信息化觀察網(wǎng)

1.概述

勒索軟件已經(jīng)成為全球企業(yè)和組織面臨的主要網(wǎng)絡(luò)威脅，感染勒索軟件后嚴(yán)重影響企業(yè)和組織的運(yùn)營(yíng)，包括業(yè)務(wù)中斷、數(shù)據(jù)和信息被竊取公開(kāi)售賣。2021年全球制造業(yè)、服務(wù)業(yè)、建筑、金融、能源、醫(yī)療、工控和政府組織機(jī)構(gòu)等頻遭勒索軟件攻擊，給全球產(chǎn)業(yè)產(chǎn)值造成嚴(yán)重?fù)p失。

2021年，安天CERT發(fā)布了多篇勒索軟件分析報(bào)告，在安天《每周典型威脅分析》中發(fā)布了30多篇勒索軟件信息，安天追影產(chǎn)品可對(duì)勒索軟件進(jìn)行準(zhǔn)確的行為鑒定，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱IEP）可實(shí)現(xiàn)對(duì)勒索軟件的精準(zhǔn)查殺，為用戶終端提供有效防護(hù)。

安天CERT將2021年流行的勒索軟件進(jìn)行了梳理，形成家族概覽，進(jìn)行分享。

表1活躍勒索軟件家族及攻擊案例

2.勒索軟件行為分類

2021年的勒索軟件行為主要有以下四類：

1.影響用戶系統(tǒng)

通過(guò)修改磁盤(pán)MBR或設(shè)置鎖屏程序?qū)е掠脩魺o(wú)法正常使用計(jì)算機(jī)。（例如Petya、Ransom Locker和Screen Locker等）

2.破壞數(shù)據(jù)

此類勒索軟件不是加密文件而是用隨機(jī)字符覆寫(xiě)文件，永久性地破壞用戶數(shù)據(jù)。用戶損失多大他們是不在意的，勒索軟件的目的就是為了索要贖金。（例如GermanWiper和Combo13[1]勒索軟件等）

3.加密文件

此類勒索軟件通過(guò)特定加密算法（如AES、RSA、DES和RC4等）組合利用對(duì)文件進(jìn)行加密，大多數(shù)勒索軟件在未得到對(duì)應(yīng)密鑰的解密工具暫時(shí)無(wú)法解密，部分存在算法邏輯錯(cuò)誤導(dǎo)致文件可以解密。（例如Conti[2]和Cring[3]勒索軟件等）

4.竊取文件

此類勒索軟件在發(fā)動(dòng)勒索攻擊前，會(huì)在受害系統(tǒng)內(nèi)潛伏，并竊取數(shù)據(jù)、文件等重要信息；在竊取工作完成后會(huì)發(fā)動(dòng)勒索攻擊，加密系統(tǒng)中的文件；最后通知受害者，重要文件已被竊取，如不按期支付勒索贖金，則會(huì)公開(kāi)竊取到的數(shù)據(jù)文件，給予受害者壓力，從而迫使受害者盡早支付贖金。（例如DarkSide[4]、REvil[5]和Avaddon勒索軟件等）。

3.流行勒索軟件介紹

3.1Avaddon

Avaddon勒索軟件于2019年2月首次被發(fā)現(xiàn)，2020年6月2日，Avaddon組織出現(xiàn)在某俄羅斯暗網(wǎng)論壇，所開(kāi)發(fā)的Avaddon勒索軟件除了供自身使用之外，也通過(guò)提供勒索即服務(wù)（RaaS）謀求外部合作以獲取更大的利益。在安全研究人員于2021年2月發(fā)布了公開(kāi)解密器后，Avaddon組織又迅速組織其合作成員進(jìn)行了更新。從那時(shí)起，通過(guò)研究可以觀察到Avaddon的活動(dòng)不斷激增，其開(kāi)發(fā)者正在積極地為這個(gè)活躍的RaaS平臺(tái)研發(fā)下一代工具。

據(jù)Avaddon組織規(guī)定，不得在獨(dú)聯(lián)體的成員國(guó)分發(fā)勒索軟件，其中包括：俄羅斯聯(lián)邦、白俄羅斯共和國(guó)、摩爾多瓦共和國(guó)、亞美尼亞共和國(guó)、阿塞拜疆共和國(guó)、塔吉克斯坦共和國(guó)、吉爾吉斯斯坦共和國(guó)、哈薩克斯坦共和國(guó)、烏茲別克斯坦共和國(guó)。結(jié)合該Avaddon勒索組織只接受俄語(yǔ)合作方，由此可見(jiàn)Avaddon的攻擊者可能來(lái)自于俄語(yǔ)地區(qū)。除此之外，該勒索軟件面板支持中文顯示，以此說(shuō)明我國(guó)也是該組織的重點(diǎn)攻擊目標(biāo)之一，其次還支持英語(yǔ)、德語(yǔ)、法語(yǔ)、意大利語(yǔ)、西班牙語(yǔ)、葡萄牙語(yǔ)、日語(yǔ)和韓語(yǔ)。

Avaddon于2021年6月宣布關(guān)閉勒索業(yè)務(wù)，并公開(kāi)大量解密秘鑰。Haron（又名Midas）勒索軟件被發(fā)現(xiàn)于2021年7月，由于Avaddon勒索軟件于6月關(guān)閉勒索業(yè)務(wù)，二者勒索信格式內(nèi)容較為相似、Tor網(wǎng)站地址相似和數(shù)據(jù)泄露平臺(tái)頁(yè)面相似，Haron被認(rèn)為是Avaddon勒索軟件的繼承者。通過(guò)釣魚(yú)郵件和漏洞利用進(jìn)行傳播，采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略。

