隨著全球新冠病毒大流行，世界各地的經(jīng)濟(jì)處于崩潰的邊緣，失業(yè)率攀升。然而，勒索軟件由于其匿名性和暴力性，導(dǎo)致一些使用勒索軟件進(jìn)行分發(fā)斂財(cái)?shù)膱F(tuán)隊(duì)愈發(fā)增多。

　　2020年以來(lái)，這些制造勒索軟件的服務(wù)商，以及從這些服務(wù)商購(gòu)置勒索軟件用于投遞給受害者的攻擊者(會(huì)員)，二者配合，外加服務(wù)商提供的恐嚇勒索之?dāng)?shù)據(jù)曝光服務(wù)，讓世界各地公司，政府，學(xué)校等等機(jī)構(gòu)深?lèi)和醇病?/p>

　　但勒索軟件也并不是不能醫(yī)治，如果殺毒軟件廠商及時(shí)更新勒索軟件特征，用戶(hù)及時(shí)更新殺毒軟件，便能在一定程度上降低系統(tǒng)被殺毒軟件加密的概率，下面黑鳥(niǎo)就來(lái)給大家看一下2020年以來(lái)活躍的提供勒索軟件使用服務(wù)團(tuán)伙，也就是我們平常說(shuō)的勒索軟件即服務(wù)(RaaS)。

　　如下面的表格顯示，一般有博客的團(tuán)伙都會(huì)使用恐嚇?lè)椒?，即將加密公司系統(tǒng)前的數(shù)據(jù)，發(fā)布在博客上，從而要挾公司趕緊交贖金。

　　新成立的Raas團(tuán)伙：

　　勒索市場(chǎng)的中堅(jiān)力量：

　　勒索軟件市場(chǎng)的最強(qiáng)力量：

　　DopplePaymer

　　自2019年以來(lái)，DoppelPaymer，由前BitPaymer(FriedEx)勒索軟件成員組成。勒索軟件本身通常是在拷貝敏感數(shù)據(jù)后，再手動(dòng)部署。DoppelPaymer團(tuán)隊(duì)運(yùn)營(yíng)著一個(gè)基于Tor的博客，該博客用于發(fā)布有關(guān)受感染公司及其被盜數(shù)據(jù)的信息。

　　Egregor/Maze

　　目前Maze(迷宮)勒索軟件服務(wù)幕后團(tuán)伙已經(jīng)宣布將關(guān)閉其運(yùn)營(yíng)。然而，有分析人員指出Maze的成員或者會(huì)員已經(jīng)融入Egregor勒索軟件背后的服務(wù)中。

　　Egregor在操作中遵循一種熟悉的模式：破壞公司網(wǎng)絡(luò)以竊取敏感數(shù)據(jù)并部署勒索軟件，與受害者進(jìn)行通信并索取贖金，然后在受害者組織拒絕支付贖金時(shí)將敏感數(shù)據(jù)轉(zhuǎn)儲(chǔ)到博客中。

　　有證據(jù)表明，Egregor也與Sekhmet勒索軟件有關(guān)。Egregor包含與Sekhmet相同的Base64編碼數(shù)據(jù)，其中最后一行包含來(lái)自受感染系統(tǒng)的其他參數(shù)。研究人員還發(fā)現(xiàn)，Egregor贖金記錄與Sekhmet所使用的記錄極為相似。

　　Netwalker

　　NetWalker最早在2019年9月被發(fā)現(xiàn)，背后的攻擊者在2020年使用了釣魚(yú)郵件攻擊，這些郵件利用了對(duì)疫情大流行的影響和恐懼來(lái)誘使受害者將惡意軟件安裝到系統(tǒng)中。5月，運(yùn)營(yíng)商啟動(dòng)了一個(gè)基于Tor的博客，以發(fā)布從受害者組織那里偷來(lái)的敏感數(shù)據(jù)，這些組織拒絕支付所要求的贖金。

