自2023 年以来,勒索软件经过沉寂后再次“卷土重来”,全球范围内勒索软件的受害者规模大幅增长。《2024 年全球威胁情报报告》的数据显示,研究人员收集到的勒索软件受害者人数超过 5000 人,比 2022 年的约 3000 人增长了 67%。
鉴于很多潜在的勒索软件受害者不愿意或因其他原因不能公开勒索软件事件,实际受害者数量可能更高,甚至成倍数增长。
此外,勒索软件受害者的行业分布也呈现出明显分层,关键基础设施信息、交通、政府部门、医疗、服务行业等关乎社会稳定发展的支柱行业成为了勒索软件攻击的主要攻击目标。其中,制造业在 2023 年成为勒索软件运营商首选攻击目标,占比达 28%,医疗、教育、政府机构等部门占据了近乎 50 %的勒索软件攻击。
图源:光明网
勒索软件之所以再次死灰复燃,主要原因是是勒索软件背后的高额“利润”刺激了更多网络威胁分子投身其中。再加上,无数的勒索软件”前行者“不断创新,衍生出了类似 RaaS 勒索软件及服务+DDoS 攻击的三重全方位、高效率、低成本、破坏力大的勒索模式,逐步构建起了完善的勒索软件攻击生态链,降低了入行的”门槛“,为勒索软件“重生”提供了充足的养分。
因此,很多试图在网络世界发一笔横财的”年轻人“不断涌入勒索软件行业。微步在线发布的《2023 年威胁情报及 APT 活动分析报告》显示,据不完全统计全球勒索软件数量已达 1940 个,其中 2023 年新增了 43 个勒索团伙。
HVV 网在即,本文梳理了近期活跃度高、名气响亮的八个勒索软件组织,简要分析了这些勒索软件惯用的技术手段,攻击流程、成长背景,旨在为网络安全从业者构筑自身安全防御体系提供参考。
Akira 勒索软件
2023 年 3 月,一个名不见经传的勒索软件组织 Akira 突然在网安圈”火起来“,FBI 更是直接将其列为了高危勒索软件组织之列。据悉,该组织主要影响北美、欧洲和澳大利亚等地区的企业和关键基础设施实体。截至 2024 年 1 月 底,Akira 勒索软件组织已成功侵入约 250 多个企业,坊间传闻其非法收益约为 4200 万美元。
通过观察,研究人员发现,Akira 勒索软件变体早期版本采用 C++ 和加密文件编写,并且包含了 .akira。2023 年 4 月,Akira 勒索软件组织迎来了第一次大规模升级,从专注于攻击 Windows 系统,延申到针对 VMware ESXi 虚拟机的 Linux 变体。2023 年 8 月开始,研究人员又在一些 Akira 勒索软件攻击活动中发现,该勒索软件开始部署 Megazord(使用基于 Rust 的代码,该代码使用 .powerranges 外延)。
FBI 和网络安全研究人员在多起攻击事件中都观察到 Akira 勒索软件通过虚拟专用网络 (VPN) 服务、或利用已知的思科安全漏洞 CVE-2020-3259 和 CVE-2023-20269 ,获得对目标受害者系统的初始访问权限。整个过程中,不需要配置多因素身份验证 (MFA)(威胁攻击者获得初始”访问"的其他方法还包括使用面向外部的服务,例如远程桌面协议,鱼叉式网络钓鱼 ,以及滥用有效凭据)。
一旦获得初始访问权限,Akira 勒索软件就会尝试通过创建新的域帐户,以此滥用域控制器的功能建立持久性。随后,Akira 威胁攻击者利用 Kerberoasting 等攻击手段,非法提取存储在本地系统服务进程内存中的凭据资料。
Akira 勒索软件还使用 Mimikatz 、LaZagne 等凭据抓取工具,帮助其获得超级权限。研究人员观察到 Akira 在同一入侵事件中,针对不同系统架构部署了两种不同的勒索软件变体,一种是针对 Windows 的“Megazord”勒索软件,第二个有效载荷是针对 Akira ESXi 加密器“Akira_v2”的新变种。
Akira 勒索软件在横向移动时,通常会禁用受害者系统中的安全软件,躲避安全检测。网络安全研究人员观察到 Akira 勒索软件利用 Zemana AntiMalware 驱动程序,终止防病毒相关进程 。为了建立命令和控制渠道,威胁攻击者利用 AnyDesk、MobaXterm、RustDesk、Ngrok 和 Cloudflare Tunnel 等现成的工具,通过文件传输协议 (FTP)、安全文件传输协议 (SFTP) 等各种协议和 Mega 连接到外泄服务器。
Clop 勒索软件
