安恒信息揭秘2022年六大活躍勒索組織

勒索軟件攻擊是增長(zhǎng)最快的網(wǎng)絡(luò)犯罪之一，嚴(yán)重威脅全球的經(jīng)濟(jì)秩序和公共安全的穩(wěn)定，新興勒索團(tuán)伙不斷涌現(xiàn)，世界各地勒索攻擊層出不窮。

近日，安恒信息中央研究院聯(lián)合安恒信息神盾局正式發(fā)布《2022年度網(wǎng)絡(luò)安全綜合態(tài)勢(shì)觀(guān)察手冊(cè)》。報(bào)告中，安恒信息獵影實(shí)驗(yàn)室盤(pán)點(diǎn)了2022年全球六大活躍勒索組織。

LockBit

LockBit又名ABCD Ransomware，于 2019 年 9 月首次被發(fā)現(xiàn)。2021年6月，該勒索軟件背后的運(yùn)營(yíng)商對(duì)其網(wǎng)站進(jìn)行了改造，推出新的 LockBit 2.0勒索軟件即服務(wù)，并聲稱(chēng)他們當(dāng)前的變體是勒索軟件市場(chǎng)上最快的加密軟件。據(jù)悉，LockBit 2.0只與經(jīng)驗(yàn)豐富的滲透測(cè)試人員合作，尤其是使用 Metasploit 和Cobalt Strike等工具的人員。

2022年6月，LockBit團(tuán)伙發(fā)布了“LockBit 3.0(又名LockBit Black)”改進(jìn)后的RaaS操作，引入了勒索軟件漏洞賞金計(jì)劃，邀請(qǐng)安全研究人員提交漏洞報(bào)告，以換取1000美元至100萬(wàn)美元的獎(jiǎng)金。此外，LockBit 3.0在其贖金支付方式中添加了Zcash隱私幣。

LockBit是2022年最活躍的勒索軟件團(tuán)伙。自6月至今，LockBit 3.0泄露網(wǎng)站在全球造成了巨大影響。已列出的313個(gè)受害者中，美國(guó)、意大利和德國(guó)是受影響最嚴(yán)重的國(guó)家。

6月18日，LockBit團(tuán)伙攻擊了數(shù)字安全巨頭Entrust，宣布將在8月19日公布竊取的所有數(shù)據(jù)。但該團(tuán)伙的泄密站點(diǎn)遭到了疑似與Entrust相關(guān)的DDoS攻擊，因此未能泄密數(shù)據(jù)。此次事件發(fā)生后，LockBit勒索軟件行動(dòng)的公共代表“LockBitSupp”宣布，正在改進(jìn)對(duì)分布式拒絕服務(wù) (DDoS) 攻擊的防御，并努力將勒索操作提高到三重勒索水平，即先加密，再泄露數(shù)據(jù)，最后發(fā)起DDoS攻擊。LockBit團(tuán)伙表示，已經(jīng)了解了DDoS攻擊方式的破壞性，現(xiàn)在正在考慮將該攻擊作為一種勒索籌碼，而不只是加密和泄露數(shù)據(jù)。

2022 年 9 月，一位名為“Ali Qushji”的新注冊(cè) Twitter 用戶(hù)表示，其團(tuán)隊(duì)入侵了LockBit服務(wù)器，并找到了 LockBit 3.0 勒索軟件的生成器。但LockBitSupp聲稱(chēng)，該團(tuán)伙并沒(méi)有遭到黑客入侵，泄密者是 Lockbit 勒索軟件組織雇用的程序員，開(kāi)發(fā)人員對(duì)Lockbit的領(lǐng)導(dǎo)層心懷不滿(mǎn)，所以泄露了生成器。生成器由build.bat、builder.exe、config.json、keygen.exe等4個(gè)文件組成。

