大家好,我是零日情报局。
本文首发于公众号零日情报局,微信ID:lignriqingbaoju。
最近,藏身Maze迷宫勒索病毒背后的黑客朋友们很忙。
刚袭击完美国核军事承包商后,他们又马不停蹄的对韩国LG集团下手了。
Maze迷宫勒索软件运营者(后文简称Maze组织)声称他们破坏并锁定了韩国跨国公司LG电子的网络,Maze组织在其用于公布加密数据的网站上一如既往的猖狂:
“我们想宣布,如果今天(6.27日)不与我们联系,我们将分享有关攻击LG的信息。我们从LG下载了40GB的Python源代码,我们将共享部分LG在美国研发团队的部分源代码。”
首先,我们再来认识一下Maze组织。
Maze勒索病毒,又称为ChaCha勒索病毒,最早于2019年5月首次发现,此勒索病毒主要使用各种漏洞利用工具包Fallout、Spelevo,通过伪装成合法加密货币交换应用程序的假冒站点进行分发传播,攻击者在对受害者设备上的数据进行加密后,将会主动告知受害者文件已被加密,需要支付赎金。
Maze组织的独到之处在于,它会运行独特的脚本检测受感染机器是家用电脑、服务器还是工作站,之后根据受害者设备价值来确认勒索的具体金额。
同时,Maze组织也是最早采用窃取数据,并将传统勒索与勒索软件相结合策略的犯罪组织。为了逼迫受害者尽快缴纳数据,Maze组织还创建了一个面向公众的网站,如果受害者拒绝交赎金,他们就会将受害者的数据全部公之于众。
迄今为止,Maze组织似乎说到做到,已经公布了包括律师事务所、医疗服务提供商、保险公司等数十家公司的详细信息。不难估算,更多的公司采用了支付赎金息事宁人的处理方式,以避免其敏感数据被公开。
臭名昭著的Maze组织
拼命为自己贴上“讲道义”的标签
自19年5月至今,臭名昭著的Maze组织已经持续活跃一年了,随着Maze组织名声的水涨船高,其兴风作浪的“案底”也越积越厚。
在疫情期间,Maze组织甚至还攻击了英国一家正在研发新冠病毒疫苗的医药研究公司。Maze组织窃取了部分患者记录,并向该公司索要大额的赎金。但很快,在这一攻击事件受到全世界的谴责。
反思过后的Maze组织宣布,在新冠疫情结束前,他们将停止针对全球医疗机构的攻击活动。同时,出于对新冠疫情和即将到来的全球经济危机的严峻性考虑,他们决定给所有“客户”提供折扣。
没错,黑客组织竟然也这么魔幻,一边大肆作恶,一边还想标榜良知和正义。
为了彰显自己是个有良知、讲道义的黑客组织,Maze在自己的网站上恬不知耻的写下了他们的企业愿景:维护世界和平。
30天内发起7次大规模攻击活动
Maze组织真的很忙
进入6月份以后,随着疫情的好转,Maze组织似乎更加活跃,各种攻击活动也多了起来。
l 6月4日,Maze组织攻击了一个美国的核军事承包商,对该承包商部分文件数据进行了加密和泄露数据;
l 6月6日,Maze组织声称已经成功攻击了商业服务巨头Conduent,他们窃取了其网络上未加密的文件并攻破加密设备;
l 6月9日,Maze组织攻击了亚洲最大的国防和工程集团之一的ST Engineering,对其美国航空航天子公司VT San AntonioAerospace(VT SAA)系统成功加密;
l 6月17日,半导体制造商MaxLinear证实被Maze 勒索软件团伙击中,并泄露了一些“专有信息”,和用户的个人信息;
l 6月22日,Maze组织攻击了泰国某省电力管理局,并在暗网上发布了该公司的部分数据以索要赎金;
l 6月23日,美国的硬件公司MaxLinear受到了Maze组织的攻击。6月15日,Maze组织释放了据称他们窃取的1TB数据中的10.3GB数据,该组织在发布包括会计和财务信息的数据后不久对MaxLinear的系统进行了加密;
l …