2019 年 2 月,一个自称专门针对全球范围内大型企业、国有机构、政府机构的 CryptoMix 勒索软件变种——Clop 勒索软件进入执法部门视线中。研究人员从该组织发起的攻击活动中分析发现,成功入侵受害目标后,会使用 Clop 相关后缀加密文件。
一年后,Clop 勒索软件团伙迎来了一次大的升级迭代,首次在暗网上启用了一个泄露站点,专门用于发布受害者信息,以便实施双重勒索攻击。
真正让 Clop 勒索软件”声名鹊起“的事件发生 2020 年,当时该组织成功入侵全球最大软件公司之一的 Software AG,并加密了大量敏感信息。此后,便要求其支付超过 2000 万美金,最后由于没有收到勒索赎金,Clop 团伙气急败坏的在暗网公布了 Software AG 公司数据截图。
Software AG 勒索软件事件告一段落后,Clop 勒索软件相继又针对几家著名的跨国企业发起了勒索行动,逐步奠定了在勒索软件行业的地位。
研究人员通过不断对 Clop 勒索软件受害者系统和赎金谈判案例详细分析,判定其背后运营者采用了双重勒索的模式。从攻击手段来看,Clop 勒索软件团伙前期主要通过有效访问凭证和漏洞武器化等方式,突破攻击目标的网络防御系统。公开资料显示, Clop 勒索软件团伙曾利用了 Accellio 公司文件传输设备(FTA),SolarWinds 公司Serv-U托管文件传输(MFT),Fortra 公司 GoAnywhere MFT 和 Progress 公司 MOVEit MFT 等产品的相关漏洞,实现对潜在攻击目标系统的初始访问。
一旦击穿攻击目标的网络防御系统后,Clop 勒索软件会立刻在受害者系统中部署横向渗透和远程控制等”辅助性“工具,以便对受害者内部网络系统进行横向渗透,感染其它内部系统,以达到最大化程度破坏系统。
完成一系列内部文件加密后,Clop 勒索软件团伙就开始套路受害者,索要巨额赎金了。
Clop 勒索软件在进入受害者系统后会立刻加密所有能获得权限的文件资料,并且使用经过验证和数字签名的可执行文件来,使其看起来像一个合法的文件,以逃避安全工具检测。如果受害者想要换文件解密密钥,就必须支付赎金。接到赎金勒索通知后,一些网络安全能力不强的受害者企业往往就缴械投降,乖乖支付赎金了。
随着各组织安全防御技术飞速发展,一些重要数据都设置了容灾备份,并且部署了很多的安全防御设备。此时,勒索软件再通过加密重要文件,勒索受害者已然很难收到赎金。网络安全研究人员很快就发现 Clop 勒索软件升级了勒索策略,不仅会加密受害者的部分重要文件,还试图关闭一些与容灾备份和安全工具相关的进程和服务,以阻止受害者恢复数据或检测网络攻击,并且盗取大量重要数据资料。
后续赎金谈判过程中,如果受害者拒绝支付赎金,面临的可能不仅仅是内部网络系统瘫痪,更甚者大量机密信息被 Clop 勒索软件团伙上传到其数据泄露站点上,“待价而沽”,供其它勒索软件团伙购买使用。
Black Basta 勒索软件
2022 年初,安全研究人员捕获到一种新型勒索软件 Black Basta,对其详细分析后发现,该组织的运营模式与其他勒索软件极为相似,也是一家勒索软件运营商和勒索软件即服务(RaaS)犯罪组织,主要通过勒攻击政府部门、大型跨国企业获得高额赎金。
Black Basta 勒索软件”出道“后,以美国、日本、加拿大、英国、澳大利亚和新西兰等国的实体组织为攻击目标,开展了上百起大型网络攻击活动,短短几个月时间就成功侵入了 19 家知名组织的内部系统,一跃成为全球最活跃的 RaaS 威胁组织之一。截至 2024 年 5 月,Black Basta 勒索软件组织及其附属机构已影响了全球 500 多家组织。
值得一提的是,很多网安行业内人士认为 Black Basta 的核心成员可能是从已解散的 Conti 勒索软件组织“跳槽”出来的,因为这两个组织在恶意软件开发、泄漏网站以及谈判、付款和数据恢复的通信方式上有很大的相似之处。不仅如此,Black Basta 勒索软件团伙可能还与 FIN7(又名 Carbanak)威胁攻击者有联系。
