勒索软件有着悠久的历史,甚至可以追溯到20世纪80年代末。勒索软件正在为其背后的犯罪集团创造数十亿美元的收入。
根据Sophos报告数据显示,2020年勒索软件攻击的平均受害成本惊人。支付赎金的受害者损失接近150万美元,未支付赎金的受害者损失约为73.2万美元。。
在经济利益的驱使下,勒索软件团伙和恶意软件激增。数百名勒索软件运营商可以开发和交付代码,分发商从勒索软件作者那里购买RaaS服务和分发利益的恶意分子数不胜数。
本文总结了主要的勒索软件和运营团伙,虽然部分组织活动下降,但并不能保证它们会大规模卷土重来。
Cerber
Cerber是一个RaaS该平台于2016年首次出现,当年7月为攻击者净赚2万美元。
工作原理:Cerber利用Microsoft漏洞感染 *** 。其功能类似于其他勒索软件,主要用于AES-256算法对文件进行加密,包括文档、图片、音频文件、视频、档案和备份。即使没有映射到计算机中的驱动器号码,也可以扫描和加密可用的 *** 共享。攻击成功后,Cerber将三份文件放在受害者的桌面上,包括赎金要求和付款说明。
目标受害者:All
归因:Cerber创作者在私人俄语论坛上销售服务。
Conti
Conti RaaS该平台于2020年5月首次出现,被认为是Ryuk后继产品的勒索软件。截至2021年1月,Conti它已经感染了150多个组织,并为其 *** 犯罪开发商和分支机构赚取了数百万美元。至少有三个新版本被发现。
工作原理:Conti保留解密钥并出售或泄露受害者敏感数据的双重威胁策略。事实上,Conti团伙还经营着一个名为Conti News该网站列出了受害者名单,并公开泄露了盗窃数据。恶意软件一旦感染受害系统,就会尝试横向移动以访问更敏感的内容。Conti使用多线程快速加密文件。
目标受害者:2021年1月的最新一轮感染似乎针对 *** 组织,但作为 *** 组织,RaaS行动威胁任何组织/个人。
归因: Conti是独立团伙运作,其成员身份不明。
CryptoLocker
CryptoLocker现代勒索软件时代于2013年首次被发现,并在其高峰期感染了多达5Windows又称计算机TorrentLocker。20147月,美国司法部宣布禁止 CryptoLocker。
工作原理:CryptoLocker它是一种在感染计算机、任何内部或 *** 连接的存储设备中搜索加密文件的木马程序。它通常通过在线钓鱼电子邮件分发,包含恶意链接的文件附件。一旦打开文件,下载程序将被激活并感染计算机。
目标受害者:似乎没有针对任何特定实体。
归因: CryptoLocker是由犯罪团伙成员创建的,该犯罪团伙还开发了银行木马Gameover Zeus。
CryptoWall
CryptoWall又名CryptoBit或CryptoDefense,首次出现于2014年,并于2014年出现CryptoLocker关闭后开始流行。恶意软件经历了几次变化。
工作原理:利用工具包分发垃圾邮件或漏洞。CryptoWall开发人员似乎避免使用复杂的 *** ,更喜欢简单但有效的经典勒索软件 *** 。在运行前六个月,它感染了6.25万台电脑。
目标受害者:勒索软件损害了世界上成千上万的组织,但避免了俄语环境。
归因: CryptoWall开发人员很可能来自俄语国家。CryptoWall 3.0它可以检测它是否运行在白俄罗斯、乌克兰、俄罗斯、哈萨克斯坦、亚美尼亚或塞尔维亚的计算机上。如果是,它将自行卸载。
CTB-Locker
CTB-Locker于2014年被首次报道,以高感染率而闻名。2016年,以web以服务器为目标的新版本CTB-Locker发布。
工作原理:勒索软件会员必须向CTB-Locker开发人员支付月费,才能访问托管的勒索软件代码。该勒索软件使用椭圆曲线密码来加密数据。它还以多语言能力而闻名,这使得潜在受害者遍布全球。
目标受害者:鉴于它RaaS模式,CTB Locker这是对任何组织的威胁,特别是来自西欧、北美和澳大利亚,并支付了赎金。