3.1.1家族概覽

表2 Avaddon家族概覽

3.1.2重點(diǎn)案例

攻擊泰國(guó)、馬來(lái)西亞、中國(guó)香港和菲律賓安盛集團(tuán)分公司并竊取3TB敏感數(shù)據(jù)

保險(xiǎn)巨頭安盛集團(tuán)在泰國(guó)、馬來(lái)西亞、中國(guó)香港和菲律賓的分公司遭到了勒索軟件網(wǎng)絡(luò)攻擊。據(jù)媒體報(bào)道，Avaddon勒索軟件集團(tuán)在其泄密網(wǎng)站上稱，他們從安盛亞洲業(yè)務(wù)中竊取了3TB的敏感數(shù)據(jù)。根據(jù)該組織的說(shuō)法，Avaddon獲得的數(shù)據(jù)包括客戶的醫(yī)療報(bào)告、身份證復(fù)印件、銀行賬戶報(bào)表、索賠表格、付款記錄、合同等[6]。

攻擊墨西哥國(guó)家彩票網(wǎng)站并竊取數(shù)據(jù)

Avaddon勒索軟件家族表示，他們成功地對(duì)“Pronosticos Deportivo”進(jìn)行了攻擊，他們聲稱在那里竊取了數(shù)據(jù)，然后對(duì)設(shè)備進(jìn)行了加密。如果談判沒(méi)有在240小時(shí)內(nèi)開(kāi)始，勒索軟件團(tuán)伙威脅還要發(fā)布更多文件和DDoS受害者的網(wǎng)站[7]。

3.2 Babuk（Babyk）

Babuk勒索軟件家族被發(fā)現(xiàn)于2021年初，通過(guò)釣魚(yú)郵件和漏洞利用進(jìn)行傳播。采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略。開(kāi)發(fā)針對(duì)Windows、Linux和VMware的攻擊載荷。7月，Babuk勒索軟件的部分?jǐn)?shù)據(jù)文件被一位組織成員泄露，泄露的源代碼還包含解密密鑰，此后研究人員使用這些密鑰為某些特定版本創(chuàng)建免費(fèi)解密工具。泄露的內(nèi)容中包含創(chuàng)建勒索軟件的所有內(nèi)容。10月，新版本使用了ProxyShell，這是一組Microsoft Exchange漏洞（CVE-2021-34473、CVE-2021-34523和CVE-2021-31207），可以連接在一起以繞過(guò)身份驗(yàn)證并以特權(quán)用戶身份執(zhí)行代碼。

3.2.1家族概覽

表3 Babuk（Babyk）家族概覽

3.2.2重點(diǎn)案例

攻擊美國(guó)哥倫比亞特區(qū)警察局并竊取250G機(jī)密文件

Babuk locker團(tuán)伙在暗網(wǎng)上發(fā)帖稱，他們已經(jīng)破壞了警察局的網(wǎng)絡(luò)，并竊取了250GB的未加密文件。該小組共享的屏幕截圖，包括各種文件夾，其中包含調(diào)查報(bào)告，逮捕，紀(jì)律處分和其他情報(bào)簡(jiǎn)報(bào)。攻擊者給了三天的時(shí)間來(lái)滿足他們的贖金要求，并威脅他們?nèi)绻麤](méi)有收到贖金就泄露數(shù)據(jù)[8]。

攻擊美國(guó)NBA休斯頓火箭隊(duì)并竊取超過(guò)550GB數(shù)據(jù)

Babuk網(wǎng)絡(luò)犯罪團(tuán)伙在其勒索網(wǎng)站上發(fā)布的一篇帖子上，曝光了一份據(jù)稱來(lái)自于火箭隊(duì)網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)和文件，不過(guò)目前這篇帖子已經(jīng)被刪除了。Babuk網(wǎng)絡(luò)犯罪團(tuán)伙聲稱，他們已經(jīng)刪除了相關(guān)500GB數(shù)據(jù)，其中包括NBA休斯頓火箭隊(duì)的第三方合同公司、客戶、員工和財(cái)務(wù)信息[9]。

3.3 Clop

Clop勒索軟件家族被發(fā)現(xiàn)于2019年2月，屬于CryptoMix勒索軟件變種，加密文件后綴名為“.clop”。據(jù)Clop勒索軟件家族背后的攻擊者宣稱，他們的攻擊目標(biāo)不是個(gè)人用戶而是企業(yè)。2020年3月，Clop勒索軟件家族首次在暗網(wǎng)中啟用泄露數(shù)據(jù)站點(diǎn)，用于發(fā)布受害者信息以便實(shí)施雙重勒索攻擊。目前，該站點(diǎn)至今依舊處于活躍狀態(tài)，相繼泄露了大量在受害者企業(yè)中竊取的數(shù)據(jù)，對(duì)全球造成了嚴(yán)重的數(shù)據(jù)泄露。在2021年上半年，Clop成為最活躍的勒索軟件組織之一，被該家族攻擊后，會(huì)部署橫向滲透和遠(yuǎn)控工具等，對(duì)目標(biāo)內(nèi)網(wǎng)進(jìn)行滲透，并感染更多的機(jī)器。該勒索軟件被用于有針對(duì)性的攻擊中，通過(guò)釣魚(yú)郵件、漏洞利用或遠(yuǎn)程桌面協(xié)議（RDP）暴力破解進(jìn)行傳播。采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略。

3.3.1家族概覽

表4 Clop家族概覽

3.3.2重點(diǎn)案例

攻擊英國(guó)警方并竊取1300萬(wàn)條信息和記錄

2021年10月，Clop勒索軟件獲得了Dacoll Limited公司管理的數(shù)據(jù)訪問(wèn)權(quán)限，竊取了1300萬(wàn)人的個(gè)人信息和記錄。被盜文件包括從國(guó)家自動(dòng)車牌識(shí)別(ANPR)系統(tǒng)中竊取的駕駛者圖像、鏡頭以及犯有交通違法行為的駕駛員面部特寫(xiě)圖像等[10]。

