CSO指南:全球最危险也最有名的勒索软件清单 – 作者:kirazhou

勒索软件的历史悠久,甚至可以追溯到1980年代后期。如今,勒索软件正为其背后的犯罪集团创造数十亿美元的收入。

根据Sophos报告数据,2020年勒索软件攻击的平均受害成本惊人。对于支付了赎金的受害组织而言损失接近150万美元,未支付赎金的组织损失约为73.2万美元。。

在经济利益的驱使之下,勒索软件团伙和恶意软件激增。能够开发和交付代码的勒索软件运营者数量高达数百个,而分发者,即从勒索软件作者手上购买RaaS服务并分发获益的恶意分子更是数不胜数。

本文总结了主要的勒索软件及运营团伙,尽管其中一些组织活跃度下降,但并不保证它们会大规模卷土重来。

图片[1]-CSO指南:全球最危险也最有名的勒索软件清单 – 作者:kirazhou-安全小百科

Cerber

Cerber是一个RaaS平台,于2016年首次出现,并且在当年7月就为攻击者净赚200,000美元。

工作原理:Cerber利用Microsoft漏洞感染网络。其功能与其他勒索软件类似,主要使用AES-256算法对文件进行加密,攻击覆盖多种文件类型,包括文档、图片、音频文件、视频、档案和备份。即使未映射到计算机中的驱动器号,也可以扫描和加密可用的网络共享。攻击成功后,Cerber会将三个文件放到受害者的桌面上,其中包含赎金要求以及付款说明。

目标受害者:All

归因:Cerber的创作者在一个私人俄语论坛上出售服务。

Conti

Conti RaaS平台于2020年5月首次出现,被认为是Ryuk勒索软件的后继产品。截至2021年1月,Conti已感染了150多个组织,并为其网络犯罪开发商和分支机构赚取了数百万美元。目前至少发现了三个新版本。

工作原理:Conti使用了双重威胁策略,即保留解密密钥并出售或泄露受害者的敏感数据。实际上,Conti团伙还经营着一个名为Conti News的网站,该网站列出了受害名单并公开泄露窃取数据。​一旦恶意软件感染了受害系统,它会尝试横向移动以访问更敏感的内容。此外,Conti通过使用多线程来快速加密文件。

目标受害者:2021年1月的最新一轮感染似乎针对政府组织,但作为RaaS行动,对任何组织/个人都构成威胁。

归因: Conti是独立团伙运作,其成员身份不明。

CryptoLocker

CryptoLocker于2013年首次被发现,开启了现代勒索软件时代,并在其高峰期感染了多达500,000台Windows计算机,也被称为TorrentLocker。2014年7月,美国司法部宣布已取缔 CryptoLocker。

工作原理:CryptoLocker是一种木马程序,在受感染的计算机、任何内部或网络连接的存储设备中搜索要加密的文件。通常是通过网络钓鱼电子邮件进行分发,邮件带有包含恶意链接的文件附件。一旦打开文件,就会激活下载程序,从而感染计算机。

目标受害者:似乎没有针对任何特定实体。

归因: CryptoLocker是由犯罪团伙成员创建的,该犯罪团伙还开发了银行木马Gameover Zeus。

CryptoWall

CryptoWall又名CryptoBit或CryptoDefense,于2014年首次出现,并在CryptoLocker关闭后开始流行。据悉,该恶意软件经历了几次改动。

工作原理:通过垃圾邮件或漏洞利用工具包进行分发。CryptoWall的开发人员似乎避免使用复杂的方法,更倾向于简单但有效的经典勒索软件方法。在运营的前六个月,它感染了625000台电脑。

目标受害者:该勒索软件已经损害全球数以万计的组织,但避开了俄语环境的国家。

归因: CryptoWall开发人员很可能来自讲俄语的国家。此外,CryptoWall 3.0能够检测它是否在白俄罗斯、乌克兰、俄罗斯、哈萨克斯坦、亚美尼亚或塞尔维亚的计算机上运行,是的话会自行卸载。

CTB-Locker

CTB-Locker于2014年被首次报道,以高感染率而闻名。2016年,以web服务器为目标的新版本的CTB-Locker发布。

工作原理:勒索软件会员必须向CTB-Locker开发人员支付月费,才能访问托管的勒索软件代码。该勒索软件使用椭圆曲线密码来加密数据。它还以多语言能力闻名,这使得潜在受害者遍布全球。