DoppelPaymer
DoppelPaymer2019年6月首次出现,至今仍活跃。最值得注意的是,2020年9月,DoppelPaymer勒索软件攻击了一家德国医院,迫使病人被送往另一家医院,导致病人死亡。
工作原理:DoppelPaymer该团伙使用不寻常的策略,即通过伪造的美国 *** 号码向受害者发送赎金,通常约为50比特币(最初为60万美元)。他们声称自己来自朝鲜,并威胁要泄露或出售被盗数据。在某些情况下,他们还威胁受害者的员工。
据悉,DoppelPaymer似乎是基于BitPaymer勒索软件的变体,但两者之间存在一些关键差异,如DoppelPaymer使用线程文件加密来提高加密率,并使用一个名称Process Hacker工具终止安全措施、电子邮件服务器、备份和数据库流程,以削弱受害者的防御能力,避免中断加密过程。
目标受害者:医疗保健、应急服务和教育等关键行业。
归因:疑似原因Dridex特洛伊木马背后的一个分支TA505负责。
Egregor
Egregor出现在2020年9月。直到2021年2月9日,美国、乌克兰和法国当局才在联合行动中逮捕Egregor集团成员及附属机构成员,使其网站下线。
工作原理: Egregor遵循“双重勒索”趋势不仅加密数据,而且威胁要在不支付赎金的情况下泄露敏感信息。它的代码库相对复杂,可以避免使用混淆和反分析技术。
截至11月底,目标受害者: Egregor至少71个组织破坏了全球19个行业。
归因:Egregor的崛起与Maze勒索软件团伙的关闭是一致的,所以判断Maze似乎分支机构已经转移到了Egregor。此外,Egregor也是Sekhmet勒索软件系列的变体Qakbot恶意软件相关。
FONIX
FONIX是一种RaaS该产品于2020年7月首次发现。经过多次代码修2021年1月突然关闭。FONIX运营团伙随后释放了其主密钥。
工作原理: FONIX运营团伙在 *** 犯罪论坛和暗网上宣传其服务。FONIX买方将向该团伙发送电子邮件地址和密码。然后,该团伙将定制的勒索软件的有效载荷发送给买方。攻击成功后,运营团伙收取25%赎金作为报酬。
目标受害者:All
归因:未知
GandCrab
GandCrab也许是历史上更赚钱的RaaS产品。GandCrab2018年1月首次发现,截至2019年7月,开发商声称受害者赔偿超过20亿美元。
工作原理: 恶意软件通常通过在线钓鱼电子邮件发送恶意Microsoft Office文档传递。GandCrab利用变体Atlassian’s Confluence将恶意模板注入软件中的漏洞,以完成远程代码执行。
目标受害者:GandCrab该系统已被世界各地的许多行业感染,但在俄罗斯避免了活动。
归因:联系俄罗斯。
GoldenEye
GoldenEye2016年,疑似基于Petya开发了勒索软件。
工作原理: GoldenEye最初,针对人力资源部门发起攻击,发送虚假的求职信和简历。一旦其有效负载感染计算机,它将执行宏加密计算机上的文件,并在每个文件的末尾添加一个随机的8个字符扩展名。然后,勒索软件使用定制的启动程序来修改计算机硬盘的主启动记录。
目标受害者:以说德语的用户为目标。
归因:未知
Jigsaw
Jigsaw研究人员于2016年首次公布了解密工具。
工作原理: Jigsaw最特别的是,它加密了一些文件,要求赎金,然后逐渐删除,直到受害者支付赎金。基本上每小时删除一个文件,通常持续72小时,所有剩余的文件都将被删除。
目标受害者:不针对特定目标
归因:未知
KeRanger
2016年发现的KeRanger被认为是之一次攻击Mac OS X可操作勒索软件的应用程序。
工作原理:合法但感染BitTorrent客户端分发,客户端有有效证书,可逃避检测。
目标受害者: Mac用户
归因:未知
Leatherlocker
