信息化觀察網

在今年年中一連串備受矚目的勒索軟件攻擊之后，一些規(guī)模最大、最臭名昭著的勒索軟件團伙消聲覓跡了。

今年5月開始，勒索軟件攻擊始終占據新聞頭條。俄語組織Conti對愛爾蘭衛(wèi)生服務機構發(fā)起勒索軟件攻擊，DarkSide對總部位于美國的Colonial Pipeline發(fā)起勒索軟件攻擊，REvil對肉類加工巨頭JBS和遠程管理軟件公司Kaseya發(fā)起勒索軟件攻擊……這一連串的事件迫使拜登政府直接發(fā)出警告稱，將付出行動來瓦解勒索軟件商業(yè)模式。白宮已經正式通知俄方政府，如果它不對在其境內使用勒索軟件開展活動的犯罪分子進行打擊，那么美國政府將代替他行使這一權力。

白宮宣言后不久，DarkSide和REvil便像此前的Avaddon組織一樣消失了。事實上，這些組織采取的都是“勒索軟件即服務”（RaaS）模式，在這種模式中，運營商主要負責開發(fā)加密鎖定勒索軟件，并將其提供給“附屬機構”——實際進行黑客攻擊和勒索軟件部署的第三發(fā)承包商。每當受害者支付贖金時，附屬機構和運營商就會按照事先定好的分配比例進行分贓。

或者，至少理論上來說是這樣的。安全公司Recorded Future的新網站The Record最近報道稱，心懷不滿的Conti附屬機構泄露了該組織用于培訓附屬機構的手冊和技術指南，原因是不滿他們提供的薪酬過低。

新的和“改頭換面”的運營商出現

考慮到目前許多企業(yè)仍然存在防御不足的情況，勒索軟件將繼續(xù)發(fā)揮巨大的盈利潛力，許多安全專家認為，Avaddon、DarkSide以及REvil背后的核心運營商可能將改頭換面重新營業(yè)。與此同時，附屬機構經常會處理多個勒索軟件操作，有時還會同時進行。因此，盡管某些組織可能不復存在，但勒索軟件的商業(yè)模式卻在不斷涌現。

與往常一樣，新的勒索軟件團伙會定期亮相。最近幾周，執(zhí)法人員和信息安全專家追蹤發(fā)現，一些鮮為人知的參與者實施的攻擊活動正在不斷攀升。所有這些組織都在使用“雙重勒索”策略，也就是說他們聲稱已在加密鎖定系統(tǒng)之前竊取了數據，并威脅將竊取的數據泄漏到數據泄露站點上，除非受害者支付贖金。面對這種情況，即便受害者組織擁有備份數據也將無濟于事。

以下是7個新興勒索軟件組織的更多詳細信息：

1.ALTDOS

近日，新加坡網絡安全局、警察部隊和個人數據保護委員會警告稱，ALTDOS網絡犯罪組織自去年12月出現以來，一直以孟加拉國、新加坡和泰國的企業(yè)組織為目標。

根據他們發(fā)布的關于ALTDOS的聯合公告稱，目前尚不清楚ALTDOS使用的是哪種勒索軟件變種。ALTDOS將使用ProtonMail上托管的電子郵件地址聯系受害者，要求其付款或發(fā)布泄露的數據。此外，如果受害者沒有在給定的時間內響應或遵守贖金要求，ALTDOS還可能對受害者面向互聯網的系統(tǒng)發(fā)起分布式拒絕服務攻擊，以中斷其運營服務并提醒他們支付贖金。

與上述贖金組織一樣，ALTDOS也實行“雙重勒索”策略，這意味著它不僅會以獲取解密工具脅迫受害者支付贖金，而且還在加密鎖定系統(tǒng)之前竊取受害者數據，并以此要挾受害者付款，否則將刪除或泄露竊取的數據。公告還指出，該組織有時會要求受害者單獨為解密服務支付贖金，再為被盜數據免遭刪除支付二次贖金。

2.AvosLocker

研究人員表示，AvosLocker組織于今年6月首次被發(fā)現，它似乎專注于美國、英國和歐洲部分地區(qū)的小型律師事務所，以及貨運、物流和房地產公司。但研究發(fā)現，截至上月底，AvosLocker勒索軟件運營商正使用一項通過Jabber和Telegraph分發(fā)垃圾郵件的服務，來宣傳其勒索軟件合作伙伴計劃，試圖招募更多的附屬機構。

截至8月底，AvosLocker基于Tor的數據泄露網站列出了11名受害者，其中包括阿聯酋Moorfields眼科醫(yī)院，該醫(yī)院是英國國家衛(wèi)生服務部Moorfields眼科醫(yī)院基金會信托基金的一個分支機構，該組織稱其竊取了超過60GB的數據.目前Moorfields方面已經證實了此次攻擊，但并未將事件歸因于它。

Palo Alto公司Unit 42威脅研究小組的Doel Santos和Ruchna Nigam在一篇博文中表示，與其許多競爭對手一樣，AvosLocker也提供技術支持服務，以幫助受害者在受到加密軟件攻擊后完成恢復工作。該組織聲稱這些軟件是‘防故障’的，檢測率低，并且能夠處理大文件。我們觀察到最初的贖金要求從50,000美元到75,000美元不等。

3.Hive Ransomware

專家稱，新出現的Hive ransomware于6月26日首次被 fbgwls245 Twitter帳戶背后自稱來自韓國的“勒索軟件獵人”發(fā)現。據悉，他是在將其上傳到VirusTotal惡意軟件掃描服務后，成功發(fā)現了該組織的惡意可執(zhí)行文件。

