最新的网络安全新闻与俄罗斯入侵乌克兰有关
网络犯罪和暗网研究 / 永不停息的勒索软件故事

永不停息的勒索软件故事

永不停息的勒索软件故事
金布罗姆利
金姆·布罗姆利报道
2021年8月31日 | 10 分钟阅读

在《美高梅》中, 巴斯蒂安从现实中被吸引到幻想曲中,这是一个需要英雄从黑暗力量中拯救它的神话之地. 随着勒索软件继续猖狂, 网络拥护者, 现在更是如此, 需要他们自己的巴斯蒂an的希望. 让美高梅集团app下载来回顾一下勒索软件的现状,以及今年夏天勒索软件集团所做的一系列重塑品牌的尝试.

在勒索软件事件中发生了什么?

美高梅集团app下载快速总结一下过去几个月发生的所有重大勒索软件事件, 这些事件让美高梅集团app下载又写了一篇关于勒索软件的博客. 勒索软件攻击的强度, 以及负责群体的专业化, 在过去的2、3年里持续增加吗. 美高梅集团app下载已经看到越来越多的团体爆发到勒索软件现场, 团队不断发展他们的战术和技术, 几乎所有这些群体都沉溺于某种双重勒索.

今年,美高梅集团app下载目睹了勒索软件历史上最严重的一些攻击. 在5月初, 美国最大的输油管道, 殖民地的管道, 遭到了“黑暗势力”组织的勒索软件攻击. 你可以阅读美高梅集团app下载关于这个事件的博客 在这里 在这里

不出所料,攻击属于美国的关键国家基础设施引起了执法部门的大量关注, 政府, 媒体, 和其他网络犯罪. Some prominent online criminal forums took this opportunity to ban the topic of ransomware; you can read our blog on how forum life has adapted to the ransomware ban 在这里.

在这之后, 美国总统拜登签署了加强美国网络安全防御的行政命令,并与俄罗斯总统普京会面,讨论了讲俄语的勒索软件组织. 不管怎样,不久之后《美高梅集团app下载》(又名Sodinokibi)就登上了舞台. 6月初,REvil攻击JBS Foods,扰乱了其在美国、澳大利亚和加拿大的业务. 不到一个月之后, 该组织对软件供应商Kaseya进行了一次勒索软件供应链攻击,影响了数千名最终用户. 你可以阅读美高梅集团app下载关于Kaseya勒索软件供应链攻击的博客 在这里在这里

这并不是REvil团队第一次对kaseya表现出兴趣——美高梅集团app下载将在稍后讨论这个问题.

勒索软件组织是如何重新命名的?

在殖民管道攻击后,DarkSide消失了,而REvil在Kaseya攻击后也消失了. 我想美高梅集团app下载现在已经读了足够多关于勒索软件的书,知道它们的消失并不意味着它们带着一袋赃物消失在落日余晖中. 恰恰相反. 在过去的几个月里,许多勒索软件组织已经重新命名了, 从一个新的名字和更大更好的勒索软件间歇回来. 勒索软件重塑品牌并不是什么新鲜事. 如下表所示,自2018年以来,勒索软件组织一直在对其进行修改. 现在有趣的是,很多团体同时改名了.  

勒索软件群组的演变(来源:Brian Krebs)

在过去,美高梅集团app下载一次只看到一个集团进行品牌重塑工作. 仅在今年,就有5个新的勒索软件组织被报道. 它们被认为是现有(有时是主要的)勒索软件集团的重新品牌. 

研究人员比较并发现了恶意代码的相似性, 数据泄漏网站特点, 标志, 通过品牌来建立联系. 研究人员发现了黑物质和黑暗面之间的相似之处, SynAck和El_Cometa, 二重身和悲伤, 举几个例子. Lockbit也升级了他们的恶意软件,并在最近发布了Lockbit 2.0.

为什么如此多的组织更名,答案可能很简单,因为现在操作中的勒索软件组织比以往任何时候都多. 自然,更多的人会同时经历类似的过程. 或者, 我之前在博客中描述的那些值得注意的事件并不只是撼动那些负有责任的人, 而是整个勒索软件社区. 然而, 勒索软件组织通常会在执法部门采取行动后重新命名,以便与陷入麻烦的组织保持距离. 或者他们会在花时间开发和改进他们的恶意软件后重新命名.

美高梅集团app下载更详细地看看这些团体的生命周期……

黑暗面转化为黑物质

2020年8月,DarkSide因提供勒索软件即服务而声名鹊起, 因其专业性而被认可. 该组织采用了双重勒索策略,并不断将受害者添加到他们的暗网站, 也叫黑暗面. 尽管不断有勒索软件活动, 殖民管道是黑暗面发起的最重要的攻击.

在灾难发生后, 黑暗面的运营者将殖民管道袭击归咎于他们的一个分支, 没有在地下勒索软件中为他们赢得任何朋友. 结果,许多论坛用户对该组织提出了仲裁请求. 一个同事甚至发布了关于DarkSide攻击殖民地的管道的“秘密”. 这, 再加上这次攻击所引起的对DarkSide的所有不必要的关注, 《美高梅集团app下载》重塑品牌最有可能的原因是什么.

在这一点上,《美高梅集团app下载》的名声非常糟糕. 许多人将把他们视为禁止论坛使用勒索软件的罪魁祸首,并将他们视为美俄网络犯罪对话的催化剂. 俄罗斯的网络犯罪集团通常是在一个宽松的环境中运作的,而这一环境却被俄罗斯政府故意忽视——普京总统的关注将不会受到欢迎. 因此,《美高梅集团app下载》需要更新—-删除《美高梅集团app下载》的名称也可以删除负面情绪.

