从早期开始,勒索软件行业无疑已经发展了很长一段时间AIDS木马现在非常商业化的勒索是服务模式(RaaS),掠夺各种规模的企业。现在,一种叫做“双重勒索”随着疫情的爆发,新型勒索软件技术发展迅速。该技术不仅可以锁定公司文件,还可以迫使公司支付赎金,否则其数据将公开泄露。
随着勒索软件攻击的增加,这种勒索软件的发展给公司和使用这些公司产品的消费者带来了麻烦。看看这些数字,很容易看什么:
- 70勒索软件受害者%支付赎金,金额在2万美元至4万美元之间
- 受害者支付勒索软件的费用$ 500- $ 1.000勒索赎金
- 预计到2021年,勒索软件将净利润200亿美元
- 2019年-2023在此期间, *** 犯罪可能会使企业遭受痛苦5.2额外的成本和收入损失万亿美元
更糟糕的是, *** 犯罪团伙针对各种规模的组织:2019年62%的 *** 犯罪受害者是中小企业。
然而,仅是企业担心勒索软件的上升。Luca mela一家追踪名称“双重勒索”网站的创建者,新的勒索软件策略,Luca Mella告诉Cyber News,消费者显然应该更担心企业被勒索软件的消息。“由于双重勒索,在罪犯手中会传输大量数据,在许多情况下甚至是数百GB(千兆字节)。”
他说,这很令人担忧。“当你知道自己的个人数据、身份证扫描件、简历、账单、工资单、采购订单或其他信息正在被国际犯罪组织、国际犯罪分子或当地诈骗犯获取时,你会有什么感受?”
如果这些勒索软件卡特尔出售消费者的个人数据,它们将用于在线钓鱼或身份盗窃。因此,一般来说,每个人都应该担心勒索软件及其大规模增长。
REvil双重勒索战术
REvil,也称为Sodin或Sodinokibi,是之一个使用勒索软件的勒索软件组织“双重勒索”该策略的勒索软件是一种双管齐下的勒索 *** ,将公司锁定在其文件之外。他们还威胁说,如果公司不按时支付赎金,它将向公众披露数据。
REvil现在可能已经解散了GandCrab犯罪团伙主要基于以下事实:REvil在GandCrab退出后立即活跃起来,这两个团伙使用的勒索软件有明显的相似之处。GandCrab声称已经支付了20多亿美元的赎金,运营商每周赚250万美元。
REvil双勒索策略于2020年6月首次使用,当时正在拍卖从一家拒绝支付赎金的加拿大农业生产公司窃取的数据。
从那时起,就像Maze和DoppelPaymer像卡特尔这样的竞争勒索软件组织了同样的策略,不幸的是,他们都取得了成功。
比如2019年底,Maze卡特尔袭击了犹他大学。当大学成功地从备份中恢复数据时,Maze在数据加密之前,并威胁要泄露学生数据。因此,犹他大学被迫支付457美元和059美元的赎金。
*** 犯罪集团如果没有双重敲诈手段,将承担损失。
业务结构不断变化
另一件需要注意的事情是,勒索软件组织不仅在其策略上“进化”,还有组织结构“进化”。在将特定勒索软件病毒与特定群体联系起来之前,已经形成了类似黑手党或商业组织的形式“卡特尔”。
这些卡特尔也为他们工作“附属机构”,例如,特权升级。主要组织使用附属组织留下的后门和信标植入勒索软件并泄露数据,然后传输被盗数据和攻击信息。作为回报,他们获得了一定比例的股息。
招募黑客论坛Darkside勒索软件帮派会员
联盟计划要么通过卡特尔将目标分配给小联盟团队,要么通过卡特尔找到目标。一旦目标 *** 渗透,他们将数据传输给卡特尔并收集付款。然后,卡特尔提取数据并加密目标系统。
此外,他们还与其他 *** 犯罪团伙合作,共享资源,协调受害者数据泄露,勒索受害者。Maze勒索软件组卡特尔Maze,LockBit,Ragnar Locker合作组成。