攻擊德國(guó)軟件公司Software AG并竊取數(shù)據(jù)索要2000萬(wàn)美元贖金

2021年10月，Clop勒索軟件運(yùn)營(yíng)商攻擊德國(guó)最大的軟件公司之一Software AG并索要2000萬(wàn)美元贖金，由于價(jià)格和安全方面的考慮，第一次談判失敗后，Clop團(tuán)伙在泄密網(wǎng)站公布了顯示Software AG數(shù)據(jù)的屏幕截圖，包括員工ID掃描件、員工電子郵件、財(cái)務(wù)文件和目錄[11]。

3.4 Conti

Conti勒索軟件家族被發(fā)現(xiàn)于2019年，其背后的攻擊組織在地下論壇以RaaS（勒索軟件即服務(wù)）形式運(yùn)營(yíng)，并廣泛招收附屬成員。自2020年5月開(kāi)始，攻擊活動(dòng)逐漸增多，持續(xù)活躍至今。該勒索軟件主要通過(guò)釣魚(yú)郵件、利用其他惡意軟件、漏洞利用和遠(yuǎn)程桌面協(xié)議（RDP）暴力破解進(jìn)行傳播，組合利用多種工具實(shí)現(xiàn)內(nèi)網(wǎng)橫向移動(dòng)，2021年12月Log4j被曝漏洞（CVE-2021-44228）后，Conti勒索軟件運(yùn)營(yíng)者開(kāi)始利用存在Log4j漏洞的VMWare vCenter進(jìn)行橫向移動(dòng)。2020年7月利用匿名化Tor建立贖金支付與數(shù)據(jù)泄露平臺(tái)，采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略。

安天CERT通過(guò)關(guān)聯(lián)分析發(fā)現(xiàn)，該組織同運(yùn)營(yíng)Ryuk勒索軟件的Wizard Spider組織分支機(jī)構(gòu)Grim Spider存在一定關(guān)系。結(jié)合Ryuk勒索軟件攻擊活躍度逐漸降低，二者使用的攻擊工具部分相同，攻擊載荷代碼段相似，都曾利用TrickBot、Emotet、IcedID和BazarLoader等木馬程序進(jìn)行傳播等多種原因，安天CERT推測(cè)Conti勒索軟件將成為Ryuk勒索軟件的繼承者。

Conti勒索軟件通過(guò)Tor建立網(wǎng)站，發(fā)布受害者信息及竊取到的數(shù)據(jù)文件。自其于2020年7月29日公布第一個(gè)受害者信息以來(lái)，截至2021年12月15日，共計(jì)公布了631個(gè)受害者信息，其中，2021年在全球范圍內(nèi)影響了超過(guò)470個(gè)組織機(jī)構(gòu)。據(jù)安天CERT統(tǒng)計(jì)，2021年11月1日至12月15日，被公開(kāi)的受害者數(shù)量為90個(gè)，且可能存在未被公開(kāi)的受害者。受害者所屬國(guó)家主要集中于美國(guó)、意大利、德國(guó)、澳大利亞和法國(guó)，所屬行業(yè)涉及制造、服務(wù)、建筑、金融、能源、醫(yī)療和政府組織機(jī)構(gòu)。我國(guó)也有被公開(kāi)的受害者[2]。

3.4.1家族概覽

表5 Conti家族概覽

3.4.2重點(diǎn)案例

攻擊愛(ài)爾蘭衛(wèi)生服務(wù)執(zhí)行局并竊取700GB敏感文件

2021年5月14日，愛(ài)爾蘭衛(wèi)生服務(wù)執(zhí)行局（HSE）遭受Conti勒索軟件攻擊，導(dǎo)致多家醫(yī)院的服務(wù)取消和中斷。Conti勒索軟件攻擊者聲稱從HSE竊取了700GB的未加密文件，包括患者信息和員工信息、合同、財(cái)務(wù)報(bào)表、工資單等。愛(ài)爾蘭總理表示，他們拒絕向Conti勒索軟件背后的攻擊組織支付2000萬(wàn)美元的贖金[12]。

攻擊美國(guó)俄克拉荷馬州塔爾薩市并竊取18000多份敏感文件

美國(guó)俄克拉荷馬州塔爾薩市在5月遭受Conti勒索軟件攻擊，這次攻擊破壞了塔爾薩市的在線賬單支付系統(tǒng)、公用事業(yè)賬單系統(tǒng)和電子郵件系統(tǒng)。Conti勒索軟件背后的攻擊組織聲稱對(duì)此負(fù)責(zé)并表示已經(jīng)公開(kāi)竊取到的18938份文件[13]。

攻擊日本電子產(chǎn)品供應(yīng)商并竊取1.5TB數(shù)據(jù)

9月22日，總部位于日本的跨國(guó)電子產(chǎn)品供應(yīng)商JVCKenwood遭受Conti勒索軟件攻擊，攻擊者聲稱竊取了1.5TB的數(shù)據(jù)并要求支付700萬(wàn)美元的贖金[14]。

攻擊英國(guó)倫敦高端珠寶商并竊取大量名人、政治家和國(guó)家元首數(shù)據(jù)文件

總部位于英國(guó)倫敦的高端珠寶商Graff在10月遭受Conti勒索軟件攻擊，被竊取文件中包含眾多名人、政治家和國(guó)家元首的數(shù)據(jù)文件[15]。該起事件的攻擊組織在其Tor網(wǎng)站上發(fā)布了數(shù)萬(wàn)份文件，迫于政治壓力，11月4日該組織發(fā)表聲明，任何與沙特阿拉伯、阿聯(lián)酋和卡塔爾家庭成員有關(guān)的信息將被刪除，并向穆罕默德·本·薩勒曼王子殿下和其他所有王室成員致歉[16]。