目标受害者:鉴于其RaaS模式,CTB Locker对任何组织都是一个威胁,尤其是来自西欧、北美和澳大利亚等国家,并且曾支付过赎金的组织。

DoppelPaymer

DoppelPaymer于2019年6月首次出现,至今仍然活跃。最值得注意的是,2020年9月,DoppelPaymer勒索软件攻击了一家德国医院,导致该医院被迫将患者送往另一家医院,引发患者死亡。

工作原理:DoppelPaymer团伙使用不同寻常的战术,即通过伪造的美国电话号码打给受害者,要求支付赎金,一般赎金为50比特币左右(最初为60万美元)。他们声称自己来自朝鲜,并威胁会泄露或出售被盗数据。在某些情况下,他们还会威胁受害公司的员工。

据悉,DoppelPaymer似乎是基于BitPaymer勒索软件的变种,不过两者存在一些关键区别,例如DoppelPaymer会使用线程文件加密来提高加密率,并且使用一个名为Process Hacker的工具来终止安全措施、电子邮件服务器、备份和数据库进程等,以此削弱受害者的防御能力并避免加密过程被打断。

目标受害者:医疗保健、紧急服务和教育等关键行业。

归因:疑似由Dridex特洛伊木马背后的一个分支TA505负责​。

Egregor

Egregor出现在2020年9月。直到2021年2月9日,美国、乌克兰和法国当局在联合行动中逮捕了Egregor的集团成员和附属机构成员,使其网站下线。

工作原理: Egregor遵循“双重勒索”趋势,既加密数据又威胁如果不支付赎金就泄露敏感信息。它的代码库相对复杂,并且能够通过使用混淆和反分析技术来避免检测。

目标受害者: 截至11月下旬,Egregor破坏了全球19个行业的至少71个组织。

归因:Egregor的崛起与Maze勒索软件团伙的关闭相吻合,因此判断Maze的分支机构似乎转移到了Egregor。此外,Egregor也是Sekhmet勒索软件系列的变体,与Qakbot恶意软件相关联

FONIX

FONIX是一种RaaS产品,于2020年7月首次发现。经历了许多代码修订后于2021年1月突然关闭。FONIX运营团伙随后释放了其主要密钥。

工作原理: FONIX运营团伙在网络犯罪论坛和暗网上宣传其服务。FONIX的购买者将向该团伙发送电子邮件地址和密码。然后,该团伙将定制的勒索软件有效载荷发送给买方。攻击成功后,运营团伙收取25%的赎金作为报酬。

目标受害者:All

归因:未知

GandCrab

GandCrab可能是有史以来最赚钱的RaaS产品。GandCrab于2018年1月首次被发现,而截至2019年7月,其开发商声称受害者赔偿金超过20亿美元。

工作原理: 该恶意软件通常通过网络钓鱼电子邮件发送的恶意Microsoft Office文档传递的。目前,GandCrab的变体通过利用Atlassian’s Confluence等软件中的漏洞注入恶意模板,从而完成远程代码​执行。

目标受害者:GandCrab已经在全球多个行业感染了系统,但避免在俄语地区的活动。

归因:与俄罗斯有联系

GoldenEye

GoldenEye出现在2016年,疑似基于Petya勒索软件开发的。

工作原理: GoldenEye最初瞄准人力资源部门,以投递虚假的求职信和简历发动攻击。一旦其有效负载感染计算机,就会执行一个宏来加密计算机上的文件,并在每个文件的末尾添加一个随机的8个字符扩展名。然后,勒索软件使用自定义启动加载程序修改计算机的硬盘主启动记录。

目标受害者:以说德语的用户为目标。

归因:未知

Jigsaw

Jigsaw于2016年首次出现,但很快研究人员就公布了解密工具。

工作原理: Jigsaw最特别之处在于它加密了一些文件后会索要赎金,然后逐步删除文件,直到受害者支付赎金为止。基本每小时删除一个文件,一般会持续72个小时,超过这个时间,将删除所有剩余文件。

目标受害者:不针对特定目标

归因:未知

KeRanger

2016年发现的KeRanger被认为是第一个旨在攻击Mac OS X应用程序的可运行勒索软件。

工作原理:通过合法但受感染的BitTorrent客户端进行分发,该客户端具有有效的证书,能够逃避检测。

目标受害者: Mac用户

归因:未知

Leatherlocker

Leatherlocker于2017年在两个Android应用程序中被发现:Booster&Cleaner和Wallpaper Blur HD。发现后不久,Google便从商店中删除了这些应用。

