深度了解勒索软件（病毒）和其团伙

目录：

一、勒索病毒爆发前

二、勒索病毒爆发后

三、简单了解勒索软件

四、2023 年 10 个臭名昭著的勒索软件团伙

五、全球影响最大的勒索病毒攻击

 近期持续收到多个朋友的求助电话，期望能对被勒索的数据提供解密支持，随心有余，但力不足。在这里简单罗列一下在勒索病毒爆发前、后需要做的几件事情：

    一、勒索病毒爆发前（防护）：

        1、务必为每一台终端部署安全防护能力，包括服务器、办公计算机等。

        2、数据无比进行备份，备份的间隔时间不得超过能接受的数据损失节点，例如一天、8H、1H，且要对数据进行“异地”存储。

        3、建立应急预案，明确重要风险下的业务可持续性保障流程。不要局限于形式，至少在重要风险的应急之下不要局限于形式。

         4、一将不行，累死三军，企业负责人选择一个能打能杀的真正安全负责人有难度，但很重要，而且很明显，这种人稀缺但不被重视。

         5、严格的软件供应链安全防线必须建立，当下很多勒索病毒都是通过第三方软件的漏洞进入，当下和以后将长期如此。

         6、人员的安全意识，难见效果，但关键时候真管用。

二、勒索病毒爆发之后（救急）：

        1、断网、断网、断网，这一步最重要，不要让火蔓延。

        2、找到入口，不然反反复复，野火烧不尽。

        3、全网排查，定向查杀。

        4、备份恢复，业务优先。（这时候就体现备份的重要性了）

        5、如果没有数据备份，先报警，但同时做好被罚款的准备。

        6、数据很重要的情况下，和对方建立连接，可以谈价格。

        除了数据被加密之外，勒索病毒往往代表着数据泄露、数据滥用、数据被公开和数据不可用等很多维度的风险，所以提前预防胜过一切。

三、简单了解勒索软件

    如上门所说，通过采用双重勒索等多种先进技术以及其他非法策略，勒索软件团体正在不断快速发展。在双重勒索策略中，威胁行为者不仅加密数据，还威胁受害者公开或者出售敏感信息或数据，例如出售给给黑产、竞争者等。

    他们也在通过更复杂的勒索病毒载体和更高数额的钱来实现利润最大化，也通过技能的提升、各个团伙的协作、资源共享来对抗执法部门或者安全专家。我们先来看一下勒索软件的类型

• Locker Ransomware（锁定）

• Crypto-Ransomware（加密）

• Scareware（恐吓）

• Leakware（泄漏）

• Ransomware As a Service (RaaS)

然而，有两种类型的勒索软件非常流行并被威胁行为者广泛使用：-

• Locker勒索软件

• 加密勒索软件

四、2023 年 10 个臭名昭著的勒索软件团伙

    LockBit
    Alphv/BlackCat
    Clop
    Royal
    BlackByte
    Black Basta
    Ragnar Locker
    Vice Society
    Everest
    BianLian

LockBit

他们针对全球公司，分别于 2021 年 6 月和 2022 年发布了 2.0 和 3.0 版本，其特点是：-

• 基于 BlackMatter 的加密器

• 新的付款方式

• 赏金计划

    尽管他们进行了创新，但当开发商在网上泄露 LockBit Black 的构建器时，却发生了挫折，损害了其合法性。

BlackCat/AlphV 

BlackCat/AlphV 是已解散勒索软件组织的疑似继承者，它在 Rust 中运行以避免检测并成功加密受害者的文件，该勒索软件组织的目标是：-

• 西部数据

• 太阳制药公司

ALPHV/BlackCat 是第一个 Rust 编写的勒索软件，需要特定的访问令牌并具有加密配置，包括：-

• 服务/流程列表

• 白名单目录/文件

• 凭据被盗

除此之外，它还会擦除卷影副本、利用权限升级，并使用 AES 和 RSA 加密将文件扩展名更改为“uhwuvzu”。

Clop

Clop 勒索软件于2019 年出现，采用协作勒索软件即服务 (RaaS) 模型和复杂的社会工程策略。从那时起，这个秘密组织已成功从全球多家公司勒索了超过 5 亿美元。 

该组织的运营商通过利用以下内容来针对广泛的实体：-

• 软件漏洞

• 网络钓鱼

他们值得注意的攻击之一是在 2020 年入侵了 Accellion 的文件传输设备，影响了全球组织。 

Clop 对扩展名为“.clop”的文件进行加密，拒绝访问并以数据泄露作为证据。Clop 的运营商采用双重勒索策略，这就是为什么他们威胁受害者公开或出售他们的敏感数据以及高加密货币需求，这表明与典型勒索软件趋势的急剧转变。

