信息來(lái)源:FreeBuf
2019年是勒索病毒團(tuán)伙針對(duì)企業(yè)進(jìn)行勒索攻擊爆發(fā)的一年���,全球多個(gè)國(guó)家的政府組織機(jī)構(gòu)��、企事業(yè)單位都成為了勒索病毒團(tuán)伙攻擊的目標(biāo)�,勒索病毒也成為了網(wǎng)絡(luò)安全最大的網(wǎng)絡(luò)安全威脅,新的勒索病毒不斷涌現(xiàn)�����,舊的勒索病毒不斷變種�����,2019年馬上結(jié)束了���,然而勒索病毒攻擊卻更加頻繁�����,全球似乎每天都有勒索病毒攻擊的新聞出現(xiàn)�����,最近兩款勒索病毒攻擊團(tuán)伙���,又使用了新的玩法,先利用惡意軟件盜取企業(yè)數(shù)據(jù)�,再使用勒索病毒加密企業(yè)數(shù)據(jù)���,不交贖金就公布企業(yè)的數(shù)據(jù),逼迫勒索病毒的受害者交贖金解密�,勒索病毒團(tuán)伙已經(jīng)開(kāi)始“打家劫舍 敲詐勒索”……
Maze勒索病毒團(tuán)伙向Southwire勒索600萬(wàn)美元的贖金,Southwire是北美領(lǐng)先的電線電纜制造商之一���,擁有7,500多名員工����,2018年的收入為61億美元�����,超過(guò)了2017年的55億美元���。這家電線制造商也在《福布斯》美國(guó)最大的私人公司名單中���,如果Southwire不交贖金,Maze勒索病毒團(tuán)伙會(huì)在網(wǎng)站上公布該公司的數(shù)據(jù)���,Maze勒索病毒團(tuán)伙試圖利用這種方法,逼迫受害者交贖金
Maze勒索病毒團(tuán)伙在互聯(lián)網(wǎng)上創(chuàng)辦了一個(gè)專用網(wǎng)站����,并在該網(wǎng)站上公布了一些受害者的信息����,如下所示:
最近Maze勒索病毒團(tuán)伙���,再次更新其受害者名單和企業(yè)相關(guān)數(shù)據(jù)文件����,如下所示:
Southwire數(shù)據(jù)泄露的時(shí)間為:2019年12月9日�,泄露的數(shù)據(jù)大小為:120GB
DV-GROUP數(shù)據(jù)泄露的時(shí)間為:2019年12月1日,泄露的數(shù)據(jù)大?。?GB
Fratelli Beretta數(shù)據(jù)泄露的時(shí)間為:2019年12月1日,泄露的數(shù)據(jù)大?�。?GB (以上數(shù)據(jù)均來(lái)自網(wǎng)絡(luò)���,不保證數(shù)據(jù)的準(zhǔn)確性)�,受害者名單可能還會(huì)繼續(xù)更新……
2020年這種新的攻擊方法����,會(huì)不會(huì)也被更多勒索病毒團(tuán)伙效仿流行起來(lái),先利用惡意軟件盜取企業(yè)的數(shù)據(jù),再投放勒索病毒進(jìn)行加密�����,目前Sodinokibi勒索病毒團(tuán)伙似乎對(duì)這種新的玩法表示感興趣���,此前安全研究人員在分析這款勒索病毒的時(shí)候�,發(fā)現(xiàn)這款勒索病毒在感染勒索病毒的過(guò)程中�,有盜取企業(yè)數(shù)據(jù)的可疑行為
同時(shí)最近國(guó)外安全研究人員又發(fā)布了一款新型勒索病毒攻擊案例,該勒索病毒攻擊會(huì)先利用Azorult竊密木馬盜取企業(yè)的數(shù)據(jù)�,再通過(guò)Zeppelin勒索病毒加密勒索企業(yè),如下所示:
這款最新的勒索病毒變種���,同時(shí)被國(guó)外一家安全公司發(fā)現(xiàn)并進(jìn)行了詳細(xì)分析報(bào)道�����,該勒索病毒利用ConnectWise Control(ScreenConnect)遠(yuǎn)程桌面應(yīng)用軟件進(jìn)行傳播��,其攻擊流程����,如下所示:
同時(shí)安全研究人員發(fā)現(xiàn)此次攻擊使用了Vidar竊密木馬盜取受害者數(shù)據(jù)�����,然后再使用Zeppelin勒索病毒變種加密文件。
