事件：REvil 基礎設施突然重新開啟

REvil 勒索軟件操作的暗網(wǎng)服務器在缺席近兩個月后突然重新啟動。目前尚不清楚這是否標志著他們的勒索軟件團伙的回歸或執(zhí)法部門正在打開服務器。

7月2日，REvil 勒索軟件團伙(又名 Sodinokibi)利用 Kaseya VSA 遠程管理軟件中的零日漏洞對大約60家托管服務提供商(MSP) 及其1,500多家企業(yè)客戶進行加密。

然后，REvil要求MSP提供500萬美元用于解密器，或44,999美元用于各個企業(yè)的每個加密擴展。

該團伙還要求提供7000萬美元的主解密密鑰來解密所有Kaseya受害者，但很快將價格降至5000萬美元。

襲擊發(fā)生后，勒索軟件團伙面臨來自執(zhí)法部門和白宮的越來越大的壓力，他們警告說，如果俄羅斯不對境內(nèi)的威脅行為者采取行動，美國將自行采取行動。

不久之后，REvil勒索軟件團伙消失了，他們所有的Tor服務器和基礎設施都被關閉。

9月7日，Tor支付/談判站點和REvil的Tor Happy Blog 數(shù)據(jù)泄露站點突然重新上線。

卷土重來

最危險的勒索軟件團伙可能已經(jīng)銷聲匿跡，但這只意味著他們正在進行品牌重塑，改進戰(zhàn)術，并發(fā)動更猛烈的攻擊。

你準備好了嗎?

在Colonial Pipeline、JBS和Kaseya網(wǎng)絡攻擊之后，勒索軟件組織被禁止進入網(wǎng)絡犯罪論壇。其中一些甚至消失了，但這并不意味著它們在撤退。如果說和之前有什么不同的話，那就是勒索軟件團伙變得更危險了。

數(shù)字風險保護公司Digital Shadows的威脅情報經(jīng)理Alec Alvadaro認為，他們并不害怕他們的目標是誰，現(xiàn)在發(fā)動網(wǎng)絡攻擊的回報肯定大于風險，因此勒索軟件不會很快消失。

在最近的網(wǎng)絡研討會中，Digital Shadows研究了勒索軟件的前景，最著名的勒索軟件集團，以及他們的戰(zhàn)術演變。

網(wǎng)絡犯罪論壇禁止勒索軟件

勒索軟件噩夢始于2019年，當時已經(jīng)解散的Maze勒索軟件集團引入了雙重勒索戰(zhàn)術。

阿爾瓦拉多說:“對一個人有利的事對所有人都有利。”一波勒索軟件團體開始追隨這一趨勢。到2019年，組織學會了如何在一定程度上減輕勒索軟件的威脅，使用備份并安全存儲它們并將數(shù)據(jù)離線。自然，網(wǎng)絡犯罪分子創(chuàng)新并采用了雙重勒索策略。

在媒體報道中，勒索軟件團伙發(fā)起很多影響巨大的攻擊，并且影響非常嚴重。

2019年以來，出現(xiàn)Maze勒索軟件網(wǎng)站、Sodinokibi(REvil)運營的Happy Blog、Conti News、Babuk Locker等多個數(shù)據(jù)泄露網(wǎng)站。自這一趨勢開始以來，已有超過 2,600 名受害者出現(xiàn)在數(shù)據(jù)泄露站點，僅在2021年第二季度，就有740名不同的受害者被點名。

有些論壇開始對勒索軟件施行禁令，不僅不僅禁止銷售任何附屬公司或與勒索軟件相關的任何惡意軟件，甚至還禁止討論它。

由于XSS和Exploit等論壇禁止勒索軟件團伙，他們轉(zhuǎn)向Telegram等社交媒體渠道討論勒索軟件業(yè)務。

在Colonial Pipeline、肉類供應商JBS和Kaseya遭受臭名昭著的網(wǎng)絡攻擊后，勒索軟件參與者在論壇上被禁止。

Kaseya 遭到網(wǎng)絡攻擊 (c) Shutterstock

2021年上半年的頂級勒索軟件攻擊者是Conti、Avaddon、PYSA、REvil、DarkSide、Babuk Locker、DoppelPaymer 和Cl0p。

還有一些新貴，自今年第二季度開始增加活動，如普羅米修斯(Prometheus)、LV 和另外15個組織。

如果是美國的工業(yè)品行業(yè)、建筑、零售、技術和醫(yī)療保健領域，處境將很危險。每個月最受關注的地區(qū)將是美國，緊隨其后的是歐洲部分地區(qū)和亞洲部分地區(qū)，如印度、中國和其他一些國家。受到?jīng)_擊的將主要是規(guī)模更大、It和工業(yè)比重更高的國家。

最近主導該領域的勒索軟件組織盡管其中一些可能已經(jīng)消失，但這并不意味著它們不會再以另一個名字發(fā)動襲擊。

殖民管道網(wǎng)絡攻擊導致天然氣短缺 (c) Shutterstock

Conti勒索軟件 – 穩(wěn)準狠的攻擊手段

Conti于2019年底開始運營，并運行Conti.News數(shù)據(jù)泄漏站點。根據(jù)Nikkel的說法，該組織通過竊取的RDP憑據(jù)、帶有惡意附件的網(wǎng)絡釣魚電子郵件獲得初始訪問權(quán)限。

