當(dāng)前,勒索軟件攻擊正在以多種方式持續(xù)演進(jìn)。例如:越來(lái)越多的新玩家“入場(chǎng)”,許多傳統(tǒng)玩家偶爾會(huì)“退場(chǎng)”;一些團(tuán)伙正在運(yùn)行復(fù)雜的“勒索軟件即服務(wù)”(RaaS)操作,并挖角網(wǎng)絡(luò)滲透、談判、惡意軟件開(kāi)發(fā)等方面的專家;有些團(tuán)伙由于缺乏足夠的預(yù)算和人手,只能繼續(xù)在外圍運(yùn)作等。隨著勒索軟件攻擊的持續(xù)演進(jìn),其生態(tài)系統(tǒng)呈現(xiàn)出以下7種趨勢(shì)。
01
參與者整體維持平衡
勒索軟件攻擊領(lǐng)域的參與者整體維持平衡——老牌玩家退場(chǎng),往往伴隨著新玩家入場(chǎng)。以今年第三季度為例,走向衰落的群體有Avaddon、Noname等,而相對(duì)較新的玩家有Prometheus、REvil(又名Sodinokibi)、CryptBD、Grief、Hive、Karma、Thanos以及Vice Society等。不過(guò),9月份重新回歸的REvil,上個(gè)月再度消失,這可能與執(zhí)法部門的取締活動(dòng)有關(guān)。
02
結(jié)構(gòu)重組愈發(fā)普遍
一些所謂的“新玩家”很可能只是改頭換面的老牌玩家。例如,在2021年第三季度,SynAck勒索軟件組織托管了一個(gè)名為“File Leaks”的數(shù)據(jù)泄露網(wǎng)站,并將自己更名為“El_Cometa”。此外,DoppelPaymer可能已更名為“Grief”勒索軟件組織,Karma很有可能是Nemty勒索團(tuán)伙的新名稱。
03
攻擊活動(dòng)的參與群體日益增多
Cisco Talos研究人員表示,不管名稱如何變,2021年第三季度似乎有更多玩家參與了更多攻擊活動(dòng)。特別是在Cisco Talos開(kāi)展的事件響應(yīng)活動(dòng)中,只有Vice Society和REvil出現(xiàn)在多起攻擊活動(dòng)中,這表明新興勒索軟件團(tuán)伙更加“民主化”,攻擊活動(dòng)的參與群體日益增多。
不過(guò)奇怪的是,之前多產(chǎn)的Ryuk并未出現(xiàn)在Cisco Talos視線中。許多研究人員認(rèn)為Conti勒索軟件家族是Ryuk的繼任者,這可能正是Ryuk活動(dòng)量下降的原因所在。勒索軟件事件響應(yīng)公司Coveware證實(shí)了這一結(jié)論,該公司稱在其第三季度協(xié)助處理的數(shù)千個(gè)案例中,Conti攻擊量急劇增加而Ryuk攻擊量大幅減少。
2021年第三季度攻擊中出現(xiàn)的Top10勒索軟件名稱及市場(chǎng)份額(來(lái)源:Coveware)
04
并非所有勒索軟件運(yùn)營(yíng)商都賺得“盆滿缽滿”
目前,似乎仍然有大量勒索軟件組織十分活躍。例如,以色列威脅情報(bào)公司Kela報(bào)告稱,自10月25日以來(lái),已有11個(gè)組織——Avos Locker、BlackByte、BlackMatter、Clop、Conti、Grief、LockBit、Marketo、Midas、Pysa和Xing等在其數(shù)據(jù)泄露門戶網(wǎng)站列出了受害者信息。有些勒索軟件組織正賺得“盆滿缽滿”,Coveware發(fā)布的數(shù)據(jù)顯示,在2021年第三季度,企業(yè)、政府機(jī)構(gòu)或其他受害組織平均支付了140,000美元贖金。
但McAfee研究員Thibault Seret指出,并非每個(gè)勒索軟件即服務(wù)操作都能得到六位數(shù)或更多贖金回報(bào)。他表示,“根據(jù)最近的頭條新聞,您可能會(huì)認(rèn)為所有勒索軟件運(yùn)營(yíng)商每年都能從其邪惡活動(dòng)中攫取數(shù)百萬(wàn)美元。不過(guò)事實(shí)是,在大型犯罪團(tuán)伙的陰影之下,還有許多較小的參與者,他們無(wú)法獲取最新的勒索軟件樣本,沒(méi)能力成為‘后DarkSide RaaS世界’中的附屬公司,也沒(méi)有快速發(fā)展的金融影響力。”
05