3.5 DarkSide（更名BlackMatter）

DarkSide組織開(kāi)發(fā)的勒索軟件于2020年8月首次出現(xiàn)，擁有RaaS（勒索軟件即服務(wù)）模式，即除DarkSide自運(yùn)營(yíng)外，還存在其他的合作組織。DarkSide勒索軟件采用多線程等技術(shù)加密，加密文件速度相比其他勒索軟件更快速，即加密相同文件的用時(shí)較少。采用“RSA1024+Salsa20”算法加密文件，可以感染W(wǎng)indows和Linux系統(tǒng)。該組織在暗網(wǎng)論壇上非?；钴S。DarkSide采用“竊密+勒索”的組合形式對(duì)受害者發(fā)起攻擊，這意味著攻擊者不僅加密用戶數(shù)據(jù)，而且還會(huì)竊取用戶數(shù)據(jù)信息，并威脅如果不支付贖金就將其數(shù)據(jù)公開(kāi)。DarkSide組織于2020年8月10日在其暗網(wǎng)論壇中聲明，根據(jù)他們的原則，不會(huì)攻擊以下目標(biāo)：醫(yī)療行業(yè)、殯葬行業(yè)、教育行業(yè)、非營(yíng)利性組織和政府機(jī)構(gòu)。

通過(guò)收集有關(guān)受害者的信息，據(jù)對(duì)DarkSide勒索軟件受害者的數(shù)據(jù)統(tǒng)計(jì)，平均的勒索贖金需求大概為650萬(wàn)美元左右，平均業(yè)務(wù)停機(jī)時(shí)間為5天。DarkSide勒索軟件的攻擊者已經(jīng)利用了CDN服務(wù)器，用于存儲(chǔ)和交付從受害者那里竊取的受害數(shù)據(jù)。數(shù)據(jù)被泄漏后，將被上傳到其CDN中的服務(wù)器，這些服務(wù)器被用作攻擊者的勒索工具。根據(jù)DarkSide組織在2020年8月起在暗網(wǎng)公開(kāi)泄露的數(shù)據(jù)進(jìn)行整理發(fā)現(xiàn)，截至目前為止共計(jì)82家企業(yè)遭遇該勒索家族的攻擊，其中包括法律、金融、建筑、醫(yī)療、能源等行業(yè)。每個(gè)月平均都會(huì)公布十幾家企業(yè)的泄露數(shù)據(jù)。

3.5.1家族概覽

表6 DarkSide家族概覽

3.5.2重點(diǎn)案例

攻擊美國(guó)成品油管道運(yùn)營(yíng)商Colonial Pipeline公司并竊取數(shù)據(jù)

2021年5月7日，美國(guó)最大成品油管道運(yùn)營(yíng)商Colonial Pipeline公司遭到Conti勒索軟件攻擊，該起攻擊導(dǎo)致美國(guó)東部沿海主要城市輸送油氣的管道系統(tǒng)被迫下線。在DarkSide組織無(wú)法通過(guò)SSH訪問(wèn)服務(wù)器的前一天，美國(guó)總統(tǒng)拜登在白宮新聞發(fā)布會(huì)上聲稱將追捕DarkSide組織，據(jù)Exploit暗網(wǎng)論壇名為UNKN的用戶發(fā)帖稱，受執(zhí)法行動(dòng)影響，DarkSide已經(jīng)無(wú)法訪問(wèn)其數(shù)據(jù)泄露服務(wù)器、贖金支付服務(wù)器和CDN服務(wù)器。自2021年7月出現(xiàn)以來(lái)，更名后的DarkSide勒索軟件攻擊多個(gè)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施實(shí)體，包括兩個(gè)美國(guó)食品和農(nóng)業(yè)部門(mén)組織，并要求以比特幣和門(mén)羅幣支付8萬(wàn)美元到1500萬(wàn)美元不等的贖金。該勒索軟件組織于十一月發(fā)出公告，聲稱迫于當(dāng)局壓力和一些無(wú)法解決的問(wèn)題，選擇停止運(yùn)營(yíng)。

3.6 DoppelPaymer（更名Grief）

DoppelPaymer勒索軟件組織自2019年六月份以來(lái)一直活躍至今，還涉及了一系列惡意勒索活動(dòng)，其中就包括美國(guó)德克薩斯州埃德庫(kù)奇市和智利的農(nóng)業(yè)部的襲擊事件。但DoppelPaymer的早期版本在2019年4月就已發(fā)布，早期版本相比后續(xù)版本缺乏很多新功能，因此目前尚不清楚是否只是為了測(cè)試而構(gòu)造的這些版本。實(shí)際上，早在去年的十一月份，微軟安全響應(yīng)中心（MSRC）就已經(jīng)發(fā)布公告提醒廣大客戶DoppelPaymer勒索軟件的威脅，并提供了相關(guān)威脅的有用信息。據(jù)有關(guān)安全研究專家表示，另一家不愿透露身份的安全公司曾提到過(guò)，DoppelPaymer勒索軟件運(yùn)營(yíng)商的總部就設(shè)立在俄羅斯。

DoppelPaymer其實(shí)是BitPaymer勒索軟件的一類新變種，并將其命名為DoppelPaymer。DoppelPaymer與BitPaymer大部分代碼是相同的，不過(guò)也存在許多差異。BitPaymer之前一直由INDRIK SPIDER組織運(yùn)營(yíng)，這個(gè)轉(zhuǎn)變可能意味著INDRIK SPIDER有成員出走，并自行將Dridex銀行木馬和BitPaymer融合到了一起，開(kāi)啟了專屬于自己的犯罪道路。

