企業獵手：五大勒索病毒組織

企業獵手：五大勒索病毒組織

 

█過去五年中，勒索病毒已經從對個別電腦的威脅演變為企業網路的嚴重危機。 單純感染更多電腦已經難以滿足網路罪犯的胃口，他們還轉向了更大的目標。 對商業組織和政府機構進行攻擊勢必需要仔細謀劃，而其回報可能高達數千萬美元。

勒索病毒團隊想要利用的，是企業遠大於普通用戶的經濟實力。 不僅如此，當代許多勒索病毒組織在加密之前還會竊取數據，進一步以洩密作為威脅。 對於受害企業而言，這增加了多種風險，從名譽受損到股東糾紛，再到監管機構的罰款，加起來的損失往往會超過贖金。

根據我們的數據，2016年是一個分水嶺。 在短短幾個月間，針對企業的勒索病毒攻擊增加了兩倍。 在2016年一月份，我們平均每2分鐘記錄到一次攻擊事件。 到了9月底，該間隔縮短到了40秒。 自2019年以來，專家們定期觀察一系列針對性的，被稱為”大獵物搜尋”（big game hunting） 的活動。 惡意程式操盤手的網站會公示攻擊統計數據。 使用這些數據，我們編製出了最活躍的網路犯罪團夥的排名。

Maze （迷宮，又名勒索病毒 ChaCha）

首次現身於2019年的勒索病毒 Maze （迷宮），迅速升至惡意程式類別榜首。 在所有受害案例中，該勒索病毒的攻擊佔到三分之一以上。 Maze 背後的駭客組織是最先開始在加密前竊取數據的組織之一。 如果受害方拒絕支付贖金，網路罪犯就會威脅要洩露遭竊的檔。 該項技術被證實有效，不久後就被許多其他勒索病毒效仿，包括 REvil 和 DoppelPaymer，下文將會提到。

還有另一種新手段，網路罪犯開始將自己的攻擊行為向媒體通告。 2019年，Maze 組織向 Bleeping Computer 論壇陳述了其對 Allied Universal 公司的駭客攻擊，還附上部分被盜文件作為證據。 在與網站編輯進行郵件對話時，該組織威脅要從 Allied Universal 的伺服器發送垃圾郵件，並隨後在 Bleeping Computer 論壇上發布了遭黑公司的機密數據。

 

Maze 的襲擊一直持續到2020年9月該組織準備結束業務的時候，儘管在這之前已經有幾家國際公司慘遭黑手，包括拉丁美洲一家國有銀行以及某美國城市的資訊系統。 在每一個案例中，Maze勒索犯都向受害者提出數百萬美元的贖金。

 

Conti （又名勒索病毒 IOCP）

Conti出現於2019年，在2020年全年都非常活躍，佔了同期所有勒索病毒受害案例的13%以上。 它的創造者現在依然活躍。

關於 Conti 攻擊有一個有趣的細節，網路罪犯假意向目標企業提供安全方面的幫助，誘其付款，他們會說： 「您將獲得一些說明，關於如何消除安全漏洞，以及如何避免此類問題再次發生。 我們向您推薦最讓駭客們頭疼的特殊軟體。 ”
與 Maze 相同，該勒索病毒不僅會加密，還會將檔副本從遭入侵的系統發送到勒索病毒背後的黑手中。 如果受害者不按他們的要求做，他們就威脅要把竊取的資訊發佈到網上。 在 Conti 某次高調攻擊中，他們對美國一所學校提出了 4000 萬美元的贖金要求（政府表示已準備好支付 50 萬美元，但不接受那 40 倍贖金的談判）。

REvil （又名 Sodin）

勒索病毒 REvil 的初次攻擊，是於2019年初在亞洲檢測到的。 該惡意程式的技術水準迅速吸引了專家們的注意。 它能使用合法的CPU功能以繞開安全系統。 除此之外，其代碼中包含的特徵表示它是一個準備開放租賃的勒索病毒。

 

在所有統計中，REvil 的受害者佔到了11%。 該惡意軟體影響了近20個商業部門。 受害者佔比最大的是工程和製造 （30%），其次是金融 （14%）、專業和消費者服務 （9%）、法律 （7%） ，以及IT與電信 （7%）。 后一類是2019年最受關注的勒索病毒攻擊之一，當時網路罪犯攻擊了多個 MSP 服務商，並對其客戶散佈了 Sodinokibi。

該組織目前保持著史上最多贖金的記錄，2021年3月他們曾對宏碁提出5000萬美元贖金。

 

 

Netwalker （又名勒索病毒 Mailto）

在所有受害案例中，Netwalker 的攻擊佔10%以上。 其目標包括物流巨頭、工業集團、能源公司及其他大型組織。 在2020年短短幾個月時間里，這些網路罪犯就入賬超過2500萬美元。

Netwalker 的創造者似乎打算把該軟體向社會廣泛散佈。 他們提出將 Netwalker 出租給其他個人或組織，並從他們的攻擊中得到分紅。 根據 Bleeping Computer 論壇的說法，惡意程式分銷商索取的分紅能達到贖金的 70%，儘管多數類似方案通常要不了這麼高的分紅。

