產業化:勒索軟件集體發力RaaS
責編:gltian |2020-11-24 14:44:01近半年來,RaaS(勒索軟件即服務)正在成為勒索軟件的一個熱門趨勢。大量勒索軟件團伙正在積極拓展RaaS業務,尋找“加盟機構”,分工協作并分享勒索軟件攻擊獲得的利潤。
很多人認為RaaS就是一種勒索軟件租賃服務,攻擊實施者會付費使用RaaS團伙提供的惡意軟件。事實上,租賃服務只是RaaS的冰山一角,而且以這種方式出租或出售的通常都是質量最差的勒索軟件。
比較著名的勒索軟件團伙通常會采用私人會員計劃,外圍攻擊者可以在會員論壇中提交簡歷以申請會員資格。
對于被接納的會員,每次成功的勒索軟件攻擊后,可以分得贖金的70%-80%, 勒索軟件開發人員則可獲得20%至30%的傭金。(編者:類似REvil這樣的“大牌”勒索軟件團伙甚至會在會員論壇的加密貨幣錢包地址中打入高達上百萬美元的“保證金”。)
REvil的私人會員計劃條款
為了對受害者的系統進行加密,會員組織會雇傭黑客提供服務,這些黑客可以訪問目標網絡、獲得域管理員特權、收集并竊取文件,然后將獲得訪問所需的所有信息傳遞給會員組織并對其進行加密。
每次攻擊后,贖金利潤通常會平均分配給RaaS小組,入侵網絡的黑客和勒索軟件會員。
勒索軟件RaaS的三大集團
目前,有超過二十個活躍的RaaS團伙幫派正在積極尋求將勒索攻擊外包給勒索軟件“加盟”公司。
正如威脅情報公司Intel 471在近日發布的一份報告中所言,“一些知名的勒索軟件團伙結成了緊密而秘密的犯罪圈子,通過直接和私密的通訊方式聯系,外人難以覺察。”
根據過去一年中對勒索軟件團伙的監測,Intel 471按照知名度和活躍時間長度,將勒索軟件團伙分為三大集團(層級):
- 已經成為勒索軟件代名詞的主流團伙;
- 老樹開新花,復活的變體;
- 具備“篡位”潛力的全新變體。
第一集團的勒索軟件團伙都是在過去幾年中成功獲得數億勒索贖金的組織。
他們中的絕大多數還使用了除加密數據外的其他勒索方法,例如從受害者的網絡中竊取敏感信息,并威脅要泄漏這些信息。(編者:甚至有安全專家指出,企業刪除泄露數據繳納的勒索贖金有可能超過解密數據的贖金,成為勒索軟件團伙的主要收入。)
第一集團的RaaS團伙包括:
- DopplePaymer(用于攻擊Pemex、BretagneTélécom、紐卡斯爾大學、杜塞爾多夫大學)、Egregor(Crytek、Ubisoft、Barnes&Noble);
- Netwalker/Mailto(Equinix、UCSF、密歇根州立大學、收費小組);
- REvil/Sodinokibi(Travelex、紐約機場、德克薩斯州地方政府)。
Ryuk在排名中名列前茅,在去年,大約有三分之一的勒索軟件攻擊中檢測到了其有效載荷。
Ryuk還因使用Trickbot、Emotet和BazarLoader感染媒介將其有效載荷作為多階段攻擊的一部分而聞名,可以輕松地進入目標網絡。
此外,Ryuk的分支機構還長期對美國醫療保健系統發起大規模攻擊,并要求巨額贖金支付,今年初已從一名受害者那里收割了3400萬美元贖金。
第二集團(復活組)的RaaS組織在2020年逐漸發展為數量更多的會員制連鎖組織,并參與了多起攻擊。
屬于第二集團的勒索軟件包括:SunCrypt、Conti、Clop、Ragnar Locker、Pysa/Mespinoza、Avaddon、DarkSide(可能是來自REvil的一個分支)等等。
正如第一集團的勒索軟件團伙一樣,他們也將數據泄露勒索用作輔助勒索方法。
第三集團(新興組)的RaaS團伙向會員分發全新開發的勒索軟件,但是根據Intel 471的說法,“目前安全業界對于此類勒索軟件的成功攻擊、攻擊數量、斬獲贖金金額以及緩解成本知之甚少。”
第三集團勒索軟件團伙包括Nemty、Wally、XINOF、Zeoticus、CVartek.u45、Muchlove、Rush、Lolkek、Gothmog和Exorcist。
其他活躍的RaaS團體
除了英特爾471關注的勒索軟件團伙外,還有很多其他新興的RaaS團隊。
例如,Dharma是一款資深RaaS,自2017年以來就一直存在,不少業界人士認為它是Crysis的勒索軟件的分支,后者于2016年開始運行。
Dharma不使用數據泄漏站點,也沒有關于數據被盜的廣泛報道。他們的會員收取的贖金從數千美元到數十萬美元不等。
于2019年9月出現的LockBit是另一個備受矚目的RaaS業務,針對私營企業,后來又被Microsoft觀察到攻擊醫療和關鍵服務。
值得注意的是,LockBit團伙與Maze聯手創建了一個勒索卡特爾組織,在攻擊過程中共享數據泄漏平臺并交換戰術和情報,大大提高了攻擊效率。LockBit勒索軟件參與者在獲得對受害者網絡的訪問權限后,只需花費五分鐘即可部署有效負載。
其他Intel 471報告中沒有提及的勒索軟件還包括:Ragnarok、CryLock、ProLock、Nefilim和Mount Locker,這些都是活躍的勒索軟件,參與過近期的一些攻擊。
上一篇:曼聯足球俱樂部被黑客“破門”
下一篇:巴爾干化升級:全球互聯網審查現狀