截至8月底，Hive的數據泄露站點列出了34名受害者。Palo Alto的Santos和Nigam稱：Hive會使用勒索工具集中的所有可用工具向受害者施加壓力，包括最初妥協(xié)的日期、倒計時、泄漏網站上實際披露的日期，甚至是在社交媒體上分享所披露泄漏的選項。

盡管該組織可能已經磨練了其作戰(zhàn)策略，但黑莓的研究和情報團隊最近表示，根據觀察到的Hive樣本顯示，該惡意軟件似乎“仍在開發(fā)中”。安全公司Emsisoft的威脅分析師Brett Callow甚至直接抨擊其代碼質量很差。他表示，到目前為止看到的Hive樣本使用的是一種愚蠢且業(yè)余的加密方案，其中使用了100個不同位大小的RSA密鑰來加密文件。

4.HelloKitty

涉及HelloKitty勒索軟件的攻擊于2020年初首次被發(fā)現。今年4月，FireEye警告稱，使用HelloKitty的攻擊者一直針對未打補丁的SonicWall SMA 100系列統(tǒng)一接入網關。據悉，供應商已于1月23日確認并于2月23日修補了該設備中的零日漏洞（命名為CVE-2021-20016）。

7月份，Palo Alto研究人員表示，他們發(fā)現了“HelloKitty的Linux變體，其目標是VMware的ESXi管理程序，該管理程序廣泛應用于云和本地數據中心”。ESXi管理程序很可能成為攻擊目標，因為攻擊者正在尋找這種脆弱且部署廣泛的程序，以實現利益最大化。一旦攻擊者成功加密鎖定這些系統(tǒng)，可能會要求巨額贖金。Palo Alto表示，使用HelloKitty的攻擊者索要高達1000萬美元的贖金，但他們最近收到的三筆贖金，總計僅為150萬美元。

5.LockBit 2.0

LockBit 2.0以前名為ABCD ransomware，同樣是以勒索軟件即服務（RssS）模式運行的組織。雖然早在2019年9月就開始活躍，但Palo Alto最近發(fā)現其攻擊方法已經發(fā)生了變化，并推出了稱為LockBit 2.0的勒索軟件。

自6月以來，該組織已經攻擊了全球52個組織，最近的受害者包括咨詢公司埃森哲。研究人員表示，威脅行為者在泄漏網站上的所有帖子中都放置了倒計時，直到保密信息發(fā)布給公眾，這為受害者制造了額外的壓力。

安全公司趨勢科技在最近的一份報告中表示，LockBit 2.0以擁有當今勒索軟件威脅環(huán)境中最快、最有效的加密方法之一而自豪。不過，這種說法顯然是為了提高該組織的形象并吸引更多的附屬機構。

最近，該組織中一位名為“LockBitSupp”的發(fā)言人接受了俄羅斯OSINT YouTube頻道的采訪，并贊揚了其運營計劃的優(yōu)點，稱他們會將每筆贖金80%的部分分配給“負責任的”附屬機構。LockBitSupp還表示，運營商會繼續(xù)改進惡意軟件和其他工具，試圖使攻擊不僅更快，而且更加自動化，包括泄露數據并將其路由到專用的數據泄漏站點。

截至8月底，LockBit 2.0泄漏站點列出了64名受害者，其中一些人的被盜信息已經公布，而另一些人的倒數計時器仍在運行。

6.OnePercent Group

8月份，FBI發(fā)布了有關OnePercent Group的警報通知，稱該組織自2020年11月以來一直處于活躍狀態(tài)，并使用網絡釣魚攻擊將IcedID（又名BokBot）銀行木馬病毒感染給受害者。該網絡釣魚電子郵件附有zip文件，其中包含Microsoft Word或Excel文檔，里面含有旨在安裝惡意軟件的惡意宏，該惡意宏會投放并執(zhí)行Cobalt Strike滲透測試工具。

FBI表示，攻擊者借助PowerShell腳本在網絡中橫向移動，使用Rclone工具將數據泄露至云存儲，然后最終在所有可能的情況下部署他們的加密鎖定惡意軟件。

FBI報告稱，在部署勒索軟件之前，攻擊者已經在受害者的網絡中潛伏了大約一個月。攻擊實施后，攻擊者會通過偽造的電話號碼向受害者索要贖金，并向其提供一個ProtonMail電子郵件地址以供進一步溝通。攻擊者會不斷要求與受害公司指定的談判代表交談，或以發(fā)布被盜數據的方式對其進行威脅。

FBI稱，對于任何拒絕付款的受害者，該組織此前曾威脅要將被盜數據出售給REvil（又名Sodinokibi）組織。電子郵件安全公司Armorblox指出，FBI描述的妥協(xié)指標（IoC）與“Shathak（也稱TA551）”組織的活動存在重疊。

7.BlackMatter Ransomware

7月下旬，一個名為“BlackMatter”的網絡犯罪論壇用戶宣布啟動一項新行動，“將DarkSide、REvil和LockBit的最佳功能融入其中”。

然而，在分析了一個在野發(fā)現的BlackMatter解密器后，安全公司Emsisoft的首席技術官、勒索軟件狩獵專家Fabian Wosar宣布，“BlackMatter應該正是DarkSide改頭換面后的新身份。”

區(qū)塊鏈分析公司Chainalysis在分析了BlackMatter使用的加密貨幣錢包后得出結論稱，它就是DarkSide的新身份。

自此，可以說勒索軟件運營商會通過改頭換面的形式重新開張的預測似乎已經成為現實。安全專家表示，50年來，我們清楚地認識到黑客行為是一種令人上癮的行為，更何況利潤頗豐的勒索軟件領域，期待簡單的白宮宣言就能令其“變天”實在天真，改頭換面要比改革或金盆洗手更有可能。

本文翻譯自：https://www.bankinfosecurity.com/7-emerging-ransomware-groups-practicing-double-extortion-a-17384