7大勒索軟件發展趨勢：幫派聯手，拍賣被盜數據

一個不容忽視的現實是，勒索軟件團伙正在不斷加快創新步伐!的確，我們幾乎每天都會看到各種有關加密惡意軟件受害者的消息曝光。

近日，有報道稱“迷宮”(Maze)和Lockbit團伙以及REvil(又名Sodinokibi)之間存在合作關係，這些勒索軟件運營者不會在受害者拒絕支付贖金時選擇免費泄露被盜數據，而是將其拍賣給出價最高的人。儘管新冠病毒(COVID-19)仍在全球範圍內肆虐，但是許多勒索軟件團伙並未放鬆對醫療保健行業及其供應商的攻擊力度。

以下是勒索軟件7大最新發展趨勢：

1. Maze勒索軟件團伙提供“數據泄露即服務”

如果“加密”是勒索軟件的本職的話，那麼“竊密”對於勒索軟件運營商來說應該是一次重大的進化。多年來，勒索軟件運營商一直聲稱，他們會先竊取數據，然後威脅稱如果受害者不付錢，他們就會公佈數據。然而，直到2019年11月，迷宮勒索軟件運營商才真正實施了這一威脅，並公開發布了被盜文件。

“迷宮”(Maze)勒索軟件團伙可謂是首個“加密”+“竊密”的集大成者，他們不僅會加密受害者的系統，而且還會竊取數據並以“不付款就泄密”的形式迫使受害者支付贖金。2019年下半年，以迷宮勒索爲首的各大勒索家族(包括Nefilim、Sekhmet以及REvil等)掀起了一股“竊密”潮。

創建“泄露網站”這種“撕票行爲”，看起來像是由於越來越少的受害者向攻擊者支付贖金所導致的。McAfee的首席科學家Raj Samani表示：

“他們正在創建泄露站點的原因，我認爲是人們支付的錢越來越少，難以滿足勒索者的胃口所致。”

根據IBM X-Force研究人員的說法，Maze勒索軟件作爲“竊密”潮的領航者，現在已經又往前行進了一大步，它開始與 Lockbit勒索軟件團伙協作，通過將 Lockbit竊取的數據發佈到Maze的專用泄露網站上進行盈利。據悉，該組織此前並沒有數據泄露站點。

研究人員猜測，此舉可能是Maze團伙競標的一部分，該競標活動是通過Maze相對高調的數據泄露網站，向其他勒索軟件團伙提供數據泄露即服務(data-leaking-as-a-service)。

IBM X-Force IRIS的網絡威脅搜尋分析師Ole Villadsen表示：

“關於Maze向其他團伙提供這項服務的收入，我們沒有任何具體信息，但我們強烈懷疑，他們一定以泄露數據爲威脅從受害者處獲得了一定比例的款項。”

不幸的是，Maze仍在繼續施展其拉幫結派的能力，近日，它已經開始託管RagnarLocker團伙的滲漏數據，該團伙之前曾使用Mega文件共享網站轉儲其數據，但是在http://mega.nz上託管泄漏數據很容易被刪除，而在Maze的基礎架構上進行託管，就意味着他們不必再擔心這一問題。

2. 新的勒索遊戲：拍賣被盜數據

近期出現的另一項創新不是泄露數據，而是將其拍賣給出價最高的人。

上個月，REvil團伙開始在其泄露站點上推出了一個新的“拍賣”功能，該功能使該組織能夠利用被盜文件獲利，而不是像之前一樣免費釋放它們。他們第一次拍賣的目標是來自加拿大農業公司Agromart集團(包括Sollio Agriculture)的數據，該公司數據上個月被該組織成功入侵併加密了，但他們選擇不支付贖金。該公司的文件起拍價爲50,000美元，起價爲門羅幣。REvil團伙還承諾不久之後將有更多受害者數據“掛”出。

Emsisoft威脅分析師Brett Callow表示：

“雖然過去，勒索軟件組織可能也出售和交易過數據，但是這是第一次現實意義的拍賣出售，而且很顯然，這可能不會是最後一次。以這種方式出售數據不僅爲犯罪分子提供了更多的貨幣化選擇，也給未來的受害者帶來了更大的壓力。與此前將數據發佈到隱祕的Tor網站上相比，一旦受害者的數據被拍賣並出售給競爭對手或其他犯罪集團，且不說企業的發展前景不容樂觀，甚至還可能會牽涉到更多的企業。”