“它們更像是一種低速和緩慢的攻擊，更類似于民族國家的攻擊。與現(xiàn)有的一些自動化攻擊相比，它們更像是一種人工操作的攻擊，” Nikkel說。

Conti類似于民族國家威脅行為者——他們做功課并仔細選擇目標。該組織試圖在數(shù)據(jù)發(fā)布到網(wǎng)站上之前為其尋找買家。

愛爾蘭的HSE、大眾汽車集團、美國幾個城市、縣和學區(qū)都受到了Conti的影響。

“他們通常會針對網(wǎng)絡中的特定設備或存在安全漏洞問題的脆弱部分。在行動前，偵察并挑出高回報、高價值的目標，然后發(fā)起網(wǎng)絡攻擊。他們非常有針對性，他們知道自己在尋找什么，”尼克爾說。

據(jù)觀察，在真正啟動勒索軟件之前Conti已經(jīng)在網(wǎng)絡上呆了幾天甚至幾周。

“為了增加影響力，他們還使用網(wǎng)絡上已有的工具。這些工具已集成在系統(tǒng)當中，并與企業(yè)網(wǎng)絡融合在一起，利用某些脆弱的部分進行攻擊。因此使用靜態(tài)代碼檢測工具是加強軟件安全，降低系統(tǒng)安全漏洞的重要方式，這可以從根源上杜絕惡意軟件的捆綁，為企業(yè)網(wǎng)絡安全打好基礎。

DarkSide – 帶頭進行重大變革

DarkSide于2020年8月開始運營，并在2020年第三季度至第四季度左右聲名狼藉。

“他們的目標是有能力支付的公司，”Nikkel說。

DarkSide最大的一次行動是2021年5月的Colonial Pipeline泄露事件。事件發(fā)生后，執(zhí)法部門關閉他們的博客、贖金收集網(wǎng)站，并破壞了數(shù)據(jù)基礎設施;查封的資金(至少200萬美元公開)。DarkSide于2021年5月13日宣布退出。

阿爾瓦拉多認為，Colonial Pipeline事件是勒索軟件集團發(fā)生重大變化的先驅(qū)者。由于此次攻擊影響非常嚴重，拜登政府發(fā)布了一項行政命令，以應對勒索軟件。他還聲稱，網(wǎng)絡犯罪論壇禁止了勒索軟件。

但僅過了一個月，另一個勒索軟件團伙——REvil集團——就盯上了JBS。又一個月后，Kasyea被攻擊。

JBS 支付 1100 萬美元解決勒索軟件攻擊 (c) Shutterstock

他們好像并不害怕是在和作對。

Nikkel 指出，勒索軟件集團現(xiàn)在似乎有些公關能力。今年1月，DarkSide宣布他們將不會攻擊與COVID疫苗接種有關的停尸房、殯儀館和醫(yī)療機構(gòu)。

REvil——神秘的出口

REvil被認為在2019年取代了GandCrab。在被禁止之前，它在XSS和漏洞利用論壇上做廣告。XSS通過靜態(tài)代碼檢測可以在軟件開發(fā)期間及時發(fā)現(xiàn)，增加軟件安全性在一定程度上可以避免遭到此類勒索軟件攻擊。Revil是JBS和Kaseya攻擊的主犯，他們的第一次攻擊目標是一家名為GSMS的律師事務所。

“這家律師事務所代理過很多名人，包括唐納德·特朗普、Lady Gaga和麥當娜等幾位歌手，以及其他一些高調(diào)的名人。他們威脅要勒索數(shù)據(jù)，但律師事務所拒絕了，然后他們開始慢慢地發(fā)布不同的文件，以顯示他們確實獲得了很多數(shù)據(jù)，”Nikkel說。

至于JBS和Kaseya的襲擊，它們是有記錄以來數(shù)額最大的贖金。

在JBS襲擊事件發(fā)生后，REvil的代表接受了采訪，他說他們不在乎制裁，更嚴格的法律和指導方針，以及執(zhí)法部門發(fā)出的東西。但在2021年7月這個組織神秘消失。

品牌重塑

“很多這樣的勒索組織已經(jīng)重新命名，并用新的名字做同樣的事?！?/p>

例如，DarkSide和REvil 組成了BlackMatter勒索軟件組，Avaddo變成了Haron，DoppelPaymer現(xiàn)在是Grief，SynAck現(xiàn)在是El Cometa。

勒索軟件運營商并不害怕他們的目標是誰。他們所要做的就是更改名稱，做一個新網(wǎng)站并重新開始工作。

“現(xiàn)在回報肯定大于風險，因此，勒索軟件不會很快消失，”他說。

勒索軟件團伙潛伏在暗處并伺機準備行動，企業(yè)要做的除了不斷提高網(wǎng)絡安全意識，增加軟件防御設備外，使用安全可信的軟件及設備更是必不可少。尤其惡意軟件不斷提高技術手段以繞過安防軟件及設備，直接利用軟件安全漏洞發(fā)動攻擊。軟件安全是網(wǎng)絡安全最基礎的防線，而代碼是軟件的“底層建筑”。通過安全可控的源代碼檢測工具提高代碼質(zhì)量，查找代碼缺陷可以有效提高軟件安全性，為網(wǎng)絡安全防御做好重要補充工作。

參讀鏈接：

cybernews.com/security/in…