工作原理:当受害者下载似乎合法的应用程序后,该应用会请求权限,以授予执行所需的恶意软件访问权限。该勒索软件不加密文件,而是锁定设备主屏幕禁止受害者访问数据。

目标受害者:下载受感染应用程序的Android用户

归因:未知

LockerGoga

LockerGoga在2019年针对工业公司的攻击中活跃。尽管攻击者要求赎金,但LockerGoga似乎在设计上很难让受害者真的支付赎金。这使一些研究人员认为其意图是搞破坏而不是单纯的经济利益。

工作原理:LockerGoga使用包含恶意文档附件的网络钓鱼活动来感染系统。有效负载使用有效证书签名,从而使它们可以绕过安全性。

目标受害者:欧洲的制造业公司,其中最著名的受害者是Norsk Hydro公司,攻击导致该公司全球IT系统瘫痪。

Locky

Locky于2016年开始传播,并使用类似于银行恶意软件Dridex攻击模式。据悉,Locky激发了包括Osiris、Diablo6在内的多个变种。

工作原理:向受害者发送一封带有Microsoft Word文档的电子邮件,声称为发票,其中包含恶意宏。一般情况下,Microsoft会禁用宏,但如果启用了宏,则文档会运行宏,并下载Locky(Dridex也使用相同的技术来窃取帐户凭据)。

目标受害者:早期针对医院,后期没有针对性。

归因:Locky背后的网络犯罪组织疑似隶属于Dridex背后的组织。

Maze

Maze是一个相对较新的勒索软件组织,于2019年5月被发现。如果受害者不支付解密费用,它就会向公众发布被盗数据。2020年9月,Maze宣布将关闭其运营。

工作原理:Maze攻击者通常使用可以通过网络钓鱼活动来猜测或获取有效凭据,远程进入网络。然后,该恶意软件会使用开源工具扫描网络,以发现漏洞。接着会在整个网络中横向移动,以寻找更多可用于特权升级的凭据。找到域管理员凭据后,就可以访问和加密网络上的任何内容。

目标受害者:遍及全球所有行业。

归因:拥有共同专长的多个犯罪集团,而非单一团伙。

Netwalker

Netwalker自2019年以来一直活跃,它使用双重威胁,即扣留解密密钥和出售或泄露被盗数据。然而,在2021年1月下旬,美国司法部宣布了一项全球行动,扰乱了Netwalker的运作。

工作原理:从技术角度来看,Netwalker是相对普通的勒索软件,利用网络钓鱼电子邮件获得据点,对数据进行加密和渗漏,并发送赎金要求。据悉,该公司发布被盗数据的方法是将数据放在暗网上的受密码保护的文件夹中,然后公开释放密钥。

目标受害者:医疗保健和教育机构

归因:由Circus Spider运营

NotPetya

首次出现于2016年,实际上是数据破坏恶意软件(“刮水器”),但其伪装成了勒索软件。

工作原理:NotPetya与Petya类似,都会加密文件并要求以比特币支付赎金。但不同的是,Petya要求受害者点击恶意邮件,从而启动恶意软件并获取管理员权限,但NotPetya可以在没有人工干预的情况下进行传播。

最初的感染媒介似乎是通过MEDoc中植入的后门程序实现的,该文件几倍被所有乌克兰公司使用。攻击者通过Medoc服务器感染了计算机之后,使用多种技术的NotPetya也可以感染到其他计算机,包括 EternalBlue和EternalRomance。它甚至还可以利用Mimikatz在受感染机器的内存中查找网络管理凭据,然后使用Windows PsExec和WMIC工具远程访问并感染本地网络上的其他计算机。

目标受害者:集中在乌克兰

归因: 俄罗斯GRU内的Sandworm小组

Petya

Petya恶意软件的初始版本于2016年3月开始传播。这个名字来自于1995年007电影《黄金眼》中的一颗卫星。而一个疑似该恶意软件作者的推特账号使用了扮演反派的演员艾伦-卡明的照片作为头像。