另外一方面，敲詐還是敲詐，實質沒變對不對?Callow 補充道：

“儘管沒有實質性差異，但我懷疑企業組織可能會對拍賣其數據的後果感到前所未有的壓力。”

隨着REvil最近幾天開始針對另外兩名受害者——位於路易斯安那州查爾斯湖的Fraser Wheeler&Courtney LLP;以及位於加利福尼亞州戴利市的Vierra Magen Marcus LLP——進行數據拍賣威脅，該主張也將得到進一步驗證。

據悉，上個月，爲了給律師事務所施壓，REvil團伙揚言要拍賣麥當娜的私人法律文件。儘管麥當娜的檔案還沒有被拍賣，但REvil團伙稱，他們“記住了麥當娜”，暗示她的檔案以及從律師事務所盜竊的其他檔案也將很快被公開。不過，截至目前，兩家律師事務所均未對此事作出回應。

3. 有針對性的勒索軟件攻擊仍在繼續

安全測試和諮詢公司7 Elements的負責人兼事件響應專家David Stubley表示，勒索軟件攻擊通常分爲以下兩種情況：一些攻擊者會進行“瓦解和掠奪”，獲取對網絡的訪問權限，感染大量端點，然後實現橫向或縱向攻擊;另一類攻擊者則更爲先進，他們會花時間進行偵察、收集憑證，研究攻擊業務合作伙伴的潛在途徑等。

手持各種惡意軟件的攻擊者可能會採取更高級的措施，包括“離地攻擊”(Living off the Land，簡稱LotL)策略——即使用合法的網絡管理工具幫助逃避檢測。

但是有些類型的勒索軟件似乎僅用於有針對性的攻擊。例如，黑莓公司和畢馬威(KPMG)的英國網絡響應服務部門研究人員剛剛發佈了一份有關Tycoon的報告，這是一款新型勒索軟件。與迄今爲止發現的大多數勒索軟件不同的是，這種新的勒索軟件模塊被編譯成一種Java圖像文件格式(JIMAGE)。JIMAGE是一種存儲自定義的JRE映像的文件格式，它的設計是爲了在運行時被Java虛擬機(JVM)使用。

Tycoon是針對Windows和Linux的多平臺Java勒索軟件，至少從2019年12月開始就在野外被觀察到。它以木馬Java運行時環境(JRE)的形式部署，並利用晦澀的Java圖像格式在安全環境中運行。

人們觀察到Tycoon背後的攻擊者利用高度定向的傳遞機制滲透到教育和軟件行業的中小型公司和機構，在那裏他們會對文件服務器加密並索要贖金。然而，由於公共RSA私鑰的重用，在早期的變體中可以恢復數據而不需要支付。

黑莓威脅情報副總裁Eric Milam表示：

“想要部署這種勒索軟件，威脅參與者需要在組織中立足、潛伏、偵察、確定目標並獲得訪問權限”。

4. 醫療保健行業持續受擊

儘管新冠病毒仍在全球範圍內肆虐，而且一些勒索軟件團伙也承諾不會在此期間針對醫療機構展開攻擊，但是安全專家表示，針對該行業的攻擊並未停止過。事實上，醫療保健行業在此期間受到的攻擊甚至可能比以往任何時候都還要大得多。

最近又發生了兩起針對醫療保健組織的勒索軟件攻擊活動，涉及在俄亥俄州劍橋的伍德勞恩牙科中心，以及阿拉斯加帕爾默市的Mat-Su外科醫師協會。據悉，這兩起事件都可能涉及攻擊者竊取敏感數據，且已經報告給衛生和公共服務部民權辦公室。

