勒索軟件新常態(tài)
責(zé)編:gltian |2019-03-25 14:19:10不要讓過(guò)去一年中勒索軟件攻擊數(shù)量的整體下降欺瞞了你的雙眼:對(duì)大型企業(yè)和組織機(jī)構(gòu)發(fā)起的“少而精”的攻擊是數(shù)據(jù)劫持的新行為模式。
趨勢(shì)科技的數(shù)據(jù)顯示,去年勒索軟件攻擊的數(shù)量下降了91%;但同時(shí),約75%的公司企業(yè)儲(chǔ)備了加密貨幣。據(jù)Code42的調(diào)查研究,其中大多數(shù)都向攻擊者支付了贖金。總體上,去年超過(guò)80%的勒索軟件感染都是針對(duì)企業(yè)的,因?yàn)榫W(wǎng)絡(luò)犯罪團(tuán)伙開(kāi)始將目光放到大型企業(yè)身上——那些比隨機(jī)受害者或消費(fèi)者更有能力支付大額贖金的企業(yè)。
近幾個(gè)月爆發(fā)的GandCrab 勒索軟件的進(jìn)化發(fā)展,表明此類更有選擇性的攻擊能為使用它們的網(wǎng)絡(luò)罪犯帶來(lái)更多利益——勒索軟件威脅還遠(yuǎn)未結(jié)束。
安全公司CrowdStrike情報(bào)副總裁 Adam Meyers 稱:
勒索軟件仍將持續(xù)。幾年前我們面對(duì)的是DDoS敲詐,當(dāng)沒(méi)人再會(huì)支付贖金時(shí),此類攻擊消散了。但他們轉(zhuǎn)向了勒索軟件攻擊,并且賺得盆滿缽滿。
CrowdStrike最近將GandCrab網(wǎng)絡(luò)犯罪組織(該公司將之命名為“Pinchy Spider”)加入了其四大最新網(wǎng)絡(luò)犯罪組織監(jiān)視名單,名單上的四個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙玩得都很大,贖金動(dòng)輒幾十上百萬(wàn)美元。另外三個(gè)勒索大型目標(biāo)的網(wǎng)絡(luò)犯罪團(tuán)伙分別是:SamSam背后的 Boss Spider;BitPaymer背后的 Indrik Spider;以及部署Ryuk的 Grim Spider。
他們的針對(duì)性入侵手法特別像來(lái)自伊朗、俄羅斯等國(guó)的攻擊。他們?cè)谄髽I(yè)網(wǎng)絡(luò)內(nèi)大肆部署勒索軟件,部署深度和廣度遠(yuǎn)超以往,索要贖金數(shù)額特別巨大。這是勒索軟件部署方式的進(jìn)化,表明網(wǎng)絡(luò)罪犯已經(jīng)意識(shí)到以破壞性方式對(duì)大企業(yè)下手能賺得更多。
Pinchy Spider 以其GandCrab 勒索軟件即服務(wù)(RaaS)模式聞名。該模式中,勒索軟件作者與其網(wǎng)絡(luò)罪犯客戶建立合作伙伴關(guān)系,抽取60%-70%的勒索所得。
Gandcrab的創(chuàng)建者將其RaaS許可稱為 “Dashboard Essential”。老牌安全供應(yīng)商Sophos最近的研究顯示,這種模式下勒索軟件黑客新手在2個(gè)月的使用期內(nèi)只需支付100美元便可感染200個(gè)受害者。
Sophos首席研究科學(xué)家 Chester Wisniewski 稱,Gandcrab攻擊者索要贖金在30萬(wàn)到40萬(wàn)美元之間。該勒索軟件作者也提供源代碼許可,售價(jià)1,200美元。該許可允許買家對(duì)勒索軟件稍作調(diào)整以便躲過(guò)反惡意軟件程序的檢測(cè)。買家甚至可以用自己的標(biāo)志替換掉Gandcrab的標(biāo)志,這是該勒索軟件的打包選項(xiàng)之一。
勒索軟件罪犯在Shodan搜索引擎的幫助下,從機(jī)會(huì)性攻擊轉(zhuǎn)向了更具針對(duì)性的攻擊。他們通常先搜索遠(yuǎn)程桌面協(xié)議(RDP)開(kāi)放的端口,然后在顯示可利用商業(yè)信息的IP段搜索RDP開(kāi)放主機(jī)。被選中的受害者就已經(jīng)具有針對(duì)性了,他們需要隸屬于某家公司的。
只要在初始受害者處建立了據(jù)點(diǎn),他們便利用標(biāo)準(zhǔn)滲透測(cè)試工具四處探測(cè)。Windows遠(yuǎn)程訪問(wèn)工具PsExec和Mimikatz之類工具被用來(lái)從內(nèi)存中抽取口令。攻擊者在進(jìn)入系統(tǒng)后還會(huì)分析受害者,找出他們備份數(shù)據(jù)的方式,然后禁用備份功能并刪除已備份數(shù)據(jù)。
2月中旬的一次GandCrab攻擊尤為持久:感染目標(biāo)網(wǎng)絡(luò)的首次嘗試失敗后,攻擊者用合法工具 Sysinternals Process Monitor、Process Hacker 和 LAN Search 再次偵察了受害者的網(wǎng)絡(luò)。攻擊的第三天,攻擊者手動(dòng)卸載了阻礙Gandcrab安裝的安全軟件;用偷來(lái)的RDP憑證將Gandcrab擴(kuò)散到了受害網(wǎng)絡(luò)的其他主機(jī)上。
偃旗息鼓的SamSam
同時(shí),又名 Boss Spider 的著名勒索軟件犯罪團(tuán)伙SamSam,在美國(guó)司法部就去年亞特蘭大市勒索軟件攻擊事件起訴其兩名伊朗籍成員 Faramarz Shahi Savandi 和 Mohammed Mehdi Shah Mansouri 后,相對(duì)消停了下來(lái)。
那次攻擊鎖定了約3,800臺(tái)工作站和服務(wù)器,令亞特蘭大市政府停轉(zhuǎn),造成數(shù)百萬(wàn)美元損失,因?yàn)樵撌姓疀](méi)有向攻擊者支付價(jià)值約5.1萬(wàn)美元的加密貨幣贖金。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!