Leatherlocker于2017年在两个Android在应用程序中发现:Booster&Cleaner和Wallpaper Blur HD。发现后不久,Google这些应用从商店删除。
工作原理:当受害者下载看似合法的应用程序时,该应用程序将要求授予执行所需的恶意软件访问权勒索软件不加密文件,而是锁定设备主屏幕,禁止受害者访问数据。
目标受害者:下载感染应用程序Android用户
归因:未知
LockerGoga
LockerGoga活跃于2019年对工业公司的攻击。虽然攻击者要求赎金,但LockerGoga似乎在设计上很难让受害者真的支付赎金。这使一些研究人员认为其意图是搞破坏而不是单纯的经济利益。
工作原理:LockerGoga使用包含恶意文件附件的在线钓鱼活动来感染系统。有效负荷使用有效证书签名,以避免安全。
目标受害者:欧洲制造公司,其中最著名的受害者是Norsk Hydro该公司的全球攻击IT系统瘫痪。
Locky
Locky2016年开始传播,使用类似银行恶意软件Dridex攻击模式。Locky激发了包括Osiris、Diablo6多个变种包括在内。
工作原理:向受害者发送一封带有Microsoft Word电子邮件声称是发票,包括恶意宏。一般来说,Microsoft红色将被禁止,但如果使用红色,文档将运行红色并下载Locky(Dridex还使用相同的技术窃取账户凭证)。
目标受害者:早期针对医院,后期没有针对性。
归因:Locky涉嫌隶属于背后的 *** 犯罪组织Dridex背后的组织。
Maze
Maze是2019年5月发现的相对较新的勒索软件组织。如果受害者不支付解密费,它将向公众发布被盗数据。2020年9月,Maze宣布将关闭其操作。
工作原理:Maze攻击者通常使用在线钓鱼活动来猜测或获得有效的证据,并远程进入 *** 。然后,恶意软件使用开源工具扫描 *** ,以发现漏洞。然后在整个 *** 中水平移动,以找到更多的特权升级证据。在找到域管理员的证据后,您可以访问和加密 *** 上的任何内容。
目标受害者:遍布世界各地。
归因:多个具有共同专业知识的犯罪集团,而不是单一团伙。
Netwalker
Netwalker自2019年以来一直活跃,它使用双重威胁,即扣留解密钥,出售或泄露被盗数据。然而,2021年1月底,美国司法部宣布了一项全球行动,扰乱了它Netwalker的运作。
工作原理:从技术角度看,Netwalker它是一个相对普通的勒索软件,利用在线钓鱼电子邮件获取据点,加密和泄露数据,并发送赎金要求。据报道,该公司发布被盗数据的 *** 是将数据放在密码保护的文件夹中,然后公开释放密钥。
目标受害者:医疗保健和教育机构
归因:由Circus Spider运营
NotPetya
2016年首次出现数据破坏恶意软件(“刮水器”),但其伪装成了勒索软件。
工作原理:NotPetya与Petya类似地,将加密文件并要求用比特币支付赎金。但不同的是,Petya要求受害者点击恶意邮件启动恶意软件并获得管理员的权限,但是NotPetya无需人工干预即可传播。
最初的感染媒体似乎是通过MEDoc所有乌克兰公司都使用了中植入的后门程序。攻击者通过Medoc服务器感染计算机后,使用各种技术NotPetya包括 在内的其他计算机也可以感染EternalBlue和EternalRomance。它甚至可以使用Mimikatz在受感染机器的内存中查找 *** 管理凭据,然后使用Windows PsExec和WMIC远程访问并感染本地 *** 上的其他计算机。
目标受害者:乌克兰
归因: 俄罗斯GRU内的Sandworm小组
Petya
Petya恶意软件的初始版本于2016年3月传播。这个名字来自1995年007年电影《金眼》中的一颗卫星。一个疑似恶意软件作者的推特账号使用了扮演恶棍的演员艾伦-卡明的照片是头像。