　　NetWalker的會(huì)員使用了無(wú)文件感染技術(shù)，據(jù)稱(chēng)可以繞過(guò)Windows 7和更新版本操作系統(tǒng)的用戶(hù)帳戶(hù)控制組件。NetWalker可以在兩種模式下操作：在網(wǎng)絡(luò)模式下，可以對(duì)單個(gè)計(jì)算機(jī)或整個(gè)網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行勒索，而受害者可以購(gòu)買(mǎi)具有主密鑰的解密工具或購(gòu)買(mǎi)必要的密鑰以對(duì)所有網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行解密。在個(gè)人模式下，一次贖金僅解密一臺(tái)計(jì)算機(jī)。

　　REvil/Sodinokibi

　　REvil是市場(chǎng)上最普遍的勒索軟件變體之一，首次部署于2019年4月17日，攻擊者利用了Oracle WebLogic服務(wù)器中的漏洞CVE-2019-2725。兩個(gè)月后，XSS論壇上開(kāi)始出現(xiàn)售賣(mài)勒索軟件服務(wù)的廣告。

　　該組織攻擊方法，最常見(jiàn)采用遠(yuǎn)程桌面協(xié)議(RDP)漏洞，例如 BlueGate漏洞，該漏洞允許授權(quán)用戶(hù)遠(yuǎn)程執(zhí)行代碼。此外還有通過(guò)Citrix 和 Pulse Secure VPN漏洞進(jìn)行遠(yuǎn)程代碼攻擊。據(jù)稱(chēng)攻擊者在大約三分鐘內(nèi)就可以訪(fǎng)問(wèn)整個(gè)網(wǎng)絡(luò)。

　　REvil的會(huì)員負(fù)責(zé)攻擊和訪(fǎng)問(wèn)目標(biāo)網(wǎng)絡(luò)，下載有價(jià)值的文件并部署實(shí)際的勒索軟件，而REvil團(tuán)伙則負(fù)責(zé)受害者談判以及勒索，勒索贖金和分發(fā)。這種模式顯然導(dǎo)致了利潤(rùn)的飛漲：根據(jù)REvil的說(shuō)法，一個(gè)會(huì)員的收入從每個(gè)目標(biāo)約20,000美元增加到30,000美元，而另一家RaaS提供的收益在與REvil聯(lián)手后僅六個(gè)月內(nèi)就達(dá)到了每個(gè)目標(biāo)約700萬(wàn)美元至800萬(wàn)美元。

　　Ryuk

　　Ryuk勒索軟件，是一個(gè)通過(guò)使用Trickbot僵尸網(wǎng)絡(luò)和Emotet惡意軟件進(jìn)行最后階段分發(fā)的勒索軟件。

　　Ryuk的會(huì)員在攻擊中遵循一種模式：雇用黑客發(fā)起釣魚(yú)郵件活動(dòng)，以傳播黑客的銀行惡意軟件。然后，另一組黑客在公司網(wǎng)絡(luò)內(nèi)進(jìn)行提升權(quán)限并部署勒索軟件。

　　2020年以來(lái)，Ryuk勒索軟件爆炸式增長(zhǎng)，全球數(shù)百萬(wàn)起勒索軟件事件中都有它的影子。一些安全研究人員估計(jì)，在今年發(fā)起的勒索軟件攻擊中，有多達(dá)三分之一發(fā)現(xiàn)了Ryuk。

　　Ryuk今年一直集中針對(duì)醫(yī)療保健領(lǐng)域進(jìn)行勒索攻擊，曾針對(duì)美國(guó)最大的醫(yī)院系統(tǒng)：全民健康服務(wù)公司進(jìn)行勒索。

　　參考鏈接：

　　https://public.intel471.com/blog/ransomware-as-a-service-2020-ryuk-maze-revil-egregor-doppelpaymer/

　　文章來(lái)源：黑鳥(niǎo)