DoppelPaymer是BitPaymer勒索軟件的繼承者，在一段時(shí)間幾乎沒(méi)有活動(dòng)之后，DoppelPaymer勒索軟件業(yè)務(wù)進(jìn)行了品牌重塑，現(xiàn)在更名為Grief。從2020年2月開(kāi)始，DoppelPaymer背后的惡意行為者啟動(dòng)了一個(gè)數(shù)據(jù)泄漏站點(diǎn)。然后作為勒索軟件勒索計(jì)劃的一部分，他們通過(guò)在數(shù)據(jù)泄漏站點(diǎn)上發(fā)布被盜文件來(lái)威脅受害者。2021年5月17日發(fā)現(xiàn)了一個(gè)早期的Grief勒索軟件樣本。包含Grief勒索軟件代碼和贖金說(shuō)明，但贖金說(shuō)明中的鏈接指向DoppelPaymer贖金門(mén)戶。

3.6.1 INDRIK SPIDER起源

INDRIK SPIDER是一個(gè)復(fù)雜的網(wǎng)絡(luò)犯罪組織，該組織自2014年6月以來(lái)就一直在運(yùn)營(yíng)Dridex銀行木馬。在2015年和2016年，Dridex是全世界違法收益最高的銀行木馬之一。自2014年以來(lái)，INDRIK SPIDER已經(jīng)通過(guò)該木馬獲得數(shù)百萬(wàn)美元的非法利潤(rùn)。經(jīng)過(guò)多年的運(yùn)營(yíng)，目前Dridex已經(jīng)進(jìn)行了多次更新，變得更加復(fù)雜和專業(yè)，同時(shí)在惡意軟件中添加了新的反分析功能。

隨著時(shí)間的推移，INDRIK SPIDER在其主營(yíng)業(yè)務(wù)——電匯欺詐中也變得不再順風(fēng)順?biāo)?015年INDRIK SPIDER的化名“Smilex”被捕，之后英國(guó)執(zhí)法部門(mén)也采取了行動(dòng)，旨在瓦解INDRIK SPIDER在Dridex活動(dòng)中的洗錢(qián)網(wǎng)絡(luò)，與此同時(shí)，一名幫助他們建立虛假賬戶的英國(guó)銀行雇員也被抓捕入獄。

由于這些阻礙，INDRIK SPIDER在2017年改變了他們的操作方式，只進(jìn)行規(guī)模較小的Dridex分發(fā)活動(dòng)。2017年8月，該組織又引入了BitPaymer勒索軟件，并開(kāi)始專注于這類高額贖金的勒索行為。

3.6.2 BitPaymer起源

BitPaymer于2017年8月首次發(fā)現(xiàn)，首版的勒索信包含了贖金要求和基于TOR支付的網(wǎng)站鏈接，有標(biāo)題“Bit paymer”、用戶ID、比特幣（BTC）錢(qián)包和聯(lián)系電子郵件地址；而后不到一個(gè)月，勒索信中就不再包含贖金金額；到了2018年7月，支付網(wǎng)站的鏈接也被刪除了；再之后到現(xiàn)在，勒索信中就只剩下了兩封用于協(xié)商的聯(lián)系郵件地址。

除了上述變動(dòng)之外，BitPaymer還更新為使用AES-256的CBC（密碼塊鏈接）模式，以及隨機(jī)生成的密鑰和NULL初始化向量來(lái)加密（以前版本的BitPaymer使用的是128位RC4）。

由于AES是塊密碼，在數(shù)據(jù)不是塊大小的倍數(shù)的情況下需要對(duì)其填充，通常是通過(guò)添加零或n次填充來(lái)實(shí)現(xiàn)。但是，INDRIK SPIDER選擇用隨機(jī)生成的n個(gè)字節(jié)來(lái)填充，也就是說(shuō)必須知道這些隨機(jī)填充的字節(jié)才能正確解密文件的最后一個(gè)數(shù)據(jù)塊。這反映在勒索說(shuō)明的新字段TAIL中，其中包含Base64編碼的TAIL和加密的AES KEY。

3.6.3家族概覽

表7 DoppelPaymer家族概覽

3.6.4重點(diǎn)案例

攻擊美國(guó)紐約康復(fù)支持服務(wù)（RSS）并竊取敏感數(shù)據(jù)

2021年9月10日，Rehabilitation Support Services,Inc.(RSS)發(fā)布聲明稱6月份的攻擊活動(dòng)可能導(dǎo)致部分現(xiàn)任及前任員工信息受到影響，姓名、地址、出生日期、社會(huì)安全號(hào)碼、健康保險(xiǎn)信息、醫(yī)療診斷及治療等信息可能遭到未授權(quán)的訪問(wèn)，疑似發(fā)生泄露[17]。

攻擊美國(guó)全國(guó)步槍協(xié)會(huì)并竊取敏感數(shù)據(jù)

2021年10月，美國(guó)全國(guó)步槍協(xié)會(huì)（NRA）遭受Grief勒索軟件攻擊，該組織在其泄密網(wǎng)站上展示了包含美國(guó)稅務(wù)信息和投資金額的Excel電子表格的屏幕截圖，包含NRA的撥款申請(qǐng)[18]。

3.7 LockBit 2.0

LockBit勒索軟件家族被發(fā)現(xiàn)于2019年9月，2021年6月發(fā)布了2.0版本，通過(guò)釣魚(yú)郵件、利用其他惡意軟件、漏洞利用和遠(yuǎn)程桌面協(xié)議（RDP）暴力破解進(jìn)行傳播。其背后組織成員聲稱Lockbit2.0勒索軟件和Stealbit信息竊取程序在加密文件和竊取數(shù)據(jù)方面是如今市面上速度最快的，并且與LockBit在2019年的版本功能對(duì)比，添加了Active Directory(AD)組策略對(duì)跨Windows域的設(shè)備進(jìn)行自動(dòng)加密功能。LockBit 2.0是一款新型的勒索軟件，使用勒索軟件即服務(wù)（RaaS）模式。目前，該惡意軟件已被用于針對(duì)全球多個(gè)行業(yè)的勒索軟件攻擊。采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略，在此基礎(chǔ)上，于2021年8月增加了DDoS攻擊威脅，構(gòu)成三重勒索。