工作原理:Petya通过一封声称是求职者简历的电子邮件发送,包括两份文件:一名年轻人的图像和一份可执行文件。当受害者点击文件时,Windows用户访问控制警告会告诉他们,可执行文件将更改计算机。一旦受害者接受更改,恶意软件将被加载,然后通过攻击存储介质上的低级结构拒绝访问。
目标受害者:任何Windows该系统是潜在的目标,但乌克兰是这次攻击的重灾区。
归因:未知
Purelocker
在2019年发现的PureLocker RaaS平台,目标是运行Linux或Windows企业生产服务器。因为是用的。PureBasic所以语言写作得名。
工作原理:PureLocker依靠more_eggs后门恶意软件获得访问权,而不是钓鱼尝试。攻击者有选择地加密已入侵的计算机的数据。
目标受害者:只有少数犯罪团伙能负担得起PureLocker因此,成本更针对高价值目标。
归因:恶意软件可能是服务提供商PureLocker幕后黑手。
RobbinHood
RobbinHood是使用EternalBlue勒索软件变体。
工作原理:RobbinHood最独特的是如何绕过终端安全的有效载荷。它有五个部分:杀死安全产品的过程和文件的可执行文件、部署签名的第三方驱动和恶意的无签名核心驱动代码、旧版本的漏洞Authenticode-signed驱动、杀死核心空间的过程和删除文件的恶意驱动,以及包含要杀死和删除的应用程序列表的文本文件。
目标受害者:Baltimore和Greenville地方 *** 是重灾区。
归因:未知
Ryuk
Ryuk2018年8月首次出现,是基于2017年在地下 *** 犯罪论坛上现Hermes开发了旧的勒索软件程序。
工作原理:通常与TrickBot结合使用其他恶意软件。Ryuk运营团伙以使用手动黑客技术和开源工具在专用 *** 中横向移动而闻名,并在启动文件加密前获得尽可能多的系统管理访问权。
一般Ryuk攻击者要求受害者支付高额赎金,即15-50比特币(约1000-50000美元) 。
目标受害者:企业、医院和 *** 组织
归因:最初归因于朝鲜拉撒路集团(Lazarus Group),该集团于2017年10月使用Hermes台湾远东国际银行攻击中国(FEIB)。后期Ryuk被认为是俄罗斯 *** 犯罪集团创造的,他们也获得了Hermes访问权限。Ryuk运营团伙也经营TrickBot。一些研究人员认为,Ryuk可能是Hermes的原作者或CryptoTech其作者创作。
SamSam
SamSam自2015年以来一直活跃,主要针对医疗保健组织,并在未来几年大幅提升。
工作原理: SamSam从IIS到FTP到RDP一系列漏洞。一旦进入系统,攻击者将升级特权,以确保攻击在开始加密文件时具有巨大的破坏性。
目标受害者:医疗保健和 *** 组织
归因:最初被认为起源于东欧。2018年底,美国司法部起诉两名伊朗人,声称他们是幕后攻击的黑手。
SimpleLocker
2014年出现的SimpleLocker之一个广泛应用于移动设备(尤其是Android设备)勒索软件。
工作原理:当受害者下载恶意应用程序时,SimpleLocker会感染设备。随后,恶意软件会在设备的SD扫描卡上的某些文件类型并加密。最后,显示赎金和付款方式的说明。
目标受害者:由于赎金票据是俄语的,并要求用乌克兰货币支付,因此推测攻击者的最初目标是该地区。
归因:开发其他俄罗斯恶意软件(如SlemBunk和GM Bot)同一个黑客写的。
Sodinokibi/REvil
Sodinokibi是一个RaaS该平台于2019年4月首次出现,英国货币兑换服务于2019年除夕关闭Travelex。勒索软件与GandCrab代码不在俄罗斯、邻国和叙利亚执行。
工作原理:Sodinokibi以多种方式传播,包括使用Oracle WebLogic服务器或Pulse Connect Secure 虚拟专用 *** 中的漏洞 。其目标是微软Windows系统加密除配置文件外的所有文件。如果受害者不支付赎金,他们的敏感数据将在地下论坛上出售或公布。
目标受害者:全球不同组织排除地区以外。