Black Basta 勒索软件通过鱼叉式网络钓鱼获取初始访问权限(网络安全研究人员表示,该组织在初始访问时也使用了 Qakbot) 2024 年 2 月后,Black Basta 附属机构开始利用 ConnectWise 漏洞 CVE-2024-1709。其次,进入受害者内部系统后,Black Basta 勒索软件使用 BITSAdmin、PsExec 以及远程桌面协议 (RDP) 进行横向移动(附属机构使用 Splashtop、Screen Connect 和 Cobalt Strike beacon 等工具协助远程访问和横向移动)。不仅如此,为了获得更高的权限,Black Basta 勒索软件还会使用 Mimikatz 等凭证刮擦工具,以及 CVE-2020-1472,CVE-2021-42278 、 CVE-2021-42287 、CVE-2021-34527 等安全漏洞,进行本地和 Windows 活动域权限升级。
获得所有权限后,Black Basta 勒索软件组织利用 RClone 在加密前促进数据外渗。值得一提的是,网络安全研究人员观察,在数据外渗之前,Black Basta 关联人员使用 PowerShell ,一旦防病毒程序被终止,带有 RSA-4096 公钥的 ChaCha20 算法会对文件进行完全加密 。文件名中会添加.basta 或其他随机文件扩展名中,并在被入侵系统中留下名为 readme.txt 的赎金说明(给受害者 10 到 12 天的时间支付赎金,然后勒索软件组织才会在 Black Basta TOR 网站上发布被盗数据。 )。为进一步阻止受害者系统恢复,该组织成员还使用 vssadmin.exe 程序删除所有入侵痕迹。
Play 勒索软件
2022 年 6 月,Play(又称 Playcrypt)勒索软件因对北美、南美和欧洲等地区众多企业和关键基础设施构成重大安全威胁,屡屡被美国执法机构提及。一年后,为获得巨大“声望”,Play 勒索软件组织将触角伸向了亚太地区。2023 年 4 月,澳大利亚某地区首次发现 Play 勒索软件活动的踪迹。
截至 2023 年 10 月,美国联邦调查局发现约有 300 家组织受到 Play 勒索软件组织的攻击。
Play 勒索软件组织数据泄露网站上的一份声明指出,该组织是一个”封闭“的网络犯罪团伙,主要采用双重勒索模式,在窃取数据后对系统进行加密。赎金说明不包括初始赎金要求或支付说明,而是指示受害者通过电子邮件与威胁攻击者联系,最大程度上保证交易的“保密性”。
Play 勒索软件组织通过滥用有效账户、面向公众的应用程序以及 CVE-2018-13379、CVE-2020-12812、CVE-2022-41040、CVE-2022-41082 等安全漏洞,使其轻松能够发起大规模网络攻击活动。另外,据研究人员观察,Play 勒索软件背后运营商使用远程桌面协议(RDP)和虚拟专用网络(VPN)等面向外部工具,进行非法初始访问,通过使用活动目录查询和信息窃取工具 Grixba 等”攻击武器“,枚举网络信息和扫描防病毒软件。
Play 勒索软件组织还惯用 GMER、IOBit 和 PowerTool 等工具,以期禁用受害者系统上的反病毒软件和删除日志文件。在一些特定攻击案例中,网络安全研究人员多次观察到 Play 勒索软件使用了 PowerShell 脚本,并以此攻击 Microsoft Defender。进入受害者内部系统后,Play 勒索软件组织通过 Cobalt Strike、SystemBC 以及 PsExec 等工具,协助其进行横向移动,并执行任意文件。一旦建立起稳定的”入侵“通道,勒索软件攻击者就会搜索不安全的凭据,并使用 Mimikatz 凭据转换器获取域管理员访问权限。
盗取数据的过程中,Play 勒索软件同样”别出心裁“,组织成员会将被盗数据分割成段,并使用 WinRAR 等工具将文件压缩成 .RAR 格式,以便能够快速外泄。之后,再使用 WinSCP 将被盗数据从受控网络传输到其控制的账户上。成功盗取数据后,Play 勒索软件使用 AES-RSA 混合加密技术对文件进行加密,并采用间歇加密(每隔 0x100000 字节的文件部分加密一次,加密过程中系统文件会被跳过)文件名中会添加 .play 扩展名,文件目录 C: 中放置了名为 ReadMe[.]txt 的赎金说明。
Lockbit 勒索软件
2019 年 9 月,LockBit 勒索软件第一次走进大众视野,因其使用.abcd 的后缀名来标记加密的受害者文件,被业内惯称为“ABCD”勒索软件。早期版本中,LockBit 1.0 非常不成熟,作案过程中加密软件不仅使用固定的互斥锁,甚至会残留一些易被杀软、沙箱等安全软件识别和拦截的 debug 的函数。