3.7.1家族概覽

表8 LockBit 2.0家族概覽

3.7.2重點(diǎn)案例

攻擊泰國(guó)曼谷航空公司并竊取200GB數(shù)據(jù)

2021年8月，LockBit勒索軟件組織竊取了超過(guò)200GB曼谷航空公司數(shù)據(jù)，并在其泄密網(wǎng)站上發(fā)布了一條消息，威脅說(shuō)如果曼谷航空不支付贖金，就會(huì)泄露竊取數(shù)據(jù)，消息還顯示他們有更多的數(shù)據(jù)要泄露。調(diào)查顯示，泄露的數(shù)據(jù)可能包括乘客姓名、姓氏、國(guó)籍、性別、電話號(hào)碼、電子郵件、地址、聯(lián)系信息、護(hù)照信息、歷史旅行信息、部分信用卡信息和特殊膳食信息[19]。

攻擊愛(ài)爾蘭IT咨詢公司埃森哲并竊取超過(guò)6TB數(shù)據(jù)

2021年8月，全球IT咨詢巨頭埃森哲遭受了來(lái)自LockBit團(tuán)伙的攻擊。埃森哲事件中LockBit勒索團(tuán)伙聲稱竊取了埃森哲超過(guò)6TB的數(shù)據(jù)，要求埃森哲支付5000萬(wàn)美元（約3.2億人民幣）作為贖金。倒計(jì)時(shí)結(jié)束后，勒索軟件團(tuán)伙立即發(fā)布了由2384項(xiàng)組成的一小部分被盜數(shù)據(jù)。泄露的文件包括據(jù)稱從公司竊取的PDF文件，這些文件作為一般營(yíng)銷材料出現(xiàn)[20]。

3.8 Ragnar Locker

Ragnar Locker勒索軟件家族被發(fā)現(xiàn)于2019年12月底，通過(guò)暗網(wǎng)中購(gòu)買的憑據(jù)、釣魚(yú)郵件、漏洞利用和遠(yuǎn)程桌面協(xié)議（RDP）暴力破解進(jìn)行傳播。使用特制的虛擬機(jī)映像執(zhí)行有效載荷，以規(guī)避反病毒軟件的檢測(cè)。Ragnar Locker團(tuán)隊(duì)一直都是手動(dòng)投遞載荷的方式將勒索軟件投遞到目標(biāo)系統(tǒng)，并對(duì)目標(biāo)系統(tǒng)的文件數(shù)據(jù)進(jìn)行加密。他們前期會(huì)花費(fèi)大量時(shí)間進(jìn)行網(wǎng)絡(luò)偵察活動(dòng)，然后嘗試識(shí)別目標(biāo)用戶、組織或企業(yè)內(nèi)的網(wǎng)絡(luò)資源、數(shù)據(jù)備份以及其他的敏感文件，并在竊取到這些數(shù)據(jù)之后對(duì)數(shù)據(jù)進(jìn)行完整加密。除了公布數(shù)據(jù)以外，Ragnar Locker勒索軟件家族還表示，如果被攻擊企業(yè)想要聘用職業(yè)談判官來(lái)跟他們交涉的話，鑒于這些談判官通常就職于警方/FBI/政府調(diào)查部門(mén)下屬的數(shù)據(jù)恢復(fù)公司，甚至本身就是政府雇員，他們的介入只會(huì)讓數(shù)據(jù)恢復(fù)的過(guò)程變得更加復(fù)雜和困難。因此，一旦受害者聯(lián)系數(shù)據(jù)恢復(fù)專家嘗試解密數(shù)據(jù)，或試圖協(xié)商贖金，他們同樣會(huì)把數(shù)據(jù)泄露出來(lái)。

3.8.1家族概覽

表9 Ragnar Locker家族概覽

3.8.2重點(diǎn)案例

攻擊中國(guó)臺(tái)灣威剛內(nèi)存和固態(tài)硬盤(pán)制造商并竊取1.5TB數(shù)據(jù)

2021年6月，因威剛拒絕支付贖金，勒索團(tuán)伙Ragnar Locker已經(jīng)將700多GB的威剛數(shù)據(jù)公布在網(wǎng)上。這些數(shù)據(jù)是以13個(gè)受密碼保護(hù)的檔案形式上傳的。Ragnar Locker在存儲(chǔ)平臺(tái)MEGA上發(fā)布了元數(shù)據(jù)檔案，最大的文檔接近300GB。從檔案名稱來(lái)看，可能包含財(cái)務(wù)信息、保密協(xié)議等類型的詳細(xì)信息。該組織還發(fā)布了幾張截圖證明其持有的威剛數(shù)據(jù)[21]。

攻擊葡萄牙跨國(guó)能源公司并竊取10TB數(shù)據(jù)

EDP北美可再生能源公司（EDPR NA）證實(shí)，其母公司葡萄牙跨國(guó)能源巨頭葡萄牙能源公司（EDP）受到Ragnar Locker勒索軟件攻擊。攻擊者要求EDP Group支付1580比特幣（約合1000萬(wàn)美元）的贖金購(gòu)買解密器，并停止泄露據(jù)稱從該組織服務(wù)器竊取的10TB數(shù)據(jù)對(duì)公眾。根據(jù)EDP加密系統(tǒng)上的贖金記錄，攻擊者能夠竊取有關(guān)賬單、合同、交易、客戶和合作伙伴的機(jī)密信息[22]。