归因: Sodinokibi在GandCrab关闭后崭露头角。据说是集团成员的人证实,勒索软件是建立在旧代码库上的。
TeslaCrypt
TeslaCrypt是Windows2015年首次出现勒索软件木马,主要针对计算机游戏玩家。2016年5月,开发人员关闭操作,发布主密钥。
工作原理:受害者访问运行漏洞工具包的黑客网站后,TeslaCrypt将搜索和加密游戏文件,如游戏保存、录制重播和用户配置文件。然后要求价值500美元的比特币来解密文件。
目标受害者:电脑游戏玩家
归因:未知
Thanos
Thanos出现在2019年底,是之一次使用RIPlace技术可以绕过大多数反勒索软件策略的勒索软件。
工作原理:Thanos一般在地下论坛等封闭渠道发布广告,作为定制工具,其子公司使用它来创建勒索软件的有效载荷。Thanos提供的许多功能都是为了避免检测而设计的,其开发人员也发布了多个版本,如添加第三方备份和删除Windows Defender多种功能使响应团队更难获取证据。
目标受害者:All
归因:未知
WannaCry
由于美国国家安全局(NSA)2017年5月,黑客窃取了开发的永恒蓝漏洞,WannaCry蠕虫通过计算机 *** 迅速传播,感染了数百万台Windows电脑。
工作原理: WannaCry它由多个组件组成dropper到达感染计算机的形式。dropper作为一个自带程序,可以提取嵌入自身的其他应用组件,包括:加解密的应用程序、包含加密密钥的文件、Tor 的副本。
一旦启动,WannaCry将尝试访问硬编码URL。如果没有,它将继续搜索和加密包括Microsoft Office文件、MP3和MKV。然后显示赎金通知,要求比特币解密文件。
目标受害者:攻击影响全球公司,但在医疗保健、能源、运输和通信领域的企业受到更严重的打击。
归因:朝鲜拉撒路集团(Lazarus Group)。
WastedLocker
WastedLocker2020年5月现的勒索软件,于2020年5月开始攻击。勒索软件相对复杂,其创作者以索要高额勒索费而闻名。
工作原理:基于恶意软件的使用JavaScript的攻击框架SocGholish,通过虚假更新感染网站上的框架ZIP以文件形式分发 。一旦激活WastedLocker,然后下载并执行PowerShell脚本和一个名字Cobalt Strike后门。恶意软件将探索 *** ,并部署工具窃取凭证并访问高价值系统。最后,使用AES和RSA加密技术加密数据。
目标受害者:北美和西欧最有可能支付高赎金的高价值目标。
归因:知名犯罪团伙Evil Corp。
WYSIWYE
WYSIWYE(我看到的是加密)是针对Windows系统的RaaS该平台于2017年被发现。
工作原理:扫描 *** 上打开的远程桌面协议(RDP)服务器,然后使用弱凭证进行登录尝试。购买所见即所得服务的罪犯一般可以选择加密文件的类型,加密后是否删除原始文件。
扫描web找到开放式远程桌面协议(RDP)然后使用默认或弱凭证进行登录尝试,访问系统并在 *** 中移动。WYSIWYE罪犯可以选择要加密的文件类型,加密后是否删除原始文件。
目标受害者:最初出现在德国、比利时、瑞典和西班牙。
归因:未知
Zeppelin
Zeppelin2019年11月首次出现Vega或VegasLocker RaaS据悉,勒索软件给俄罗斯和东欧的会计公司造成了损失。
工作原理:Zeppelin勒索软件具有丰富的功能(特别是在可配置性方面),可以以多种方式部署,包括EXE、DLL或PowerShell部署加载程序,但其一些攻击仍然是通过入侵托管安全服务提供商实现的。
目标受害者:Zeppelin比Vega更有针对性的是,它不在俄罗斯、乌克兰、白俄罗斯或哈萨克斯坦运行的计算机上,而是更多针对北美和欧洲的医疗保健和技术公司。
归因:俄罗斯攻击者涉嫌通过Vega开发了代码库Zeppelin。
参考来源:csoonline