工作原理:Petya通过一封声称是求职者简历的邮件发送,其中包含两个文件:一个年轻男子的图像和一个可执行文件。当受害者点击该文件时,Windows用户访问控制警告会告诉他们,该可执行文件将对计算机进行更改。一旦受害者接受更改,恶意软件就会加载,然后通过攻击存储介质上的低级结构拒绝访问。

目标受害者:任何Windows系统都是潜在的目标,但乌克兰是这次攻击的重灾区。

归因:未知

Purelocker

在2019年发现的PureLocker RaaS平台,目标是运行Linux或Windows的企业生产服务器。因为它是用PureBasic语言编写的,因此得名。

工作原理:PureLocker依靠more_eggs后门恶意软件获得访问权,而非钓鱼尝试。攻击者针对已经被入侵的计算机,有选择地对数据进行加密。

目标受害者:只有少数犯罪团伙能够负担得起PureLocker的费用,因此更针对高价值目标。

归因:恶意软件即服务提供商可能是PureLocker的幕后黑手。

RobbinHood

RobbinHood是使用EternalBlue的勒索软件变体。

工作原理:RobbinHood最独特的地方在于其有效载荷如何绕过终端安全。它有五个部分:杀死安全产品的进程和文件的可执行文件、部署有签名的第三方驱动和恶意的无签名内核驱动的代码、有漏洞的旧版本Authenticode-signed驱动、杀死内核空间的进程和删除文件的恶意驱动,以及一个包含要杀死和删除的应用程序列表的文本文件。

目标受害者:Baltimore和Greenville的地方政府是重灾区。

归因:未知

Ryuk

Ryuk于2018年8月首次出现,是基于2017年在地下网络犯罪论坛上出售的一个名为Hermes的旧勒索软件程序开发的。

工作原理:通常与TrickBot等其他恶意软件结合使用。Ryuk运营团伙以使用手动黑客技术和开源工具在专用网络中横向移动,并在启动文件加密之前获得尽可能多的系统管理访问权而闻名。

一般Ryuk攻击者要求受害者支付高额赎金,即15至50比特币(约100,000至500,000美元) 。

目标受害者:企业、医院和政府组织

归因:最初归因于朝鲜拉撒路集团(Lazarus Group),该集团在2017年10月使用Hermes攻击中国台湾远东国际银行(FEIB)。后期Ryuk被认为是一个俄语网络犯罪集团所创造,他们同样获得了Hermes的访问权限。此外,Ryuk运营团伙也经营TrickBot。一些研究人员认为,Ryuk可能是Hermes的原作者或CryptoTech旗下的作者创建的。

SamSam

SamSam自2015年以来活跃至今,主要针对医疗保健组织,并在接下来的几年中大幅提升。

工作原理: SamSam的控制器探测预选目标的弱点,利用从IIS到FTP到RDP的一系列漏洞。一旦进入系统,攻击者就会升级特权,以确保在开始加密文件时,攻击具有极大的破坏性。

目标受害者:医疗保健和政府组织

归因:最初被认为起源于东欧。2018年底,美国司法部起诉两名伊朗人,声称是他们是攻击的幕后黑手。

SimpleLocker

2014年出现的SimpleLocker是第一个广泛针对移动设备(尤其是Android设备)的勒索软件。

工作原理:当受害者下载恶意应用程序时,SimpleLocker会感染设备。随后,恶意软件会在设备的SD卡上扫描某些文件类型,并进行加密。最后,显示赎金和有关付款方式的说明。

目标受害者:由于赎金票据是俄文并要求以乌克兰货币付款,因此推测攻击者最初的目标是该地区。

归因:由开发其他俄罗斯恶意软件(例如SlemBunk和GM Bot)的同一位黑客编写的。

Sodinokibi/REvil

Sodinokibi是一个RaaS平台,于2019年4月首次出现,并在2019年除夕关闭了英国货币兑换服务Travelex。该勒索软件与GandCrab有关,并且代码不在俄罗斯和几个邻国以及叙利亚执行。

工作原理:Sodinokibi以多种方式传播,包括利用Oracle WebLogic服务器或Pulse Connect Secure VPN中的漏洞 。它的目标是微软Windows系统,并对除配置文件外的所有文件进行加密。如果受害者不支付赎金,他们的敏感数据将被出售或公布在地下论坛上。