进入BlackMatter. 黑暗面集团进行品牌重塑的时间相对较短, 但显然有必要避免另一个臭名昭著的团伙所经历的更严厉的执法行动.

Bitpaymer变成Doppelpaymer变成Grief

Bitpaymer的运营商Evil Corp无疑是最知名的网络犯罪集团. 谁能忘记他们领导人的兰博基尼Hurcan呢? (我在下面附上了一张图片)

Bitpaymer首席执行官兰博基尼(Lamborghini)

2019年12月,美国当局发布了对马克西姆和邪恶公司其他成员的起诉书. 起诉书中特别提到了该组织使用的勒索软件——比特支付者. 同时, 美国财政部外国资产控制办公室(Office of Foreign Assets Control)对Evil Corp .实施了制裁, 这使他们成为第一个受到金融制裁的网络犯罪集团. 伙计们,这是创造历史的好方法.

Bitpaymer是成功的勒索软件, 但总有改进的空间, 更多的钱, 和更多的新. Bitpaymer的继任者是Doppelpaymer,该公司于2019年4月首次出现. 这次更名更有可能是为了提升恶意软件的能力,因为该组织在发布恶意软件时认为他们是不可触及的. 改善它. 联邦调查局在2020年12月发布了关于恶意软件的警告, 该组织在2019年对关键行业发起攻击,并影响了受害者整个2020年的运营.

针对Evil Corp的制裁不仅对该集团有影响, 这也影响了他们的受害者. 向被制裁实体支付经济款项是刑事犯罪. 因此, 如果Bitpaymer勒索软件攻击的受害者支付赎金来取回他们的文件, 他们会触犯法律. 尽管Doppelpaymer的攻击很突出, 随着制裁消息的传播,该组织收到的赎金数量可能会减少.

因此, 从现实角度看,从Doppelpaymer更名为Grief很有可能是邪恶公司(Evil Corp)试图运营与受制裁实体无关的勒索软件, 增加他们从受害者那里获得更多赎金的机会. 格里菲已经和二重身联系在一起了, 因此邪恶公司, 美高梅集团app下载可能很快就会看到这个群体的另一个品牌被重新命名,以再次迷惑研究人员. 看这个空间!

塞伯变成G和crab,终于,诅咒

在他们攻击Kaseya之后,REvil勒索软件集团消失了. 我感觉到了一个主题. 这是趋势, REvil不太可能永远消失, 但该组织的下一步行动还有待观察. 美高梅集团app下载完成了一个 竞争假设分析 在7月进行锻炼,以研究可能的选择. 不过,对revit来说,改换品牌并非不可能——他们已经经历了两次. 

Cerber于2016年2月底首次被发现, 该名称是由其开发人员而不是安全研究人员指定的. 后发现, Cerber在短时间内经历了许多升级, 其第五版将于2016年11月发布. 这个最新版本只加密大于2的文件,560字节(1,之前是024字节),并针对被入侵机器上的比特币钱包. 因为它的系统性发展, Cerber became one of the most prominent ransomwares; however, 2017年底, 塞伯尔的感染率停止了, 更新和新版本发布也是如此. 当时,原因尚不清楚.

事实证明, Cerber的开发者可能一直在为2018年1月发布的G和crab做准备. 同样,这个勒索软件在它诞生的第一年里进行了多次升级. 2019年2月,G和crab通过一个Kaseya VSA插件漏洞(听起来很熟悉)发布?),也是最早开始大规模狩猎的勒索软件类型之一. 2019年5月,G和crab的运营商宣布他们将关闭业务. 几个月后,联邦调查局公布了G和crab的解密密钥. 大约在同一时间,一种名为REvil的勒索软件填补了G和crab留下的空缺.

G和crab 和 REvil used similar processes for generating r和om URLs to infect systems; however, REvil的开发重点是通过远离地面的战术来避免被发现. 这些策略表明,该组织正在从之前的错误中吸取教训,使执法部门能够访问他们的解密密钥. 

自成立以来, REvil团队专注于提升其恶意软件的能力, 这一目标一直是之前重塑品牌努力的推动力. 因此, 他们的消失可能是受到Kaseya袭击的影响,但很可能一直是有计划的升级.

最终的想法

所有这些品牌重塑有什么共同之处? 最终,研究人员将它们与它们的前辈联系起来. 新的恶意软件, 以及伴随的操作, 难道从表面上看永远都不会完全背离原来的样子吗. 留给研究人员的线索是将这些点联系起来. 如果他们真的想的话,很多这样的组织可以隐藏这些线索, 那他们为什么要把它们放在显眼的地方? 他们中的一小部分人可能还想依靠他们以前的名声, 特别是当他们的恶意软件被证明是成功的. 尽管如此,他们还是被太多不必要的关注推入了黑暗之中.

有一件事是肯定的, 在压力增加的时候消失的策略, 只会在压力消失时以新的形式出现, 似乎已经成为勒索软件群体的趋势. 本博客中提到的最近更名的集团将继续运营. 他们甚至可能增加他们的活动来建立新品牌. 勒索软件的威胁肯定不会减少.
一如既往地, 美高梅集团app下载将继续监控勒索软件的威胁情况,并随着情况的发展提供更新. 与此同时,你可以读读 如何追踪探照灯内的勒索软件. 如果你感兴趣的话, 你可以获取美高梅集团app下载大部分关于勒索软件参与者和变种的情报 试驾,免费试用7天.

在试驾中访问美高梅集团app下载的威胁情报

试驾探照灯免费 7
现在试一试

与美高梅集团app下载联系

标签:
友情链接: 1 2 3 4 5 6 7 8 9 10