此外,这些勒索软件卡特尔还模仿基于订阅的软件,即服务(SaaS)模型开发了他们的服务产品。这些卡特尔现在提供“勒索即服务(ransomware as-a- service)”,也就是说,勒索软件行业的新进入者(个人或团体)不再需要开发自己的恶意软件或有必要的基础设施,这些组织有“为您完成”即使是非技术攻击者也可以使用该模型攻击和勒索受害者。
测量双重勒索
查看过去几个月的卢卡·梅拉(Luca Mella)在双勒索跟踪程序的数据中,我们可以看到公开披露的违规行为数量激增:
当我们查看一个流行的黑客论坛上可供下载的公共数据库的总数时,我们注意到了相同的趋势:
需要注意的是,受勒索软件攻击影响的公司的实际数量尚不清楚。Mella告诉Cyber News:“在双重勒索中,我们只注意到整个活动的一小部分。特别是在谈判中支付赎金的公司没有引起注意,几种在线保险也涵盖了赎金。”
查看任何趋势的一种 *** 是简单地查看攻击者泄漏的漏洞数量。这可能与双重勒索策略有关–卡特尔可能会泄露受影响公司数据库的一些部分,以帮助它“谈判”。
事实上,正是因为这个确切的原因,我们遇到了一些泄漏,比如迈阿密Intcomex:
然而,仅仅检查声明或泄露的违规行为并不能真正显示正确的图片。当我们检查勒索软件参与者声称的泄漏时,趋势变得更加清晰:
尽管Mella分析始于2020年8月,但趋势明显–勒索软件随着时间的流逝而增加,不同的 *** 犯罪团伙随时间增加其输出。
制造业和零售业是攻击最严重的行业:
跟踪器运行一段时间后,Mella双勒索操作者似乎根本没有区分他们选择的目标。
“一开始我以为这些团伙只针对高价值的巨额支付目标,”梅拉告诉 *** 新闻,“但数据显示,他们实际上正在攻击各种类型的公司:从价值亿万的公司到价值500万美元的本地中小企业。”
他还注意到,他们通常瞄准一些专业的服务机构、律师事务所和零售企业,这可能是因为他们与银行业等成熟部门相比,传统上缺乏 *** 安全准备。
“最让我惊讶的是,受影响的行业种类繁多,包括许多医疗保健和非营利组织。”
当查看哪些勒索软件组织或分支机构主导攻击时,我们可以看到Conti,Netwalker和Maze构成所有攻击的53%以上:
但由于迷宫卡特尔和Conti和RagnarLocker因此,它们可以被视为主要攻击组,占所有攻击的39%。
勒索软件和大流行
Mella她收集了大部分数据,说全球Covid-19这些团伙以私人和公共组织为目标,从业务中断中获利,扩大附属项目,并将僵尸 *** 添加到他们的工具库中。
Mella大流行是数字现象(包括双勒索)的催化剂。Covid-19威胁和封锁都加剧了双重勒索的影响, *** 攻击通常分为两类:公司IT变更和外部威胁。
“几天内,许多公司被迫打开安全防线,在智能工作中投入大量劳动力,并引进新技术。”梅拉告诉CyberNews,“在很短的时间内大,只有安全状态更好的人才能妥善处理。现在,每个公司都必须考虑这些增加的风险并处理它们。”
在外部,他认为 *** 犯罪分子意识到了这些弱点,并开始加强。“2019年底只有两三个双勒索隶属关系服务;到2020年,这个数字将增加10倍左右。”他告诉CyberNews。
虽然这里收集的所有数据都有待确认- *** 犯罪团伙声称他们破坏了一家公司,这可能是谎言-但它确实得出了一个发人深省的结论:勒索软件在2020年已经是一个大问题,其发展轨迹表明它将在2021年及以后成为一个更大的问题。
演变勒索软件策略
1989年,约瑟夫发生了勒索软件的之一个例子·波普(Joseph Popp)编写,被称为AIDS特洛伊木马。这种攻击不像现代攻击 *** 那样有效:文件没有加密,而是隐藏在受害者的计算机上,唯一加密的是文件名称。即便如此,解密钥也可以在木马代码中找到。