随着组织规模不断发展,LockBit1.0 开始采用 RaaS(Ransomware-as-a-service,勒索软件及服务)模式运营,并在一个著名的俄语论坛 XSS 上为其合作计划进行广告推广。八个月后,LockBit 1.0 勒索软件运营商又升级了勒索策略,创建了一个用于公开受害者数据的站点,配合文件加密,试图进一步施压受害者,以期达成“双重勒索”的目的。
经过几次升级后,相较于其它勒索软件,LockBit 1.0 作案手段更为高超。在针对 Windows 系统时,加密过程采用 RSA+AES算法加密文件,使用 IOC P 完成端口+AES-NI 指令集提升工作效率,从而实现高性能加密流程,一旦成功加密文件后,受害者文件会被添加无法破解的.abcd 扩展后缀。不幸的是,LockBit 勒索软件组织很快就引来了执法机构的注意、遭到了一波冲击。2021 年 6 月,经过短暂蛰伏,LockBit 勒索组织在其泄密网站上宣布高调回归,并带来全新版本——LockBit 2.0,新版本提供了 Tor 网络中的管理面板、自动进行解密测试服务、强大的扫描器功能等更加丰富的配套服务。
从后续披露的受害者案例来看,LockBit 2.0 勒索软件延续了前一版本攻击手法,其加密方式仍然采用常见的 RSA+AES 组合,加密后文件扩展名均为.lockbit ,但加密速度变得更快。经过前两个版本的迭代,LockBit 勒索组织已经策划了好几期非常具有代表性的勒索攻击事件,在品尝到了勒索攻击的红利,更加坚定继续迭代升级的决心。
2022 年 6 月发布的 LockBit 3.0 版本中,改进了 RaaS 操作,并且引入了勒索软件漏洞赏金计划,邀请安全研究人员提交漏洞报告,以换取1000美元至100万美元的奖金,这是第一次有勒索软件组织如此高调的悬赏如此高的奖金。后续几年,LockBit 不断北执法机构打压,又不断的重生,目前已经是黑客世界的“领军团伙”,拥有很强的攻击实力,令无数安全从业者头疼。
Medusa 勒索软件
2021 年 6 月,Medusa 勒索软件团伙首次出现 ,起初攻击活动相对较少,但在从 2023 年1月中旬起该团伙开始加大了攻击力度,同时推出了托管在 Tor 网络上的“Medusa Blog”,该博客主要用于展示拒绝支付赎金的受害者。
Medusa 勒索软件团伙是一个由经济利益驱使的犯罪组织,威胁攻击者要求受害者支付赎金,以此换取删除所有数据,同时他们也接受感兴趣的买家付款获得数据,采用了勒索软件即服务 (RaaS) 业务模型。
Medusa 勒索软件通过易受攻击的远程桌面协议 (RDP) 配置非法”访问“受害者的设备,还经常使用电子邮件钓鱼和垃圾邮件活动,直接将勒索软件附加到电子邮件中,作为初始入侵载体。据悉,Medusa 勒索软件使用了批处理文件执行 PowerShell 脚本 invoke-ReflectivePEInjection。该脚本通过编辑受感染机器注册表中的 EnableLinkedConnections 值,在整个网络中传播 Medusa。然后。允许受感染机器通过互联网控制消息协议 (ICMP) 检测连接的主机和网络,并通过服务器消息块 (SMB) 协议检测共享存储。
此后,Medusa 勒索软件组织通过各种技术手段避免被受害目标系统中的安全软件检测到,并利用可执行文件 svhost.exe 或 svhostt.exe,复制到 %APPDATA%\Roaming 目录,安排任务每 15 分钟运行一次勒索软件,从而建立持久性吗。
值得一提的是,从以往案例分析来看,Medusa 勒索软件组织在成功进入受害者系统内部后,曾多次试图通过删除本地备份、禁用启动恢复选项和删除阴影副本来阻止标准恢复技术。Medusa 勒索软件”离开“受害者系统时会在加密数据文件夹中放入一张赎金条,概述了如何与 Medusa 攻击者通信(提供一个或多个电子邮件地址),受害者可以通过这些地址联系到 Medusa 勒索软件组织。
BlackCat 勒索软件
2021 年 11 月,BlackCat 勒索软件(又名 AlphaVM、AlphaV 或 ALPHV)首次被 Malwarehuntertam 研究人员发现并披露。后续经过研究发现该组织是第一个基于RUST 语言编写的专业勒索软件家族系列,因其具有定制化程度高、个性化强、隐蔽性出色等攻击特点,迅速在勒索软件世界站稳脚跟。
