勒索软件频繁升级,了解常见勒索软件很有必要!

发布时间:2022-07-21 10:02:09

近年来,勒索软件组织从零散的组织发展成为具有鲜明产业特征的企业。勒索软件频繁升级,使得其攻击更加复杂,更有针对性。一旦中招,企业和组织有可能面临业务运营中断、机密数据信息被窃取公开售卖、赎金支付造成的金钱损失等。
为了让大家对市面上常见的勒索软件有基本的了解,中科三方收集了常见的勒索软件类型以及它们的发展,包括Again、BlueSky、Dark Web Hacker、Deadbolt、Deno、Freeud、GoRansom、Hive、 LockBit和RedAler 勒索软件等。
 Again 勒索软件 
Again可能起源于Babuk,它与Babuk共享相同的源代码(其整个源代码于 2021 年泄露),你甚至可以把其视为Babuk变体的一个分支。Again 勒索软件会寻找要加密的文件并将“.again”附加到文件名中,使用户无法打开这些文件。受害者会看到一个名为“如何恢复您的文件.txt”的文本文件,上面留有联系威胁行为者的网站信息,在该网站上,在该页面,受害者可以发消息给威胁行为者以通过支付赎金换取文件。
 BlueSky勒索软件 
BlueSky 作为近期发现的一种勒索软件变种,它的一些勒索软件样本以“MarketShere.exe”和“SecurityUpdate.exe”的形式在线分发,在入侵目标之后,BlueSky会加密受感染机器上的文件,然后添加“.bluesky”文件扩展名。同时它还会在“#DECRYPT FILES BLUESKY #.txt”和“#DECRYPT FILES BLUESKY #.html”中放置勒索信,让要求受害者访问BlueSky TOR网站并按照提供的说明进行操作。

Bluesky执行流程图

Bluesky执行流程图

 Dark Web Hacker 勒索软件 
在入侵目标之后,Dark Web Hacker先加密受感染机器上的文件,并将“.[4 个随机字符}”附加到目标文件和文件名的末尾,然后在“read_it.txt”中留下勒索信,其中包含攻击者的联系电子邮件地址和比特币地址,该勒索组织要求的赎金是价值3,000美元的比特币。他们还曾将受害者的桌面壁纸替换为他们自己的壁纸,比如一个比特币二维码,以方便受害者快速支付赎金。
Deadbolt 跨平台勒索软件
Deadbolt 是一个以跨平台语言编写的勒索软件示例,但目前仅针对QNAP NAS 系统。它也是 Bash、HTML 和 Golang 的有趣组合。Deadbolt 本身是用 Golang 编写的,赎金通知是一个HTML文件,它取代了QNAP NAS使用的标准索引文件,如果提供的解密密钥是正确的,则使用Bash脚本启动解密过程。这个勒索软件还有一个特别之处:它不需要与攻击者进行任何交互,因为在比特币交易的 OP_RETURN 字段中提供了解密密钥。
 Deno勒索软件 
这种新型勒索软件变种在加密目标设备文件后,也会给加密文件添加“.DENO”文件扩展名。同样,它也会在“readme.txt”中放置勒索信,信中提供了两个ProtonMail 电子邮件地址供受害者联系攻击者。目前没有太多信息关系该威胁行为者的最终索要的赎金以及他们的真正目的。
Freeud勒索软件
卡巴斯基最近发现了支持乌克兰的全新勒索软件变种 Freeud。Freeud的勒索信说俄罗斯士兵应该离开乌克兰。单词的选择和笔记的书写方式表明它是由以俄语为母语的人写的。恶意软件开发者的政治观点不仅通过赎金票据表达,还通过恶意软件功能表达。其中之一是清除功能。如果恶意软件包含文件列表,而不是加密,恶意软件会将它们从系统中清除。
另一个突出的特性是恶意软件的高质量,其应用的加密方法和使用多线程的方式突出了这一点。
GoRansom勒索软件
GoRansom 于 2 月底在乌克兰被发现,同时进行了 HermeticWiper 攻击。GoRansom 所做的一些事情与其他勒索软件变体不同:
它会创建数百个副本并运行它们;
函数命名方案参考美国总统选举;
没有混淆,它具有非常简单的功能;