遍数Maze组织的全部“杰作”,似乎全球所有行业都曾经受到来自它的攻击,其攻击目标也没有明确的指向性。但McAfee实验室的研究员发现,Maze组织与许多当下著名的勒索病毒有一个“通病”,他们会对中招设备语言环境进行分析检测,然后会友好的放过俄罗斯联邦语系的设备,面对勒索病毒,俄罗斯联邦国家似乎生来就具备近乎无敌的免疫力。
(McAfee实验室发现Maze会绕过俄罗斯语系设备)
毫无疑问,Maze组织似乎对自己的俄罗斯联邦出身丝毫不加掩饰。
不交赎金就撕票
开创勒索病毒“绑票”新玩法
众所周知,过去勒索病毒攻击主要以破坏数据,勒索受害者为主,通过交赎金的方式获取暴利。
Maze组织却则真正学到了现实生活中绑架勒索的精髓, Maze组织会先利用恶意软件盗取数据,然后再使用勒索病毒对获取的数据进行复杂加密,如果受害者不在指定的期限内缴纳赎金,Maze组织就会选择撕票——直接将盗取数据公之于众。
除了交钱保平安外,受害者似乎并没有其他退路。
大鱼小鱼一起抓
判断电脑类型“见人下菜碟”
过去的勒索病毒,一般都是“广撒网,多敛鱼,择优而从之”。
而Maze勒索病毒的过人之处在于,它坚决贯彻“大鱼要抓,小鱼也不能放”的原则,走出了一条精细耕作的野路子。
Maze组织会通过脚本检测受感染的设备是家用电脑、服务器还是工作站,对不同设备索要赎金开价不同,通过这样的形式大大提高了单笔勒索收益。这样既保证了个人用户有能力和意愿破财消灾支付赎金,也确保在遇到企业级的“大客户”时,能够饱餐一顿。个别大型政企机构在遭受到加密攻击后,甚至被开出了高达数百万美元的价格。
(被Maze勒索病毒加密的计算机桌面)
丧心病狂与其他勒索病毒相勾结
Maze组织狼狈为奸的1+X商业版图
上文中我们曾经提到,为了逼迫受害者尽快缴纳数据,Maze组织创建了一个用于公布数据的网站。6月份以来,Maze似乎正在利用这个面向公众的网站,大肆扩张自己的商业版图。
6月5日,一家国际建筑公司的信息和文件被发布到Maze的数据披露网站上。但是,这些数据却并非在Maze勒索软件攻击中被盗,而是来自另一个名为LockBit的勒索软件攻击。之后Maze组织公开表示他们正在与LockBit合作,允许该组织在Maze的“新闻网站”上共享受害者数据。
紧接着不久,Maze组织再次添加了另一个竞争的勒索软件组织Ragnar Locker的受害者数据,Maze网站上的帖子引用的是“Maze联盟—由Ragnar提供”。
诸多证据表明, Maze组织正在将各路“散兵游勇”拉上自己的战车,以合作资源共享的方式酝酿更大的阴谋。
老生常谈,写在最后:
尽管传统的勒索软件攻击已经让受害者饱受摧残,但起码受害者还能够从数据备份中恢复所有的重要文件。但显然,Maze组织创造的新模式更加恶毒。
半年以来,包括Clop、Nemty、Nefilim、Ragnarlocker、Sekhmet、Snatch、DopplelPaymer、Sodinokibi等在内的多个勒索病毒组织已经开始效仿Maze组织先利用恶意软件盗取企业的数据,再投放勒索病毒进行加密勒索的做法。
另一个不得不面对的现实问题是,Maze开创的勒索攻击模式,极大的模糊了勒索软件加密勒索赎金与企业数据泄露之间的界限。就算企业有心准备了周密的备份数据,但根本无力阻止黑客威胁公开数据的行径,只能捏着鼻子认缴赎金。但就算真的如期割肉缴纳了赎金,也还是无法保证黑客组织不会将已获得的数据以其他形式泄露出去。毕竟谁也不能指望一个黑客组织坚守原则和诚信。
那怎么办呢?想来之后还会不断有新生的,老牌的黑客组织嗅到勒索病毒的商机而加入进来,采用的攻击手法和技术也会更加高明。或许我们只有及时更新杀毒软件和漏洞补丁,才能为躲避那些飞来横祸创造一线生机吧。
来源:freebuf.com 2020-06-29 15:32:51 by: 0day情报局
请登录后发表评论
注册