查看原文
其他

勒索病毒攻击新玩法,先盗数据再勒索

pandazhengzheng 安全分析与研究 2022-07-03

点击蓝字关注我们


2019年是勒索病毒团伙针对企业进行勒索攻击爆发的一年,全球多个国家的政府组织机构、企事业单位都成为了勒索病毒团伙攻击的目标,勒索病毒也成为了网络安全最大的网络安全威胁,新的勒索病毒不断涌现,旧的勒索病毒不断变种,2019年马上结束了,然而勒索病毒攻击却更加频繁,全球似乎每天都有勒索病毒攻击的新闻出现,最近两款勒索病毒攻击团伙,又使用了新的玩法,先利用恶意软件盗取企业数据,再使用勒索病毒加密企业数据,不交赎金就公布企业的数据,逼迫勒索病毒的受害者交赎金解密,勒索病毒团伙已经开始“打家劫舍 敲诈勒索”......


Maze勒索病毒团伙向Southwire勒索600万美元的赎金,Southwire是北美领先的电线电缆制造商之一,拥有7,500多名员工,2018年的收入为61亿美元,超过了2017年的55亿美元。这家电线制造商也在《福布斯》美国最大的私人公司名单中,如果Southwire不交赎金,Maze勒索病毒团伙会在网站上公布该公司的数据,Maze勒索病毒团伙试图利用这种方法,逼迫受害者交赎金

 

Maze勒索病毒团伙在互联网上创办了一个专用网站,并在该网站上公布了一些受害者的信息,如下所示:

最近Maze勒索病毒团伙,再次更新其受害者名单和企业相关数据文件,如下所示:

Southwire数据泄露的时间为:2019年12月9日,泄露的数据大小为:120GB

DV-GROUP数据泄露的时间为:2019年12月1日,泄露的数据大小:7GB

Fratelli Beretta数据泄露的时间为:2019年12月1日,泄露的数据大小:3GB  (以上数据均来自网络,不保证数据的准确性),受害者名单可能还会继续更新......


2020年这种新的攻击方法,会不会也被更多勒索病毒团伙效仿流行起来,先利用恶意软件盗取企业的数据,再投放勒索病毒进行加密,目前Sodinokibi勒索病毒团伙似乎对这种新的玩法表示感兴趣,此前安全研究人员在分析这款勒索病毒的时候,发现这款勒索病毒在感染勒索病毒的过程中,有盗取企业数据的可疑行为

同时最近国外安全研究人员又发布了一款新型勒索病毒攻击案例,该勒索病毒攻击会先利用Azorult窃密木马盗取企业的数据,再通过Zeppelin勒索病毒加密勒索企业,如下所示:

这款最新的勒索病毒变种,同时被国外一家安全公司发现并进行了详细分析报道,该勒索病毒利用ConnectWise Control(ScreenConnect)远程桌面应用软件进行传播,其攻击流程,如下所示:

同时安全研究人员发现此次攻击使用了Vidar窃密木马盗取受害者数据,然后再使用Zeppelin勒索病毒变种加密文件,报告链接:

https://blog.morphisec.com/connectwise-control-abused-again-to-deliver-zeppelin-ransomware

 

Zeppelin勒索病毒是一款基于Delphi语言编写的,采用RaaS(勒索即服务)模式分发的勒索病毒,最初此勒索病毒称为Vega或VegaLocker,Vega勒索病毒最早于2019年初首次被发现,Vega勒索病毒在一年的时间内,不断变种,后面又出现了它的几个不同的变种版本,例如:Jamper(Jumper)勒索病毒、Storm勒索病毒,Buran勒索病毒,都是属于Vega勒索病毒的变种版本,最新的变种Zeppelin勒索病毒具有很高的可配置性,可以部署为EXE、DLL或使用PowerShell加载器加载,使用PowerShell加载的Zeppelin勒索病毒的样本大多托管在Pastebin上(这个网站上面托管了大量的恶意软件),此勒索病毒变种版本的勒索提示信息文件!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT,内容如下所示:

Zeppelin勒索病毒是Vega勒索病毒家族中最新的一款勒索病毒,此家族之前最新的变种是Buran勒索病毒,通过多种方式进行传播,Vega勒索病毒家族的勒索提示信息文件,内容类似如下所示:

Zeppelin勒索病毒与Buran勒索病毒同属于Vega(VegaLocker)勒索病毒家族,Zepplelin勒索病毒算是Buran勒索病毒的最新变种,目前发现的几例Zeppelin勒索病毒攻击传播的过程中都使用了窃密类木马程序,盗取受害者数据,再使用Zeppelin勒索病毒加密勒索受害者

 

勒索病毒攻击变的越来越有针对性,技术也越来越成熟,使用的攻击方法和方式也在不断更新,一些技术成熟的黑客组织也加入到勒索病毒攻击的行业当中,Sodinokibi勒索病毒团伙一直在招募经验丰富的黑客加入其组织,根据网络安全公司Coveware Inc.的数据,随着攻击变得更加频繁,受害者在2019年第三季度向黑客支付的用于恢复其数据的平均费用从一年前的约6,000美元增至约41,000美元,网络安全公司Emsisoft上周表示,今年美国针对政府机构,教育机构和医疗保健提供者的勒索病毒攻击造成的损失估计至少达75亿美元,可想而知,全球因为勒索病毒的攻击而造成的损失有多大了,勒索病毒攻击已经成为全球最大的网络安全威胁

 

2019年10月9号总部设在荷兰海牙的欧洲刑警组织与国际刑警组织共同发布报告《2019互联网有组织犯罪威胁评估》,报告指出数据已成为网络犯罪分子的主要攻击目标,针对企业数据的攻击,主要方式为:盗取、破坏,此前勒索病毒攻击主要以破坏数据,勒索受害者为主,通过交赎金的方式获取暴利,Maze勒索病毒采用了以公开企业数据来逼迫受害者交赎金的方式,未来会不会被更多的勒索病毒团伙效仿Maze勒索病毒的方式,先利用恶意程序盗取企业数据,再使用勒索病毒加密文件进行勒索,然后再通过公布企业数据的方式,逼迫企业交赎金


预测勒索病毒攻击在明年可能会越来越多,而且使用的攻击手法会越来越复杂,攻击也会越来越具有针对性和目的性,不排除未来会有更多的新型黑客组织或者成熟的黑客组织加入进来,通过勒索病毒与其他恶意程序相结合的方式最大限度地获取暴利,各企业要做好相应的防范措施,提高自身员工的安全意识,以防中招


最后欢迎大家关注此微信公众号,专注于全球最新的恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链,关注全球最新的安全攻击技术,及时提供全球最新最有价值的威胁情报信息,笔者有空休息的时候会不定期分享


往期精彩回顾
2019年全球十大流行勒索病毒

如果对恶意样本分析技术感兴趣,可以加入知识星球进行学习加入星球的朋友可以加入《安全分析与研究》专业群,与群里的各位安全研究员一起交流,讨论,研究各种安全技术,让你在学习成长的路上多一个伙伴,共同学习,共同成长

加入知识星球,安全的路上,我们一路前行

长按识别二维码加入星球

安全的路还很长,贵在坚持,做安全的要少熬夜,注意身体......



觉得内容还不错的话,给我点个“在看”呗

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存