Blackcat

BlackCat新型勒索軟件于2021年11月出現(xiàn)，也稱(chēng)ALPHV，是目前發(fā)現(xiàn)的第一個(gè)基于Rust編寫(xiě)的多平臺(tái)勒索軟件，支持在 Windows、基于 Linux 的操作系統(tǒng)(Debian、Ubuntu、ReadyNAS、Synology)和 VMWare ESXi系統(tǒng)上執(zhí)行。BlackCat使用三重勒索策略，在加密設(shè)備之前竊取數(shù)據(jù)，并且會(huì)發(fā)起 DDoS 攻擊以威脅受害者，直到受害者支付贖金。

BlackCat使用Rust來(lái)構(gòu)建勒索加密器，這種與平臺(tái)無(wú)關(guān)的語(yǔ)言增強(qiáng)了該組織的目標(biāo)系統(tǒng)的范圍，同時(shí)也一定程度上能夠躲避靜態(tài)檢測(cè)和增加安全分析人員的逆向難度。通過(guò)分析該勒索家族的樣本，BlackCat勒索軟件使用輸入口令作為必要的命令行參數(shù)，以此逃避自動(dòng)化沙箱檢測(cè)。除了加密本地受害主機(jī)上的文件，還會(huì)進(jìn)行橫向傳播，BlackCat勒索軟件如若發(fā)現(xiàn)存活的其他網(wǎng)絡(luò)服務(wù)器，則會(huì)首先廣播 NetBIOS 名稱(chēng)服務(wù)(NBNC)消息以確認(rèn)這些設(shè)備，然后嘗試使用默認(rèn)配置的賬戶(hù)和密碼，執(zhí)行PsExec進(jìn)行遠(yuǎn)程交互和自我復(fù)制。

BlackCat積極招募新的分支機(jī)構(gòu)。在勒索軟件匿名市場(chǎng) (RAMP) 和其他俄語(yǔ)黑客論壇等地下論壇發(fā)布廣告，以吸引附屬機(jī)構(gòu)加入其團(tuán)伙。BlackCat團(tuán)伙為其關(guān)聯(lián)公司提供非?？捎^(guān)的分成，高達(dá)受害者已支付贖金的90%，遠(yuǎn)高于其他RaaS團(tuán)伙為附屬公司提供的報(bào)酬。

從受害者地區(qū)來(lái)看，BlackCat勒索軟件主要針對(duì)美國(guó)企業(yè)，占總數(shù)的40%以上。澳大利亞受害者數(shù)量位居第二，其余則分散在歐洲和亞太地區(qū)。BlackCat勒索軟件針對(duì)的行業(yè)包括金融、技術(shù)、能源、建筑和服務(wù)業(yè)等，受害者主要為小型企業(yè)。

Conti

Conti是疑似由俄羅斯黑客組織運(yùn)營(yíng)的勒索團(tuán)伙，是2022年年初最活躍的勒索團(tuán)伙之一。Conti勒索軟件被認(rèn)為是流行的Ryuk勒索軟件家族的變種，通過(guò)多種流行的惡意軟件傳播，包括Trickbot/Emotet和BazarLoader。攻擊者最初通過(guò)網(wǎng)絡(luò)釣魚(yú)攻擊安裝惡意軟件，或者利用暴露在Internet的設(shè)備中的漏洞進(jìn)行攻擊。2021年12月，Conti勒索組織利用Log4j2漏洞展開(kāi)攻擊活動(dòng)，是已知的第一個(gè)將Log4j漏洞武器化的勒索團(tuán)伙。

Conti組織使用網(wǎng)絡(luò)釣魚(yú)來(lái)部署B(yǎng)azarLoader后門(mén)或者漏洞利用(例如CVE-2018-13379和CVE-2018-13374)來(lái)作為初始攻擊向量，再尋找和泄露敏感數(shù)據(jù)。在加密前執(zhí)行刪除卷影副本、執(zhí)行任務(wù)計(jì)劃等，并查找域管理員憑證或打印機(jī)漏洞(CVE-2021-1675)等來(lái)進(jìn)行提權(quán)操作。Conti通常使用RSA和ChaCha20或者AES組合算法來(lái)加密文件。此外，還會(huì)使用第三方軟件，例如Anydesk來(lái)進(jìn)一步控制系統(tǒng)和橫向移動(dòng)。