勒索软件在2000年代中期开始受到关注。到2006年,比如GPCode公司计算机上开始出现恶意软件,以此类推.doc,.html,.jpg,.xls,.zip和.rar等待扩展名加密计算机驱动器上的文件。然后,勒索软件将文本文件放置在每个文件目录中,指示受害者将电子邮件发送到指定地址,勒索金额约为$ 100- $ 200。
即便如此,受害者也可以在不支付任何赎金的情况下恢复数据。
但是,随着 *** 犯罪分子变得越来越复杂,他们使用越来越多的RSA在2006年1月,加密密钥尺寸创建其木马。GPCode使用了56位RSA公钥(56小时内破解),但2008年6月使用1024位RSA如果密钥真的被强行破解,估计目前计算机的水平最长使用200万年,因此破解是不可行的。
随着比特币的引入,勒索软件变得更有利可图,可能更容易操作。2013年底,CryptoLocker2013年10月15日至12月18日,勒索软件传播,其创始人收入约2700万美元。
勒索软件如CryptoBlocker,OphionBlocker和Pclock这种新的变化不断增加,使用户有72小时支付1比特币赎金。如果受害者不付款,文件将被删除。
然后,Chimera在2015年开始发挥作用。这种特殊勒索软件引诱公司员工点击托管Dropbox恶意文件链接以勒索受害者。一旦被感染,攻击者将要求约700美元的比特币作为解密钥。然而,与标准勒索软件流程不同,Chimera创始人威胁说,如果受害者不支付赎金,他将在互联网上发布受害者的文件。没有证据表明任何受害者的个人数据已经在网上发布,但这种勒索软件策略的升级可能会鼓励勒索软件的新常态,即“双重勒索”。
避免攻击勒索软件
由于卡特尔的结构–会员、分支机构松散地渗透到目标 *** 中–这些勒索软件组织正在使用各种攻击媒介。Maze卡特尔(Maze Cartel)使用妥协RDP会话、弱用户凭证、社会工程等。
事实上,联盟计划的方式是非常巧妙的,因为它允许更多的去中心化的创造力和创新力:有效的卡特尔集团并不关心分支机构具体是如何做的,只要它完成了即可得到报酬。这也允许卡特尔集团同时进行多个操作,如果所有操作都集中起来,将很难管理和维护。
有鉴于此,采用零信任安全策略(“不信任任何人”策略)可以为组织提供更好的服务。本质上,在尝试授予访问权之前,必须验证组织内部或外部尝试连接到其系统的所有内容。
缓解策略是一个至关重要的方面,组织备份其数据,以免在攻击时中断其业务运作。
然而,这只涵盖了双重勒索问题之一。企业还需要包括:
- 防止恶意软件传播到设备:过滤允许的文件类型,防止恶意网站等。
- 保护远程访问设备:修复已知漏洞,启用MFA,使用安全的虚拟 *** ,采用更低权限模型。
- 防止恶意软件通过 *** 传播:使用MFA,对虚拟 *** 、防火墙、防病毒、设备及基础设施进行修复,隔离过时平台。
- 防止任何恶意软件在设备上运行:集中管理设备,保持软件最新,尽快安装安全更新,自动更新。
尽管如此,梅拉还是说CyberNews,预防不应该成为组织战略的全部重点。相反,企业应该准备应急响应。“有了正确的投资、良好的安全运营商和快速的 *** 应急响应能力,在勒索软件运营商影响企业和利益相关者的信任之前,有可能拦截他们。”
本文翻译自:https://cybernews.com/security/these-ransomware-cartels-will-leak-your-data-until-you-pay/如果转载,请注明原始地址。