3.9 RansomEXX

RansomEXX勒索軟件也稱Defray777和Target777，于2017年首次被發(fā)現(xiàn)。它是第一個(gè)具有適用于Windows和Linux兩個(gè)版本可執(zhí)行文件的勒索軟件，Windows版本加密所有文件，Linux版本僅加密特定目錄文件，可通過(guò)命令行參數(shù)進(jìn)行指定。從2020年底到整個(gè)2021年，RansomEXX不僅加密目標(biāo)系統(tǒng)文件，也開(kāi)始竊取目標(biāo)系統(tǒng)數(shù)據(jù)，將竊取的數(shù)據(jù)公布在暗網(wǎng)上。RansomEXX與威脅組織PyXie存在一定關(guān)聯(lián)，并針對(duì)醫(yī)療保健、教育、制造、政府、建筑和工程以及高科技等行業(yè)，常見(jiàn)被攻擊國(guó)家是美國(guó)、加拿大、澳大利亞、日本、法國(guó)和巴西。在2020年2月至10月期間，RansomEXX通過(guò)惡意軟件Trickbot和IcedID進(jìn)行分發(fā)。通過(guò)釣魚(yú)郵件、漏洞利用和遠(yuǎn)程桌面協(xié)議（RDP）暴力破解進(jìn)行傳播，采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略。

3.9.1家族概覽

表10 RansomEXX家族概覽

3.9.2重點(diǎn)案例

攻擊中國(guó)臺(tái)灣計(jì)算機(jī)硬件供應(yīng)商技嘉并竊取112GB數(shù)據(jù)

RansomExx勒索軟件團(tuán)伙的成員在他們的暗網(wǎng)門(mén)戶網(wǎng)站上發(fā)布了技嘉公司遭入侵說(shuō)明，如果受害者不予合作，RansomExx也會(huì)選擇在這里公布對(duì)方的敏感數(shù)據(jù)。攻擊者在暗網(wǎng)表示：“我們已經(jīng)下載112GB的文件，并隨時(shí)準(zhǔn)備公布。其中大部分屬于須遵守保密協(xié)議的數(shù)據(jù)（涉及英特爾、AMD與American Megatrends）[23]。

攻擊厄瓜多爾國(guó)營(yíng)企業(yè)CNT并竊取190GB數(shù)據(jù)

2021年7月，厄瓜多爾的國(guó)營(yíng)企業(yè)Corporación Nacional de Telecomunicación(CNT)遭受勒索軟件攻擊，導(dǎo)致業(yè)務(wù)運(yùn)營(yíng)、支付門(mén)戶和客戶支持中斷。研究人員了解到這次攻擊是由名為RansomEXX的勒索軟件團(tuán)伙造成的，研究人員分享了該團(tuán)伙的數(shù)據(jù)泄露站點(diǎn)的隱藏鏈接，該鏈接警CNT，如果不支付贖金，該團(tuán)伙將泄露在攻擊期間竊取的數(shù)據(jù)[24]。

3.10 REvil（Sodinokibi）

該勒索軟件家族被發(fā)現(xiàn)于2019年，其背后的攻擊組織在地下論壇以RaaS（勒索軟件即服務(wù)）形式運(yùn)營(yíng)，通過(guò)關(guān)聯(lián)對(duì)比分析發(fā)現(xiàn)其為GandCrab勒索軟件繼承者，通過(guò)釣魚(yú)郵件、漏洞利用和遠(yuǎn)程桌面協(xié)議（RDP）暴力破解進(jìn)行傳播。2019年6月，安天在《勒索軟件Sodinokibi運(yùn)營(yíng)組織的關(guān)聯(lián)分析》報(bào)告[25]中提到，該勒索組織是一個(gè)不斷套用、利用其他現(xiàn)有惡意工具作為攻擊載體，傳播勒索軟件、挖礦木馬以及竊密程序的具有一定規(guī)模的黑產(chǎn)組織，并在全球范圍內(nèi)實(shí)施普遍性、非針對(duì)性勒索、挖礦、竊密攻擊。自2019年以來(lái)，REvil勒索組織采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略。安天CERT認(rèn)為L(zhǎng)V勒索軟件出現(xiàn)于2020年末，二者在代碼結(jié)構(gòu)和勒索信格式上較為相似，被認(rèn)為是REvil勒索軟件的繼承者。

3.10.1家族概覽

表11 REvil（Sodinokibi）家族概覽

3.10.2重點(diǎn)案例

攻擊60家托管服務(wù)商和1500多家企業(yè)并索要7000萬(wàn)美元贖金

2021年7月，該勒索組織發(fā)動(dòng)了迄今為止規(guī)模最大的一次攻擊，利用Kaseya VSA遠(yuǎn)程管理平臺(tái)中的零日漏洞，加密了大約60家托管服務(wù)提供商和1500多家企業(yè)，并索要高達(dá)7000萬(wàn)美元的贖金。本次事件引起了國(guó)際執(zhí)法部門(mén)的關(guān)注，該勒索組織可能出于被逮捕的擔(dān)憂，于2021年7月13日關(guān)閉了支付網(wǎng)站、數(shù)據(jù)泄露網(wǎng)站等基礎(chǔ)設(shè)施。自2021年2月以來(lái)，共計(jì)逮捕了7名涉嫌參與勒索軟件攻擊事件的REvil組織成員，從FTX加密交易交易所沒(méi)收了610萬(wàn)美元的資產(chǎn)[26]。

攻擊美國(guó)肉食品加工商JBS并竊取數(shù)據(jù)

2021年5月，攻擊者攻擊了支持JBS食品公司北美和澳大利亞IT系統(tǒng)的多臺(tái)服務(wù)器，JBS被迫關(guān)閉其部分食品生產(chǎn)站點(diǎn)。JBS向攻擊者支付了1100萬(wàn)美元贖金，以防止他們被盜的數(shù)據(jù)被公開(kāi)泄露并緩解可能出現(xiàn)的技術(shù)問(wèn)題[27]。