2022年5月下旬，Conti勒索軟件團(tuán)伙正式關(guān)閉其運(yùn)營(yíng)。盡管面對(duì)公眾的“Conti News”數(shù)據(jù)泄露和贖金談判網(wǎng)站仍處于在線(xiàn)狀態(tài)，且于5月20日上傳了反美仇恨言論，宣稱(chēng)美國(guó)是“地球之癌”，但團(tuán)伙成員用于執(zhí)行談判和在其數(shù)據(jù)泄露網(wǎng)站上發(fā)布“新聞”的Tor管理面板已離線(xiàn)。

Cuba

Cuba勒索于2019年12月首次被發(fā)現(xiàn)。根據(jù)美國(guó)聯(lián)邦調(diào)查局的發(fā)布的報(bào)告，截止2022年8月，Cuba勒索軟件已經(jīng)攻擊了全球100多個(gè)實(shí)體，要求支付贖金達(dá)1.45億美元，并且已經(jīng)收到6000多萬(wàn)美元的贖金。

Cuba在今年高度活躍，采用雙重勒索的運(yùn)營(yíng)模式，發(fā)起了包括攻擊歐洲黑山政府機(jī)、美國(guó)多家基礎(chǔ)設(shè)施等活動(dòng)，美國(guó)聯(lián)邦調(diào)查局稱(chēng)Cuba入侵了美國(guó)49個(gè)關(guān)鍵基礎(chǔ)設(shè)施單位。根據(jù)其檢測(cè)俄語(yǔ)鍵盤(pán)布局和語(yǔ)言可以推測(cè)Cuba可能來(lái)自俄羅斯。

Cuba勒索軟件在攻擊中使用多種武器庫(kù)工具，包括遠(yuǎn)程桌面管理、PsExec等應(yīng)用工具以及Mimikatz等橫向移動(dòng)工具，此外，還利用ProxyShell和ProxyLogon等漏洞來(lái)進(jìn)行初始訪(fǎng)問(wèn)，使用Avast驅(qū)動(dòng)程序漏洞來(lái)繞過(guò)防病毒和終止進(jìn)程。Cuba還使用自定義的Cobalt Strike與C2服務(wù)器通信。一般使用Salsa20加密受害系統(tǒng)上的文件，并使用RSA加密Salsa20的密鑰。

Hive

Hive勒索軟件組織于2021年6月首次出現(xiàn)，使用的Hive勒索軟件采用Go語(yǔ)言編寫(xiě)開(kāi)發(fā)。該勒索團(tuán)伙通過(guò)漏洞利用、暴力破解憑據(jù)或魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)進(jìn)行初始訪(fǎng)問(wèn)。成功加密文件后，文件將使用 .hive 擴(kuò)展名保存。Hive在贖金通知中為每個(gè)受害者分配可以登錄Hive門(mén)戶(hù)的專(zhuān)用ID和憑據(jù)，受害者可以通過(guò) TOR 訪(fǎng)問(wèn) Hive 門(mén)戶(hù)，與攻擊者進(jìn)行交流，并接收解密器。

根據(jù)FBI的信息，截至 2022 年 11 月，Hive 勒索軟件攻擊者已使全球 1,300 多家公司受害，收到約1億美元的贖金。攻擊者使用 Hive 勒索軟件針對(duì)廣泛的企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施部門(mén)，包括政府設(shè)施、能源、金融服務(wù)、通信以及信息技術(shù)等行業(yè)，受影響最嚴(yán)重的行業(yè)為醫(yī)療保健和公共衛(wèi)生 (HPH)。目標(biāo)國(guó)家包括中國(guó)、美國(guó)、阿根廷、澳大利亞、巴西、加拿大、哥倫比亞、薩爾瓦多、法國(guó)、德國(guó)、印度、意大利、荷蘭、挪威、秘魯、葡萄牙、沙特阿拉伯、西班牙、瑞士、泰國(guó)以及英國(guó)。