 

作為佐證，網路罪犯還發佈了大筆匯款的屏幕截圖。 為盡可能簡化租賃過程，他們建了一個網站，在勒索期限截止后自動公佈被盜數據。

2021年1月，員警查封了 Netwalker 團夥的暗網資源，並指控加拿大公民 Sebastien Vachon-Desjardins 在勒索活動中獲利超過2760萬美元。 Vachon-Desjardins 負責搜索獵物，攻破系統並部署 Netwalker 勒索病毒。 執法行動有效地將 Netwalker 一舉殲滅。

 

勒索病毒 DoppelPaymer

我們要講的最後一個禍首是勒索病毒 DoppelPaymer，其受害者約佔全部統計數據的9%。 其創建者還在其他惡意軟體中留下了印記，包括 Dridex banking Trojan 和現已失效的勒索病毒 BitPaymer （又名FriedEx），後者被認為是DopplePaymer的早期版本。 因此該軟體的受害者總數實際上要高得多。 受到 DoppelPaymer 攻擊的商業組織包括電子和汽車製造商，以及南美一家大型石油公司。 DoppelPaymer 經常針對全球的政府組織，包括醫療保健、緊急服務和教育組織。 該組織還發佈了從喬治亞州霍爾縣竊取的選民資訊，並從美國賓夕法尼亞州特拉華縣獲得了50萬美元的收入，一度佔據新聞頭條。 DoppelPaymer 的攻擊至今也沒有停歇。 今年2月，一家歐洲研究機構宣佈遭到駭客攻擊。

 

對目標的攻擊方法

對大企業的每一次有針對性的攻擊，都要先在基礎架構中發現漏洞，設計出方案，再選擇工具，是很漫長的過程。 隨後便開始滲透，讓惡意程式在企業的整個基礎設施中傳播。 在加密檔併發佈勒索之前，網路罪犯有時需要在企業網路中潛伏數月。

 

進入基礎設施的主要途徑是：

• 較低的遠端訪問連接安全性。 易受攻擊的 RDP （遠端桌面協定） 連接是惡意程式的常用手段，部分地下交易提供利用 RDP 攻擊的服務。 在全球越來越多的人開始遠端工作之後，此類攻擊的數量猛增。 這正是 Ryuk，REvil 和一些其他勒索病毒的操作;

 

• 伺服器應用程式漏洞。 通過對伺服器端軟體實施攻擊，網路罪犯得以訪問最敏感的數據。 最近一個例子出現在3月，當時勒索病毒 DearCry 通過微軟 Exchange 中的零日漏洞進行了攻擊。 缺少保護的伺服器端軟體容易成為攻擊目標的突破口。 去年我們觀察到了一些案例，VPN 伺服器也出現了安全問題;

• 基於殭屍網路的傳播。 為了誘騙更多受害者，獲取更大利潤，勒索病毒運營方還會使用殭屍網路。 殭屍網路運營方為其他網路罪犯提供了訪問數千個受感染設備的許可權，以自動查找易受攻擊的系統並使其感染勒索病毒。 例如，這正是 Conti 和勒索病毒 DoppelPaymer 的傳播方式;
• 供應鏈攻擊。 REvil 活動最好地反映了這種威脅趨勢。 該組織攻擊了 MSP 服務商，隨後向其客戶的網路分發勒索病毒;
• 惡意附件。 一種依然流行的傳播惡意程式的方式，就是在電子郵件中附加包含惡意宏的word文檔。 我們列出的前五大勒索病毒組織之一 NetWalker，就使用惡意附件誘騙受害者。 該病毒的操縱者發送了大量以「新冠病毒」為郵件主題的釣魚郵件。

 

企業如何做好保護

• 對員工進行數據安全培訓。 員工應該瞭解網路釣魚的概念，永遠不要點擊可疑郵件中的連結、不要從可疑網站下載檔，還要瞭解該如何創建、管理強密碼，並做好保護。 定期進行資訊安全培訓，不僅能最大程度地減少安全風險，還能在攻擊者攻破網路的情況下減輕損害;
• 定期更新所有操作系統和應用程式，以確保能最大程度地規避已知軟體漏洞攻擊。 注意要同時更新客戶端及伺服器端的軟體。
• 執行安全審查，檢查設備安全性，並跟蹤開放的、可從 Internet 訪問的埠。 在遠端工作時使用安全連接，但要注意，即使在使用 VPN 時也可能受到攻擊;
• 為公司數據創建備份。 擁有備份不僅有助於減少停機時間，在遭受勒索病毒攻擊時更快地恢復業務流程，還能應對諸如硬碟故障之類的小事故;
• 使用採用行為分析和反勒索技術的專業安全解決方案;
• 部署資訊安全系統以識別網路基礎設施中的異常，例如嘗試探測埠的行為，或是訪問非標準系統的請求。 如果您的企業中沒有聘用專門監視網路的專家，請從外界招納專家。