执行概要
勒索软件主导着新闻周期,但随着变种的数量不断增长,以及它们背后的僵尸网络,防御者很容易失去对它们之间关系的追踪。在这篇文章中,DomainTools的研究人员介绍了三个最多产的勒索病毒家族以及他们目前使用的加载程序。
Ransom-every-ware
当前的网络安全新闻周期似乎完全被勒索软件场景所主导主要管道中断,肉类供应链陷入停顿以及所有的制造商关闭的同时让他们的网络恢复秩序.勒索软件团伙似乎在增加,新的组织也在增加声称自己与老组织有联系以获得影响力并恐吓他们的受害者付钱。联盟计划在黑客论坛上招募,而最初的访问经纪人在企业网络中销售立足点.如今,勒索软件周围有一个庞大的地下经济正在蓬勃发展。
在所有这些情况下,当检查感染时,随着事件的泛滥,很容易迷失方向。像TrickBot、Ryuk、Dridex、BazarLoader和DoppelPaymer这样的恶意软件家族当然不会让防御者更容易对付。勒索软件团伙或附属组织被混淆与他们的工具名称,使事情更加混乱。与此同时,大多数黑客工具都有导致感染的先导工具,僵尸网络运营商在从网络中获得所需后,出售访问权限或直接与勒索软件组织合作,从他们的分成中抽成。乐动首页这些合作关系乐动首页类似于企业界的合作关系:例如,一个TrickBot感染经常导致Conti或Ryuk勒索软件,或者一个Qakbot感染导致REvil勒索软件。随着新的僵尸网络和组织的兴起和衰落,这些联系和联盟也在发生变化。
通过这篇文章,DomainTools的研究将给出目前的情况,哪些感染会导致什么结果,这些感染的属性,以及如何发现它们。我们将集中讨论三个最多产的勒索软件家族,按受害者数量计算,分别是Conti、Maze(依次是Egregor,后面会详细介绍)和Sodinokibi (REvil),以便让您更好地理解在不断发展的勒索软件新闻周期中所读到的内容。
图片由Allan Liska提供
关于附属机构的重要提醒
DomainTools的研究人员认为有必要提醒读者,所有这些团体都结盟,共享工具,并出售对彼此的访问权。在这个领域没有什么是静态的,即使在一组入侵背后有一个单一的软件,但很可能有几个不同的操作者使用同一勒索软件,并根据他们的设计调整其操作。
许多勒索软件作者运行的附属程序的剧本是设计一个勒索软件,然后以获得的赎金的一定比例出售它。就当它是网络犯罪吧多层次营销方案.通常有一个构建工具,允许附属机构定制勒索软件,以满足他们对特定目标的需求,同时微调软件,以规避标准的静态检测机制。本文的目的不是深入追踪单个附属程序或恶意软件的每个阶段,而只是介绍所使用的软件的顶层及其关系。
最后,我们必须提到,勒索软件的访问权限通常是由初始后门或僵尸网络提供的,通常称为初始访问代理。这些后门,有时被称为远程访问木马(rat),首先由下载程序抛出,下载程序是另一种简单的模糊软件,通常通过带有各种类型的恶意文档的垃圾邮件分发。有时,这些rat病毒和勒索病毒家族背后的人也会通过密码喷涂技术或利用公司网络中暴露的老化系统上可能存在的旧漏洞。我们将在解释中包括这些步骤。
总之,这表明,寻找一个健壮的防御解决方案的问题空间不一定是勒索软件本身,而是通过垃圾邮件活动、暴力攻击和漏洞管理进行初始访问的方法。勒索病毒感染背后的附属机构实际上很少是获得初始访问权的同一实体。
孔蒂
首次观测是在2019年12月,孔蒂被怀疑是由策划了琉克勒索软件,以其快速周期的初始访问勒索病毒感染.像许多组织一样,他们提供勒索软件即服务(RaaS),并有一个泄漏网站,他们利用这个网站对受害者进行双重勒索。而由TrickBot在过去的僵尸网络中,康帝现在经常被看到被分发集市而且IcedID(又名BokBot)。有趣的是,IcedID也被认为是由多产者分发的Emotet这个僵尸网络在过去也传播过TrickBot和Ryuk。所有这些联系让大多数人相信,所有这些恶意软件背后的组织是相互联系并一起工作的。
Conti的独特之处在于当用AES256在美国,该软件使用多线程方法,这使得执行速度比其他恶意软件家族快得多。这可能意味着,当防御者注意到一台机器上的Conti感染时,已经来不及补救了。与Ryuk等较早的组织(自2018年开始运作)的联系,以及能力和速度的提高表明,Conti是这些团伙的下一个迭代软件,也是目前最致命的恶意软件家族。此外,Conti是少数几个有时自己获得初始访问权限的RaaS程序之一,这一事实表明,它比其他一些附属组具有更高的复杂程度。