LAPSUS$

Lapsus$團(tuán)伙自2021年12月開(kāi)始活躍，是2022最引人注目的網(wǎng)絡(luò)犯罪團(tuán)伙之一。與傳統(tǒng)勒索軟件團(tuán)伙不同，Lapsus$組織是一個(gè)數(shù)據(jù)勒索團(tuán)伙，在攻擊中并未使用勒索軟件，而是通常利用受害公司員工的漏洞來(lái)獲取訪(fǎng)問(wèn)權(quán)限，竊取機(jī)密文件，從而勒索受害企業(yè)。據(jù)信，Lapsus$在世界范圍內(nèi)都有分支機(jī)構(gòu)，根據(jù)Telegram聊天記錄，該團(tuán)伙會(huì)說(shuō)多種語(yǔ)言，包括英語(yǔ)、俄語(yǔ)、土耳其語(yǔ)、德語(yǔ)和葡萄牙語(yǔ)。

Lapsus$在攻擊事件中用到的技術(shù)、策略和程序包括：

● 訪(fǎng)問(wèn)和抓取公司 Microsoft SharePoint 網(wǎng)站，以識(shí)別可能存儲(chǔ)在技術(shù)文檔中的憑據(jù)。

● 訪(fǎng)問(wèn)本地密碼管理器和數(shù)據(jù)庫(kù)以獲取更多憑據(jù)并提升權(quán)限。

● 使用合法的ADExplorer工具對(duì)受害者環(huán)境進(jìn)行偵察。

● 克隆git存儲(chǔ)庫(kù)并提取敏感的 API 密鑰。

● 使用泄露的憑據(jù)訪(fǎng)問(wèn)公司VPN。

● 破壞受害者基礎(chǔ)設(shè)施以阻礙分析。

Lapsus$的攻擊十分高調(diào)，其目標(biāo)主要是電信公司以及科技巨頭。與大多數(shù)“低調(diào)行事”的網(wǎng)絡(luò)犯罪團(tuán)伙不同，Lapsus$似乎沒(méi)有試圖掩蓋其蹤跡，其攻擊及泄露通常都是公開(kāi)的。Lapsus$具有很強(qiáng)大的社交媒體影響力，曾在Telegram 頻道上創(chuàng)建公開(kāi)投票，讓公眾選擇下一個(gè)攻擊或泄露的目標(biāo)。

Lapsus$ 在Telegram發(fā)起的攻擊目標(biāo)投票

3月10日，Lapsus$ 勒索軟件團(tuán)伙還曾高調(diào)招募受雇于主要科技巨頭和 ISP 的內(nèi)部人員，試圖通過(guò)支付報(bào)酬以換取訪(fǎng)問(wèn)權(quán)限。2022年上半年，Lapsus$成功入侵了包括微軟、英偉達(dá)、Okta、三星以及育碧娛樂(lè)在內(nèi)的一些大型企業(yè)。2022年4月后，因陷入被抓捕的危機(jī)，Lapsus$團(tuán)伙暫時(shí)沉寂，但隨后在2022年9月重新出現(xiàn)，對(duì)Uber和Rockstar Games公司展開(kāi)攻擊。

3月底，英國(guó)倫敦警方逮捕了7名涉嫌與Lapsus$黑客組織有關(guān)的青少年，這些少年的年齡在16至21歲之間，其中一名16歲的牛津少年可能是該組織的主謀。據(jù)稱(chēng)，這位青少年以 White 或 Breachbase 的化名，通過(guò)攻擊活動(dòng)獲取了價(jià)值1400萬(wàn)美元的比特幣。4月2日，又有兩名英國(guó)青少年(一名 16 歲，一名 17 歲)因涉嫌與Lapsus$組織有關(guān)而被倫敦市警方逮捕。9月，倫敦警方再次在牛津郡逮捕到一名Lapsus$勒索團(tuán)伙成員--17歲的少年黑客“A.K.”。10月，巴西聯(lián)邦警察在費(fèi)拉德桑塔納逮捕了一名 Lapsus$ 勒索團(tuán)伙成員。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）