GoRansom勒索软件

GoRansom勒索软件

出于这些原因,认为它的创建是为了提高乌克兰网络行动的效率。
 Hive 勒索软件 
Hive勒索软件近期的活跃度有点高,它是另一种勒索软件即服务 (RaaS),它不但加密受害者设备上的文件,还会窃取数据,并要求用户支付费用以恢复受影响的文件,否则被加密的数据就会被泄露在该勒索组织被称为“HiveLeaks”的站点上。
这个臭名昭著的勒索软件曾经就严重影响了哥斯达黎加的公共卫生系统,据报道,该系统曾被Hive勒索软件入侵并遭到破坏。经研究,该勒索软件的最新版本是用Rust编程语言编写的,而旧版本的变体是用Go编写的,好在目前其解密工具已推出。
 LockBit 勒索软件 
LockBit是一种针对Windows和Linux的勒索软件。自 2019 年 12 月以来,它一直活跃。

 RaaS—— Lockbit 的演变

 RaaS—— Lockbit 的演变

该勒索软件采用了勒索软件即服务 (RaaS) 模型,其运营商十分重视对LockBit勒索软件的开发,为此也同时开发了支持它的所有必要工具和基础设施,例如泄密站点和赎金支付门户。他们将这些解决方案提供给其他使用该勒索软件的分支机构(为使用他们的技术而付费的犯罪分子),甚至包括额外的服务,例如赎金谈判。
在执行实际攻击中,LockBit分支机构会将勒索软件感染并部署到目标中,作为回报,他们会获得受害者支付的20%的赎金。虽然根据运营商的规则是禁止分支机构在关键基础设施环境中加密文件,例如核电厂或天然气和石油行业,但却允许分支机构在不加密关键文件和/或这些组织的基础设施的情况下窃取数据。此外,分支机构也被禁止攻击前苏联国家。
在实施加密前,LockBit分支机构通常还会使用一种由LockBit 团伙开发的信息窃取工具“StealBit”来窃取目标设备里的数据,经勒索软件加密的文件通常具有“.lockbit”文件扩展名,同时该勒索软件还会在 Restore-My-Files.txt 中留下勒索信。LockBit的一些变体甚至还会用一条消息替换桌面墙纸,让受害者知道他们已经被勒索了。LockBit通常还会采用一些勒索策略,比如要求受害者用比特币支付赎金以恢复受影响的文件,并保证不会将被盗信息泄露给公众。
LockBit 3.0作为LockBit 2.0的升级于2022年3月首次亮相,该勒索软件在6月再次受到关注,因为该勒索软件团伙推出了一项“漏洞赏金”计划,奖励在1000美元至1,000,000美元之间,用于检测其产品中的缺陷和弱点。
 RedAlert 勒索软件 
RedAlert也称为N13V,是7月初发现的一种新型勒索软件。它会影响 Windows 和 Linux VMWare (ESXi) 服务器。它不但会加密受感染机器上的文件,也会从中窃取数据。该勒索软件变种添加到受影响文件的一个报告文件扩展名是“.crypt658”,但这可能会因受害者而异。
和其他勒索软件相比,他们通常使用双重勒索策略,除了要求支付赎金以恢复受影响的文件,也会威胁受害者将其数据发布到网站供用户下载。为了迫使受害者及时支付赎金,威胁行为者还要求受害者在72小时内联系攻击者,否则攻击者会将部分被盗数据发布到他们的泄密站点。其他威胁包括对受害者发起分布式拒绝服务 (DDoS) 攻击,以及给受害者的员工打电话等等。
 要不要支付赎金 
当遭遇勒索软件之后,用户要不要支付赎金?CISA、NCSC、FBI和HHS等组织给了我们答案,部分原因是即便支付之后也不能保证文件会被恢复。根据美国财政部外国资产控制办公室 (OFAC) 的建议,支付赎金还可能鼓励这些勒索组织针对其他企业继续发起勒索攻击,也变相为这些不法分子提供了实施其他不法活动的资金。
怎样预防勒索软件
1、定时检测恶意软件与网络漏洞,避免点击来源不明的邮件或附件。

2、确保应对策略,尽量考虑到SMB和Windows权限提升漏洞。

3、提升内部监控,并强化脚本语言和横向移动工具的使用。

4、实时关注新一波的勒索软件活动,确保检测和应对技术到位。

5、对重要系统进行备份,以便在灾难发生时能够恢复系统数据。

 





相关推荐:

直指word附件,勒索软件AstraLocker 2.0来袭
上一篇:2022上半年网络攻击事件播报 下一篇:我国IPv6发展现状