Royal

他们在 Dev-0569 下运作，主要针对知名受害者，如我们提到的以下受害者，索要数百万美元：-

• 银石赛道

• 美国一家主要电信公司

    与典型的勒索软件不同，Dev-0569是一个私人组织，直接购买网络访问权限并采用双重勒索策略，这与其他网络犯罪操作不同。

BlackByte 

BlackByte 于 2021 年 7 月浮出水面，因针对美国关键基础设施部门而引起 FBI 和 USS 的关注。 

尽管Trustwave 解密器于 2021 年 10 月发布，但 BlackByte 仍以多个密钥和持续运营的方式发展，这可能与 Conti 的品牌重塑有关。 

它持续进行全球攻击，但避开俄罗斯实体，例如：-

• 锁位

• 赎金EXX

Black Basta 

Black Basta 勒索软件于 2022 年 2 月出现，具有多种独特特征。它会删除卷影副本，并将其替换为：-

• 壁纸JPG

• ICO文件

与其他算法不同的是，它会不加区别地加密文件，但会保留关键文件夹，并且使用 ChaCha20 算法，使用硬编码的 RSA 公钥进行加密。 

除此之外，文件大小决定完全或部分加密，并添加 .basta 扩展名。

Ragnar Locker

自 2019 年 12 月以来，Ragnar Locker 勒索软件及其运营商瞄准了全球基础设施，攻击了以下实体：-

• 葡萄牙航空公司

• 以色列医院

该团伙通过利用远程桌面协议在 Windows 上进行操作，利用双重勒索策略索要巨额付款。

不仅如此，威胁行为者还通过解密工具和敏感数据泄露来威胁受害者。Ragnar Locker 勒索软件被认为是最危险的勒索软件之一，因为它因关键基础设施攻击而具有很高的威胁级别。

Vice Society 

Vice Society 是一个于 2021 年出现的俄语黑客组织。该威胁组织专门针对以下领域进行勒索软件攻击：-

• 卫生保健

• 教育

• 制造业

他们独立运作，通过双重勒索手段袭击了欧洲和美国，他们在最初的赎金中索要超过 100 万美元，最终以 46 万美元左右的价格和解。

它利用面向互联网的应用程序和受损的凭据进行渗透。除此之外，使用 SystemBC、PowerShell Empire 和Cobalt Strike，它们可以横向移动。

甚至它还利用 Windows 服务 PrintNightmare，并通过伪装的恶意软件和进程注入来逃避检测。

Everest 

Everest 自 2020 年 12 月以来一直活跃，它已从数据泄露转变为勒索软件，现在专注于初始访问代理服务。 

其目标跨行业，重点关注美洲、资本货物、卫生和公共部门。这个臭名昭著的组织因攻击 AT&T 和南美政府实体而闻名，除此之外，它还与以下勒索软件有关：-

• EverBe 2.0 

• BlackByte 

它一直谨慎运营，到目前为止，它已经在其暗网上列出了近100个组织。不同寻常的是，该组织充当初始访问经纪人，这是从直接勒索软件攻击的转变，这在网络犯罪领域是罕见的举动。

BianLian

BianLian勒索软件首次出现于2022年6月，由Go语言编写。然而，它通过以下方式泄露数据：-

• RDP

• FTP

• Rclone

• Mega

它主要针对以下行业：-

• 金融机构

• 卫生保健

• 制造业

• 教育

• 娱乐

• 活力

    最初，他们使用加密来勒索赎金，但后来他们合并了数据泄露，威胁泄露。然而，Avast 的解密器在 2023 年 1 月将重点转向数据盗窃，终止文件加密。

BianLian 通过鱼叉式网络钓鱼进行黑客攻击，通过恶意电子邮件或受损链接获取访问权限。一旦进入，恶意软件就会连接到其命令服务器、下载工具并确保对系统的持久控制。

五、全球影响力最大的勒索病毒

10 大的勒索软件攻击

• WannaCry（净亏损：40 亿美元）

• TeslaCrypt（净损失：未知）

• NotPetya（净亏损：100 亿美元）

• Sodinokibi（净亏损：2亿美元）

• SamSam（截至 2018 年净亏损：600 万美元）

• 殖民地管道勒索软件攻击（净损失：440 万美元）

• Kronos（净损失：未知）

• Impressa（净损失：50 TB 数据）

• 哥斯达黎加政府（净损失：3000万美元/天）

• Swissport（净亏损：未知）

原文始发于微信公众号（KK安全说）：深度了解勒索软件（病毒）和其团伙