5. 更多免費的解密程序

值得慶幸的是，當前的勒索軟件趨勢並非只有“黑暗和毀滅”。

No More Ransom項目，旨在爲衆多勒索軟件提供免費的解密程序，最近又爲JavaLocker和Vcryptor勒索軟件添加了免費的解密程序。

同樣在最近幾天，Emsisoft發佈了針對RedRum勒索軟件的免費解密程序。此外，Emsisoft還發布了針對Jigsaw的更新解密器，使其能夠解密.ElvisPresley變體;以及針對Tycoon勒索軟件的解密工具，該工具使受害者能夠恢復被Tycoon勒索軟件攻擊加密的文件,而不需要支付贖金;還更新了其Mapol勒索軟件解密工具，增加了更多變種的覆蓋範圍。

安全專家建議，勒索軟件受害者可以同時使用No More Ransom以及由Emsisoft員工Michael Gillespie(@ demonslay335)維護的ID Ransomware，以識別遭受攻擊的勒索軟件的種類，以查看是否可能存在免費的解密程序或解決方法可用於還原加密的數據。

No More Ransom通過網站的“Crypto Sheriff”頁面提供此功能，而ID Ransomware從主頁提供該功能。兩種服務都允許受害者上傳加密文件以進行識別，而ID Ransomware還運行受害者上傳贖金記錄以進行識別。

6. 未修復的漏洞被有心之人利用

不幸的是，安全專家並未破解每一種勒索軟件，這就意味着對於許多種類的加密惡意軟件而言，並不存在免費的解密程序。但是，對於那些發現其系統已被強制加密並被勒索軟件團伙勒索贖金以換取解密密鑰的組織而言，這可能還只是問題的一部分。確實，安全專家長期以來一直警告稱，許多成功的勒索軟件攻擊必須被視爲更大的事件響應挑戰的一部分。

也就是說，許多違規行爲並非以勒索軟件開始或結束的。在用加密惡意軟件感染系統之前，攻擊者可能已經通過蠻力攻擊或者網絡釣魚攻擊破解了遠程桌面協議憑據，從而獲取了對網絡的遠程訪問權限。然後，他們可能會花費數週或數月的時間進行偵察，以橫向侵入其他系統之中，竊取Active Directory的管理員級別訪問憑據，以及竊取敏感數據，以便在受害者拒絕支付贖金時將其泄露。

即便公司剛剛經歷了一波勒索軟件攻擊，當前的攻擊者也可能並不會就此停止活動，他們可能還會打電話來試圖發現公司尚未修復的漏洞。

Emsisoft的Callow表示：

“由於沒有及時修復漏洞，接連遭遇二次攻擊的情況也很常見。例如澳大利亞航運業巨頭Toll集團就在4個月裏遭遇了兩次惡意軟件攻擊。今年3月份，該公司遭到了Netwalker(又名Mailto)惡意軟件攻擊，而就在大約6周後，該公司再次遭到了Nefilim勒索軟件(Nemty演變而來的新一代病毒)的攻擊。無獨有偶，全球航運巨頭Pitney Bowes在2019年10月遭到勒索軟件攻擊後，又於近日遭到疑似Maze勒索軟件的攻擊。”

7. 團伙組織可能仍在企業網絡中安營紮寨

有時，攻擊者使用勒索軟件攻擊後仍駐留在受害者的網絡中。對於受害者而言，挑戰之一可能是攻擊者可以竊聽其違規後的響應計劃。例如，近日，研究人員表示，勒索事件發生後，REvil和Maze似乎仍然可以訪問Agromark和ST Engineering的網絡。

在ST Engineering攻擊事件中，總部位於新加坡的國防承包商ST Engineering證實，其北美子公司VT San Antonio Aerospace收到了Maze勒索軟件團伙的攻擊。ST Engineering並未透露攻擊是何時開始的，但是，通過隨後被攻擊者泄露的文件中包括事件響應報告，表示攻擊者仍在繼續享受對受害企業系統的遠程訪問權限。

同樣的，在針對Agromark集團的攻擊事件中，REvil曾泄露了一封6月2日的電子郵件，該電子郵件似乎是公司的一份內部通訊郵件，詳細說明了公司準備如何應對勒索軟件感染，包括制定內部通訊規則，與律師溝通以及“與安全顧問交談以更好地瞭解勒索軟件的概況”等等。據悉，該內部電子郵件還以紅色文本着重標識：“請勿轉發此電子郵件。”