目标受害者:其所排除地区以外的全球不同组织。

归因: Sodinokibi在GandCrab关闭后崭露头角。一名据称是该集团成员的人,证实该勒索软件是建立在一个旧的代码库之上。

TeslaCrypt

TeslaCrypt是Windows勒索软件木马,2015年首次出现,主要针对计算机游戏玩家。2016年5月,开发者关闭了运营并发布了主密钥。

工作原理:在受害者访问了运行漏洞工具包的黑客网站之后,TeslaCrypt会查找并加密游戏文件,如游戏保存、录制的重播和用户配置文件。然后索要价值500美元的比特币来解密文件。

目标受害者:电脑游戏玩家

归因:未知

Thanos

Thanos出现在2019年末,是第一个使用RIPlace技术,可以绕过大多数反勒索软件策略的勒索软件。

工作原理:Thanos一般在地下论坛和其他封闭渠道发布广告,作为一个定制的工具,其附属机构使用它来创建勒索软件有效载荷。目前Thanos提供的许多功能都是为了逃避检测而设计的,其开发人员也已经发布了多个版本,如增加了禁用第三方备份、删除Windows Defender签名文件、使响应团队更难进行取证的多个功能。

目标受害者:All

归因:未知

WannaCry

由于美国国家安全局(NSA)开发的永恒之蓝漏洞被黑客窃取,2017年5月,WannaCry蠕虫通过计算机网络迅速传播,感染了数百万台Windows电脑。

工作原理: WannaCry由多个组件组成,以dropper的形式到达受感染的计算机。dropper作为一个自带程序,可以提取嵌入自身的其他应用组件,包括:加解密的应用程序、包含加密密钥的文件、Tor的副本 。

一旦启动,WannaCry将尝试访问硬编码的URL。如果不能,它将继续搜索和加密重要格式的文件,包括Microsoft Office文件、MP3和MKV。然后显示赎金通知,要求比特币解密文件。

目标受害者:攻击影响了全球范围的公司,但在医疗保健、能源、运输和通讯领域的企业受到的打击更为严重。

归因:朝鲜的拉撒路集团(Lazarus Group)。

WastedLocker

WastedLocker是最近出现的一种勒索软件,于2020年5月开始攻击。该勒索软件相对复杂,且其创造者以索要高额勒索费而闻名。

工作原理:该恶意软件使用基于JavaScript的攻击框架SocGholish,该框架在一个感染的网站上以虚假更新的方式,通过ZIP文件形式进行分发 。一旦激活WastedLocker,然后下载并执行PowerShell脚本和一个名为Cobalt Strike的后门。该恶意软件就会探索网络,并部署工具以窃取凭证并访问高价值系统。最后使用AES和RSA加密技术对数据进行加密。

目标受害者:最有可能支付高赎金的高价值目标,主要在北美和西欧。

归因:知名的犯罪团伙Evil Corp。

WYSIWYE

WYSIWYE(所看到的就是所加密的)是针对Windows系统的RaaS平台,于2017年被发现。

工作原理:在网络上扫描打开的远程桌面协议(RDP)服务器,然后使用弱凭据执行登录尝试。购买所见即所得服务的犯罪分子一般可以选择要加密的文件类型以及加密后是否删除原始文件。

扫描web查找开放式远程桌面协议(RDP)服务器,然后使用默认或弱凭据执行登录尝试,以访问系统并在网络中移动。购买WYSIWYE服务的犯罪分子可以选择要加密的文件类型,以及加密后是否删除原始文件。

目标受害者:最初出现在德国、比利时、瑞典和西班牙。

归因:未知

Zeppelin

Zeppelin首次出现在2019年11月,是Vega或VegasLocker RaaS产品的后代,据悉该勒索软件使俄罗斯和东欧的会计公司蒙受了损失。

工作原理:Zeppelin拥有丰富的功能(尤其是在可配置性方面),该勒索软件可以通过多种方式部署,包括作为EXE、DLL或PowerShell加载程序进行部署,不过它的一些攻击仍然是通过被入侵的托管安全服务提供商来实现的。

目标受害者:Zeppelin比Vega更具针对性,即不在俄罗斯、乌克兰、白俄罗斯或哈萨克斯坦运行的计算机上执行,更多针对北美和欧洲的医疗保健及技术公司。

归因:疑似来自俄罗斯的攻击者通过Vega的代码库开发了Zeppelin。

参考来源

csoonline

来源:freebuf.com 2021-02-26 12:01:30 by: kirazhou

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论