Zeppelin勒索病毒是一款基于Delphi語(yǔ)言編寫的��,采用RaaS(勒索即服務(wù))模式分發(fā)的勒索病毒�����,最初此勒索病毒稱為Vega或VegaLocker����,Vega勒索病毒最早于2019年初首次被發(fā)現(xiàn)��,Vega勒索病毒在一年的時(shí)間內(nèi)���,不斷變種��,后面又出現(xiàn)了它的幾個(gè)不同的變種版本�����,例如:Jamper(Jumper)勒索病毒���、Storm勒索病毒�,Buran勒索病毒���,都是屬于Vega勒索病毒的變種版本��,最新的變種Zeppelin勒索病毒具有很高的可配置性�,可以部署為EXE�、DLL或使用PowerShell加載器加載,使用PowerShell加載的Zeppelin勒索病毒的樣本大多托管在Pastebin上(這個(gè)網(wǎng)站上面托管了大量的惡意軟件)����,此勒索病毒變種版本的勒索提示信息文件!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT,內(nèi)容如下所示:
Zeppelin勒索病毒是Vega勒索病毒家族中最新的一款勒索病毒��,此家族之前最新的變種是Buran勒索病毒����,通過(guò)多種方式進(jìn)行傳播,Vega勒索病毒家族的勒索提示信息文件�����,內(nèi)容類似如下所示:
Zeppelin勒索病毒與Buran勒索病毒同屬于Vega(VegaLocker)勒索病毒家族�����,Zepplelin勒索病毒算是Buran勒索病毒的最新變種,目前發(fā)現(xiàn)的幾例Zeppelin勒索病毒攻擊傳播的過(guò)程中都使用了竊密類木馬程序�,盜取受害者數(shù)據(jù),再使用Zeppelin勒索病毒加密勒索受害者
勒索病毒攻擊變的越來(lái)越有針對(duì)性�,技術(shù)也越來(lái)越成熟,使用的攻擊方法和方式也在不斷更新��,一些技術(shù)成熟的黑客組織也加入到勒索病毒攻擊的行業(yè)當(dāng)中����,Sodinokibi勒索病毒團(tuán)伙一直在招募經(jīng)驗(yàn)豐富的黑客加入其組織�,根據(jù)網(wǎng)絡(luò)安全公司Coveware Inc.的數(shù)據(jù),隨著攻擊變得更加頻繁��,受害者在2019年第三季度向黑客支付的用于恢復(fù)其數(shù)據(jù)的平均費(fèi)用從一年前的約6,000美元增至約41,000美元,網(wǎng)絡(luò)安全公司Emsisoft上周表示�,今年美國(guó)針對(duì)政府機(jī)構(gòu),教育機(jī)構(gòu)和醫(yī)療保健提供者的勒索病毒攻擊造成的損失估計(jì)至少達(dá)75億美元��,可想而知�,全球因?yàn)槔账鞑《镜墓舳斐傻膿p失有多大了,勒索病毒攻擊已經(jīng)成為全球最大的網(wǎng)絡(luò)安全威脅
2019年10月9號(hào)總部設(shè)在荷蘭海牙的歐洲刑警組織與國(guó)際刑警組織共同發(fā)布報(bào)告《2019互聯(lián)網(wǎng)有組織犯罪威脅評(píng)估》�����,報(bào)告指出數(shù)據(jù)已成為網(wǎng)絡(luò)犯罪分子的主要攻擊目標(biāo)���,針對(duì)企業(yè)數(shù)據(jù)的攻擊�����,主要方式為:盜取�、破壞,此前勒索病毒攻擊主要以破壞數(shù)據(jù)���,勒索受害者為主���,通過(guò)交贖金的方式獲取暴利,Maze勒索病毒采用了以公開(kāi)企業(yè)數(shù)據(jù)來(lái)逼迫受害者交贖金的方式���,未來(lái)會(huì)不會(huì)被更多的勒索病毒團(tuán)伙效仿Maze勒索病毒的方式�,先利用惡意程序盜取企業(yè)數(shù)據(jù)��,再使用勒索病毒加密文件進(jìn)行勒索��,然后再通過(guò)公布企業(yè)數(shù)據(jù)的方式����,逼迫企業(yè)交贖金
預(yù)測(cè)勒索病毒攻擊在明年可能會(huì)越來(lái)越多,而且使用的攻擊手法會(huì)越來(lái)越復(fù)雜���,攻擊也會(huì)越來(lái)越具有針對(duì)性和目的性��,不排除未來(lái)會(huì)有更多的新型黑客組織或者成熟的黑客組織加入進(jìn)來(lái)���,通過(guò)勒索病毒與其他惡意程序相結(jié)合的方式最大限度地獲取暴利���,各企業(yè)要做好相應(yīng)的防范措施,提高自身員工的安全意識(shí)�����,以防中招����。