惡意軟件泄露養(yǎng)活了小型玩家
小型玩家可以在其他方面發(fā)揮創(chuàng)新能力。例如,今年6月份泄露的Babuk勒索軟件構(gòu)建器就被一些小型玩家使用,構(gòu)建其更高級(jí)的加密鎖定惡意軟件。在另一案例中,攻擊者只是簡(jiǎn)單地調(diào)整了Babuk贖金記錄——插入其控制的比特幣錢包地址,用它瞄準(zhǔn)受害者,并索要數(shù)千美元贖金。
06
泄露被盜數(shù)據(jù)也充滿挑戰(zhàn)
雖然“從受害者那里竊取數(shù)據(jù),并威脅其泄露數(shù)據(jù)以達(dá)到目的”是勒索團(tuán)伙廣泛采用的策略,但它并非萬(wàn)無(wú)一失。關(guān)鍵挑戰(zhàn)在于,受害者可能還是會(huì)選擇不付款,如果攻擊者并未竊取敏感數(shù)據(jù),可能情況更是如此。
第三季度勒索軟件組織在其數(shù)據(jù)泄露站點(diǎn)上列出的受害者數(shù)量(來(lái)源:Digital Shadows)
許多勒索軟件團(tuán)伙在管理數(shù)據(jù)泄漏站點(diǎn),以及在暗網(wǎng)上托管數(shù)據(jù)以供下載時(shí)都會(huì)遇到困難,這導(dǎo)致一些勒索軟件團(tuán)體使用公共文件共享網(wǎng)站(例如Mega[.]nz或PrivatLab[.]com)公開(kāi)數(shù)據(jù)。由于這些服務(wù)托管在明網(wǎng)上,它們通常會(huì)被刪除,并且大多數(shù)下載鏈接會(huì)在一兩天內(nèi)被刪除。
由于暗網(wǎng)是只能通過(guò)匿名Tor瀏覽器訪問(wèn)的網(wǎng)站,它優(yōu)先考慮的是隱私而非性能,因此,想在暗網(wǎng)中下載泄露的數(shù)據(jù)就會(huì)變得比較困難。XSS俄語(yǔ)網(wǎng)絡(luò)犯罪論壇的許多用戶就曾報(bào)告稱,當(dāng)他們嘗試下載Clop竊取的數(shù)據(jù)時(shí),就遭遇了下載速度緩慢的問(wèn)題。有些用戶聲稱花了將近一周的時(shí)間才下載完成第一個(gè)數(shù)據(jù)集,有些用戶甚至直接放棄了下載。
托管數(shù)據(jù)泄漏站點(diǎn)和支付門戶也會(huì)使它們更易成為執(zhí)法機(jī)構(gòu)的目標(biāo)。REvil勒索軟件運(yùn)營(yíng)商就遇到了這種情況。當(dāng)管理員重新啟動(dòng)其基于Tor的站點(diǎn)時(shí),卻發(fā)現(xiàn)其他人(可能是前管理員,也可能是執(zhí)法官員,也許兩者兼有)也有安裝文件的副本,允許他們劫持REvil的Tor站點(diǎn)。
07
運(yùn)營(yíng)商風(fēng)險(xiǎn)暴露
一些勒索團(tuán)伙的收入似乎格外高,部分原因是受害者支付了價(jià)值數(shù)百萬(wàn)美元的加密貨幣贖金,執(zhí)法機(jī)構(gòu)按圖索驥,很有可能找到勒索團(tuán)伙的成員。
據(jù)德國(guó)周報(bào)Die Zeit報(bào)道稱,德國(guó)警方已經(jīng)確定了REvil團(tuán)伙的一名疑似領(lǐng)導(dǎo)人——一名自稱“Nikolay K.”(非真名)的比特幣企業(yè)家。據(jù)了解,警方在追蹤GandCrab受害者之一斯圖加特國(guó)家劇院(于2019年向GandCrab支付了價(jià)值17,000美元的加密貨幣)時(shí),發(fā)現(xiàn)加密貨幣與Nikolay K.使用的電子郵件帳戶存在關(guān)聯(lián),便成功鎖定了他。
勒索軟件驅(qū)動(dòng)的生活方式和試圖保持匿名的模式也可能對(duì)從業(yè)者造成傷害。例如,一些勒索軟件的頭目?jī)A向于通過(guò)在俄語(yǔ)網(wǎng)絡(luò)犯罪論壇上發(fā)帖來(lái)發(fā)泄情緒,而非簡(jiǎn)單地獲取收益后悄然離場(chǎng)。這表明為了保持運(yùn)營(yíng)節(jié)奏和匿名性,他們確實(shí)承擔(dān)著越來(lái)越大的壓力。這種情緒已經(jīng)瀕臨崩潰,如果執(zhí)法部門持續(xù)打擊,未來(lái)一定會(huì)出現(xiàn)更多情緒的大爆發(fā)。