|
2021年5月12日是世界第二个反勒索软件日,无法否认的是:勒索软件已成为安全界的流行语。这样的说法不是没有理由的,勒索软件的威胁已经存在了很长时间,但是它也一直在发生改变。年复一年,攻击者变得越来越大胆,攻击的方法也在不断地完善,当然,系统也在不断地遭到破坏。然而,媒体对于勒索软件的关注主要集中在哪些公司遭到了攻击,而没有聚焦勒索软件本身。在此报告中,我们从勒索软件的日常新闻中退后一步,跟随涟漪回溯到这个系统的核心,以了解勒索软件的组织方式。
首先,我们将揭穿三个先入为主的想法,这些想法阻碍了对勒索软件威胁的正确思考。接下来,我们深入研究暗网,以演示网络犯罪分子如何相互影响以及他们提供的服务类型。最后,我们以两个著名的勒索软件品牌结尾:REvil和Babuk。
无论我们在编写此报告方面做了多少工作,在开始阅读之前,请确保已安全备份您的数据!
第一部分:关于勒索软件的三个先入之见
想法1:勒索软件团伙就是团伙
随着2020年大型猎杀游戏的兴起,我们看到了勒索软件世界中许多引人注目的群体。犯罪分子发现,受害者如果能够事先建立某种信任,就更有可能支付赎金。为了确保他们恢复加密文件的能力永远不会受到质疑,他们建立了在线形象,撰写了新闻稿,并尽可能确保所有潜在受害者都知道他们的名字。
但是,通过将自己置于众人关注之下,这些组织掩盖了勒索软件生态系统的实际复杂性。从外部看,它们似乎是单一实体。但实际上它们只是矛尖。在大多数攻击中,都有大量参与者参与其中,一个关键的要点是,他们通过暗网市场相互提供服务。
Botmaster和帐户转销商的任务是提供受害者网络内部的初始访问权限。在本次讨论中,这个生态系统的其他成员(为了方便讨论,我们将其命名为red team)使用此初始访问权限来获得对目标网络的完全控制。在此过程中,他们将收集有关受害者的信息并窃取内部文件。
这些文件可能会转发给外包的分析师团队,他们将尝试确定目标的实际财务状况,以便确定他们可能支付的最高赎金价格。分析师还将留意任何可能用于支持其勒索策略的敏感信息或暗示性信息,目的是向决策者施加最大压力。
当red team准备发动攻击时,通常会从暗网开发人员那里购买勒索软件产品,通常以赎金分成作为交换。这里有一个可选的角色是packer的开发者,他们可以为勒索软件程序增加保护层,使得它们不易被安全产品所检测到。
最后,与受害者谈判可能由另外的团队来处理,当支付赎金后,需要一整套全新的技能,以清洗所获得的加密货币。
所有这一切当中,一个有趣的点是,“勒索软件价值链”中的各个行为者不需要彼此了解,事实上他们也没必要了解。他们通过互联网相互交互,用加密货币支付服务费用。随之而来的是,逮捕这些实体中的任何一个(虽然对威慑目的有用)对减缓生态系统几乎没有作用,因为无法获知共同犯罪者的身份,并且在逮捕之后其他供应者将立即填补所造成的空缺。
勒索软件世界必须被理解为一个生态系统,并被这样对待:这是一个只能系统解决的问题,例如,通过阻止金钱在其内部流通,这首先要求不支付任何赎金。
想法2:有针对性的勒索软件就是有针对性的
先前对勒索软件生态系统的描述对于选择受害者的方式具有重要意义。是的,犯罪集团越来越肆无忌惮,要求的赎金也越来越多。但是勒索软件攻击对他们来说也有机会主义的方面。据我们所知,这些团伙不会通过细读英国《金融时报》来决定下一步的目标。
令人惊讶的是,获得对受害者网络的初始访问权的人不是后来部署勒索软件的人,因此需要将访问收集视为一个完全独立的业务。为了使其可行,卖方需要源源不断的“产品”。花数周的时间试图突破像《财富》中写的500强公司这样的既定目标,在财务上并不明智,因为要成功突破是一件很困难的事情。取而代之的是,准入卖家追求更低的目标。这种渠道有两个主要来源:
-
僵尸网络所有者。知名的恶意软件家族参与了规模最大、影响最广泛的活动。他们的主要目标是创建受感染计算机的网络,尽管此时感染仅处于休眠状态。僵尸网络所有者(botmaster)将对受害机器的访问权限作为一种资源出售,可以通过多种方式获利,例如发起DDoS攻击、分发垃圾邮件,或者在勒索软件的情况下,利用这种初始感染来获得立足点在一个潜在的目标。
-
访问权限的卖家。黑客正在寻找面向互联网的软件(例如VPN设备或电子邮件网关)中公开披露的漏洞(1-days)。一旦披露了此漏洞,在防御者应用相应的更新之前,他们将会破坏尽可能多的受影响的服务器。
(编辑:莆田站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