2021 年 11 月 30 日起,BlackCat 勒索软件背后运营商开始在 Tor 网站专用数据泄露站点(DLS)陆续发布受害者信息和窃取到的数据。截止到 2024 年 4 月,已经有超过 500 名受害者信息,鉴于很多受害者”花钱保平安“,因此实际的受害者数量远超过这个数字。
BlackCat 勒索软件组织主要采用三重勒索模式,不仅会加密数据、感染网络和系统,还会通过其他的工具进行窃取敏感数据,然后使用被盗数据勒索受害者支付要求的赎金,还会在他们的泄密网站上列出了部分受害者。如果受害者不支付赎金,BlackCat 勒索软件组织就会在其数据泄露站点上泄露被盗数据。
威胁攻击者首先会识别系统中最薄弱的环节并通过漏洞闯入,一旦成功进入,他们就会获取其最敏感的数据,并在系统中对其进行解密,随即继续更改系统 Active Directory 中的用户帐户。成功入侵 Active Directory 后,BlackCat 勒索软件可以配置有害的组策略对象 (GPO) 来处理勒索软件数据。接下来是禁用系统内的任何安全基础设施以避免障碍。看不到任何安全防御措施的情况下,威胁攻击者还会继续使用 PowerShell 脚本感染系统,继而攻击者会向受害者索要赎金。最糟糕的是,一旦受害者没有在最后期限支付赎金,BlackCat 勒索软件组织还会发起猛烈的分布式拒绝服务 (DDoS) 攻击。
据不完全统计,BlackCat 勒索软件组织的受害者包括汽车消费电子巨头 Voxx Electronics、美国法院、知名手表品牌 Seiko 等等。
Royal 勒索软件
自 2022 年 9 月,Royal 勒索软件对美国和国际组织造成了巨大危害。据不完全统计,该组织袭击了制造业、通信、医疗保健和公共医疗、教育等全球范围内约 350 个组织,获得赎金已超过 2.75 亿美元(赎金要求从大约 100 万美元到 1100 万美元的比特币不等)。
Royal 勒索软件使用了一种独特的部分加密方法,允许威胁攻击者选择文件中特定比例的数据进行加密,这种方法允许攻击者降低较大文件的加密比例,从而有助于逃避检测。除加密文件外,Royal 勒索软件还采取双重勒索策略,威胁说如果受害者不支付赎金,他们就会公开发布加密数据。Royal 特工通过以下几种方式获取受害者网络的初始访问权限:
网络钓鱼:根据第三方报告,Royal 勒索软件(在 66.7% 的事件中)通过成功的网络钓鱼电子邮件获取受害者网络的初始访问权限。根据开放源代码报告:受害者在收到包含恶意 PDF 文档的网络钓鱼电子邮件和恶意广告后,在不知情的情况下安装了可发送 Royal 勒索软件的恶意软件和恶意广告;
远程桌面协议(RDP):Royal 勒索软件用于初始访问的第二大最常见媒介(在 13.3% 的事件中)是 RDP 入侵;面向公众的应用程序:联邦调查局观察到 Royal 勒索软件通过利用面向公众的应用程序中间商。来自可信第三方来源的报告显示,Royal 勒索软件可能会利用”经纪人“从窃取者日志中获取虚拟专用网络 (VPN) 凭据,从而获得初始访问权限和源代码流量。
Royal 勒索软件一旦进入网络,就会与指挥和控制(C2)基础设施通信,以加强其在受害者网络中的立足点。研究人员观察到 Royal 勒索软件使用了 Chisel(一种通过 HTTP 传输并通过 SSH 保护的隧道工具)与他们的 C2 基础设施通信。美国联邦调查局观察到 Royal 勒索软件攻击中使用了多个 Qakbot C2,但尚未确定 Royal 勒索软件是否只使用 Qakbot C2。
Royal 勒索软件经常使用 RDP 、 微软 Sysinternals 工具 PsExec 等攻击进行横向移动,为了能够随时访问受害者系统内,Royal 勒索软件还使用 AnyDesk、LogMeIn 和 Atera 等远程监控和管理 (RMM) 软件在受害者网络中持续存在。研究人员在以往 Royal 勒索软件攻击案例中发现,该团伙在使用合法的管理员账户远程登录域控制器进入域控制器后,便立刻通过修改组策略对象,停用防病毒协议。
Royal 勒索软件通过重新利用 Cobalt Strike等合法网络渗透测试工具和 Ursnif/Gozi等恶意软件工具和衍生工具进行数据聚合和盗取。值得一提的是,Royal 勒索软件盗取数据和其他操作的第一站通常都是美国 IP 地址。