最后,我们想呼吁Bazar为DomainTools进行的域名特定研究发现的一块独特性。集市使用EmerDNSblockchain-based域。这是一个使用EmerCoin作为区块链的替代域注册,这意味着域不能被删除或天坑因为这是一个完全独立的DNS,不受任何人控制。恶意软件对这些区块链域的使用一直在缓慢上升,并为防御者带来了一个重大问题。
麦子和埃格里格
的迷宫勒索软件集团仍然是最多产的勒索软件附属程序,如此庞大的感染数量,他们仍然存在于所有时间的前十感染,即使附属程序他们于2020年11月宣布退休直到2019年才形成。迷宫,以前因其使用而称为ChaChaChaCha加密算法,也是第一个RaaS开发泄漏点并试图通过双重勒索来让受害者支付赎金——这在当今所有新的勒索软件中都很常见。由于这个原因,我们不能把他们从这个名单上删除,即使他们的大多数附属机构都开始使用Egregor勒索软件,首次出现在2020年9月,在麦子退休后。
麦子使用现成的漏洞工具包,比如影响或者Spelevo和垃圾广告,让下载者安装钴打击信标.Beacon是一种商业化的、功能齐全的RAT病毒,目前几乎在所有的感染链中都能找到它。尽管Cobalt Strike声称是红队和渗透测试人员的工具,但它的功能非常全面,特别是它在Beacon中的模块化指挥和控制,以至于坏演员们毫不留情地使用了该工具。大多数感染链的某个地方都有Beacon的实例,包括上面的Conti。
这里需要注意的是,Egregor勒索软件家族与Maze不同,因为它遵循与Conti类似的模型,在Conti中使用针对RDP(类似Conti)的外部利用以及带有恶意文档的垃圾邮件来丢弃Qakbot(又名Qbot)蠕虫。Qakbot是一种商品恶意软件,从2007年开始使用,在一些地下论坛上可用,并被几个勒索软件家族使用。更糟糕的是,Qakbot在一些感染中被Emotet丢弃,并与Egregor之外的几个勒索病毒家族有关,如ProLock和LockerGoga.Egregor的攻击使用RDP获得了最初的立脚点,这导致一些人相信Egregor的一些附属机构有信心直接破坏网络,而另一些则依赖初始访问经纪人,他们不太擅长利用商品恶意软件。
REvil (Sodinokibi)
的REvil勒索病毒家族首次出现于2019年4月,由于代码相似,被认为是病毒的精神继承者GandCrab这是早期针对消费者的勒索软件变体。与许多其他勒索软件变体类似,REvil在启动时检查计算机的语言区域是否设置为允许的国家,通常是独联体国家(如哈萨克斯坦和俄罗斯)以外的国家。就像其他家族一样,REvil经营着一个泄露网站,他们在那里提供被盗的信息苹果公司的蓝图.
REvil还有许多独特的功能,使恶意软件特别险恶。例如,REvil示例将尝试通过不断向用户发送管理员登录提示信息来升级权限,或者将重新启动到Windows安全模式来加密文件,因为杀毒软件很少在安全模式下运行。该软件还使用自定义封隔器来伪装自己,这使得缺乏才华的反向工程师很难进行分析。与前面讨论的两个家族不同,REvil使用AES或Salsa20受害者文件上的加密算法这是一个有点独特的签名。这些独特的特征和RaaS的成功导致了一些新的帮派,比如普罗米修斯,声称自己是REvil的一部分,以鼓励受害者赔偿。
在传播方面,REvil的附属机构已经被发现使用垃圾邮件活动来传播恶意文件,并利用针对未打补丁机器上的旧漏洞的工具包,最近还通过Qakbot。这种通过Qakbot蠕虫传播的新关系使REvil与过去通过僵尸网络传播的许多其他家族保持一致。鉴于许多勒索软件组织现在行动的速度和涉及的资金,从僵尸网络运营商那里购买进入有价值的受害者网络的权限,对大多数附属机构来说,比单独针对公司更有效。
Ransomware地图
虽然就受害者市场份额而言,前三个家族可能是最突出的,但在快速的新闻周期中,仍有越来越多的勒索软件团伙和家族需要跟踪。这三个家族也让我们得以一窥大多数勒索软件市场就感染载体和链而言是什么样子。以这些为基础,我们在下面提供了一个指南,以帮助理解任何遇到勒索软件的文章。与任何古代地图一样,地图上也有未知的领土(这里有龙)和部分可能从这张地图制作的时候迅速转移。战术和技术改变了,关系也改变了,但从DomainTools研究的角度来看,这是在本文发表时稍微解开的市场。
点击在这里以查看完整的Miro董事会。