參考資料

[1]破壞而非加密文件的勒索軟件Combo13分析

https://www.antiy.cn/research/notice&report/research_report/20210517.html

[2]Conti勒索軟件分析報(bào)告

https://www.antiy.cn/research/notice&report/research_report/20211220.html

[3]針對(duì)工控的勒索軟件Cring樣本分析

https://www.antiy.cn/research/notice&report/research_report/20210528.html

[4]關(guān)于美燃油管道商遭勒索攻擊事件樣本與跟進(jìn)分析

https://www.antiy.cn/research/notice&report/research_report/20210511.html

[5]Sodinokibi/REvil勒索組織近期活動(dòng)梳理與最新樣本分析

https://www.antiy.cn/research/notice&report/research_report/20210918.html

[6]保險(xiǎn)公司AXA在放棄對(duì)贖金支付的支持后受到勒索軟件的打擊

https://www.bleepingcomputer.com/news/security/insurer-axa-hit-by-ransomware-after-dropping-support-for-ransom-payments/

[7]在勒索軟件DDoS威脅后，墨西哥封鎖了國(guó)家彩票網(wǎng)站

https://www.bleepingcomputer.com/news/security/mexico-walls-off-national-lottery-sites-after-ransomware-ddos-threat/

[8]勒索軟件團(tuán)伙泄露數(shù)據(jù)后，哥倫比亞特區(qū)警方確認(rèn)網(wǎng)絡(luò)攻擊

https://www.bleepingcomputer.com/news/security/dc-police-confirms-cyberattack-after-ransomware-gang-leaks-data/

[9]Babuk勒索軟件攻擊NBA休斯頓火箭隊(duì)

https://www.cybersecurity-insiders.com/babuk-ransomware-attack-on-nba-houston-rockets/

[10]Clop勒索軟件團(tuán)伙正在泄露英國(guó)警方的機(jī)密數(shù)據(jù)

https://securityaffairs.co/wordpress/125792/cyber-crime/clop-ransomware-uk-police.html

[11]Clop勒索軟件攻擊后發(fā)布的Software AG數(shù)據(jù)

https://threatpost.com/software-ag-data-clop-ransomware/160042/

[12]系統(tǒng)遭到Conti勒索軟件團(tuán)伙攻擊后，愛(ài)爾蘭健康服務(wù)執(zhí)行局(HSE)拒絕支付2000萬(wàn)美元的贖金要求

https://securityaffairs.co/wordpress/118001/cyber-crime/ireland-health-service-executive-conti-ransomware.html

[13]塔爾薩警方稱，在Conti勒索軟件攻擊后，在暗網(wǎng)泄露了18000個(gè)包含市民信息的文件

https://www.zdnet.com/article/tulsa-warns-residents-that-police-citations-and-reports-leaked-to-dark-web-after-conti-ransomware-attack/

[14]JVCKenwood被Conti勒索軟件攻擊，聲稱竊取了1.5TB數(shù)據(jù)

https://www.bleepingcomputer.com/news/security/jvckenwood-hit-by-conti-ransomware-claiming-theft-of-15tb-data/

[15]Conti Group在對(duì)珠寶商進(jìn)行贖金攻擊后泄露名人數(shù)據(jù)

https://www.infosecurity-magazine.com/news/conti-leak-celebs-data-ransom/

[16]Conti致歉聲明

https://pastebin.com/eeLNnAG0

[17]康復(fù)支持服務(wù)將IT安全事件通知現(xiàn)任和前任員工及客戶

https://www.prnewswire.com/news-releases/rehabilitation-support-services-notifies-current-and-former-employees-and-clients-of-it-security-incident-301373523.html

[18]Grief勒索軟件團(tuán)伙襲擊了美國(guó)全國(guó)步槍協(xié)會(huì)(NRA)

https://securityaffairs.co/wordpress/123849/cyber-crime/grief-ransomware-hit-nra.html

[19]LockBit勒索軟件運(yùn)營(yíng)商泄露了屬于曼谷航空公司的200GB數(shù)據(jù)

https://securityaffairs.co/wordpress/121702/data-breach/lockbit-gang-bangkok-airways.html

[20]LockBit 2.0勒索軟件攻擊埃森哲

https://cybernews.com/security/the-lockbit-2-0-ransomware-attack-against-accenture-time-is-running-out/

[21]威剛在Ragnar Locker勒索軟件攻擊中泄露700 GB數(shù)據(jù)

https://www.bleepingcomputer.com/news/security/adata-suffers-700-gb-data-leak-in-ragnar-locker-ransomware-attack/

[22]EDP能源巨頭確認(rèn)Ragnar Locker勒索軟件攻擊

https://www.bleepingcomputer.com/news/security/edp-energy-giant-confirms-ragnar-locker-ransomware-attack/

[23]技嘉科技傳出遭勒索軟體攻擊，該公司公告部分伺服器遭網(wǎng)路攻擊

https://www.ithome.com.tw/news/146075

[24]RansomEXX勒索軟件攻擊厄瓜多爾國(guó)營(yíng)CNT電信公司

https://www.bleepingcomputer.com/news/security/ecuadors-state-run-cnt-telco-hit-by-ransomexx-ransomware/

[25]勒索軟件Sodinokibi運(yùn)營(yíng)組織的關(guān)聯(lián)分析

https://www.antiy.cn/research/notice&report/research_report/20190628.html

[26]REvil/Kaseya事件更新

https://cyberint.com/blog/research/revil-kaseya-incident-update/

[27]JBS向REvil勒索軟件支付了1100萬(wàn)美元，首次要求支付2250萬(wàn)美元

https://www.bleepingcomputer.com/news/security/jbs-paid-11-million-to-revil-ransomware-225m-first-demanded/