器。然后,它使用默认或弱凭据执行登录尝试,以访问系统并在网络中传播。购买所见即所得服务的犯罪分子可以选择要加密的文件类型以及加密后是否删除原始文件。
目标受害者:所见即所得攻击首先出现在德国、比利时、瑞典和西班牙。
归属:未知
Zeppelin
历史:Zeppelin 于 2019 年 11 月首次出现,是 Vega 或 VegasLocker RaaS 产品的后代,该产品曾在俄罗斯和东欧的会计师事务所受害。
运作方式:Zeppelin 比它的祖先拥有更多的功能,尤其是在可配置性方面。Zeppelin 可以通过多种方式部署,包括作为 EXE、DLL 或 PowerShell 加载程序,但它的一些攻击来自受感染的托管安全服务提供商。
目标受害者:Zeppelin 比 Vega 更具针对性,Vega 的传播有点不分青红皂白,而且主要在俄语世界运行。Zeppelin 设计为不能在运行在俄罗斯、乌克兰、白俄罗斯或哈萨克斯坦的计算机上执行。大多数受害者是北美和欧洲的医疗保健和技术公司。
归属:安全专家认为,可能在俄罗斯的一个新威胁参与者正在使用 Vega 的代码库来开发 Zeppelin。
京公网安备 11010802033237号
