勒索软件目前已成为全球各个行业的组织机构面临的一类重大网络威胁,绝大多数勒索软件攻击活动都是以经济利益为动机,背后的网络犯罪世界呈现出高度组织化和产业化的特点。除了通过加密文件对信息系统直接造成可用性破坏,一些勒索团伙还会在加密前窃取受害组织的数据,如果受害者不支付赎金,将以数据泄露进行要挟,从而实施“双重勒索”攻击。勒索攻击团伙的恶劣影响也引发了多国执法机构的打击,但依然阻挡不了攻击者趋利的决心,因此可以见到新出现的勒索软件团伙继承过去的衣钵卷土重来的现象。
奇安信威胁情报中心关注到新兴勒索软件团伙Hunters International在近期显著活跃,该团伙的活动情况也反映出2024年全球的勒索软件威胁形势依然严峻。奇安信威胁情报中心收集了2024年全球多个安全厂商发布的与勒索软件有关的安全报告,根据这些公开报告梳理2024年全球范围内的勒索软件攻击活动,列举其中提及的一些常见勒索软件投递方式,并总结了当前全球勒索软件攻击活动的几个特点。
01
Hunters International团伙
Hunters International团伙于2023年下半年出现,其勒索软件的技术特点和操作策略与另一个勒索组织Hive存在重叠,并且兴起时间刚好在执法机构打击Hive的行动之后。
图1 Hunters International团伙的标志
(一)起源
2023年1月,包括美国司法部、联邦调查局、特勤局、欧洲刑警组织和欧洲机构在内的执法联盟对Hive勒索软件组织采取行动。Hive勒索团伙自2021年6月起,共向全球1500多名受害者勒索超过1亿美元。执法人员获取到Hive组织内部的网络访问权限,并掌握了用于解密多个受害者被勒索加密文件的密钥。此次行动之后,Hive团伙发布勒索和数据泄露信息的网站被查封,运营受到重大影响。
2023年10月,多名安全研究人员基于Hunters International和Hive勒索软件之间的代码相似性,发现Hive的运营者可能将资产转移到Hunters International。
图2 安全研究人员发现Hive与Hunters International存在关联
而Hunters International针对这些猜测发布了一个声明,声称他们不是Hive的继承者,而是一个独立的勒索组织,收购了Hive的源代码和基础设施,并且他们的运营重点也与Hive不同,更关注窃取数据而不是加密数据。后续国外安全厂商在对Hunters International攻击活动的追踪过程中认为该声明具有一定可信度,因为所有已知受害者都存在数据泄露,但并非每个受害者的数据都被加密。
图3 Hunters International发布的声明
(二)攻击目标
Hunters International的攻击目标覆盖多个行业,受害者涉及医疗保健、汽车、制造、物流、金融、教育和食品领域,还包括能源公司、学校和动物园。受害目标大部分在美国,但也有欧洲、加拿大、巴西,以及新西兰和日本的公司和组织。
可以看出Hunters International对攻击目标的行业和地域并不挑剔,该团伙似乎只是寻求任何可以牟取利益的机会,因此挑选的攻击对象通常是那些没有足够网络防护能力的组织,或者是因为数据窃取和加密而感到压力不得不付费的机构。
范围广泛的受害者类型反映出Hunters International团伙适应和渗透各个领域的能力,使得该团伙对全球各种规模和领域的组织都构成重大威胁。与许多勒索软件事件一样,Hunters International勒索攻击活动的影响是多方面的,包括重大数据泄露、经济损失和声誉损害。
图4 Hunters International用于发布受害者数据的网站
在2024年前7个月,Hunters International团伙就攻击了超过130个组织,已成为全球活跃度排名靠前的勒索组织,该组织将自己定位为勒索软件即服务(Ransomware-as-a-Service, RaaS)提供商,从而使其他能力稍弱的攻击者能够使用该团伙的工具发动攻击。
Hunters International团伙的出现和活跃,体现了网络威胁持续存在且不断发展的性质,尽管打击勒索团伙的运营已有不少努力,但也不乏新兴勒索组织出现继续肆虐。
02
2024全球勒索软件攻击活动
纵观2024年的勒索软件攻击活动,全球各地多个行业的组织和个人都受到影响,活跃的勒索软件家族数量众多,并且还出现了一些新型勒索软件和变种,足以反映出这个网络犯罪产业的繁荣。
(一)概览
奇安信威胁情报中心收集了2024年全球多个安全厂商发布的与勒索软件有关的安全报告,对安全报告中涉及的勒索软件或勒索组织、受害者所在国家地区和行业进行整理,如下表所示(表格中“/”符号表示报告中未明确提及相关信息)。
报告主题 |
报告发布机构 |
勒索软件/组织 |
受害国家/地区 |
攻击目标 |
针对Akira和Royal勒索软件受害者的后续勒索活动 |
Arctic Wolf |
/ |
/ |
Akira和Royal勒索软件受害者 |
攻击者积极针对MSSQL服务器,以投递Mimic勒索软件 |
Securonix |
Mimic勒索软件 |
美国、欧盟和拉丁美洲国家 |
/ |
Babuk勒索软件变种的新解密器发布 |
Cisco Talos |
Babuk勒索软件变种(Tortilla) |
/ |
/ |
Medusa勒索软件攻击活动 |
Palo Alto Networks |
Medusa勒索软件 |
美国、欧洲、非洲、南美、亚洲 |
高科技、教育和制造业等领域 |
门罗币挖矿程序以及Mimus勒索软件正通过各种漏洞进行分发 |
AhnLab |
Mimus勒索软件 |
/ |
/ |
伪装为注册机程序的勒索软件通过国内收款码收取赎金 |
360 |
/ |
中国 |
个人 |
MSSQL服务器BCP功能被用于部署Trigona勒索软件和Mimic勒索软件 |
AhnLab |
Trigona勒索软件,Mimic勒索软件 |
/ |
/ |
LIVE勒索软件利用IP-Guard漏洞 |
奇安信 |
LIVE勒索软件 |
中国 |
/ |
Kasseika勒索软件部署BYOVD攻击、滥用PsExec和Martini驱动程序 |
Trend Micro |
Kasseika勒索软件 |
/ |
/ |
Phobos勒索软件变种(FAUST)发起攻击 |
Fortinet |
Phobos勒索软件变种(FAUST) |
/ |
/ |
勒索软件综述:Albabat |
Fortinet |
Albabat勒索软件 |
阿根廷、巴西、捷克共和国、德国、匈牙利、哈萨克斯坦、俄罗斯和美国等 |
公司、个人 |
阻止Akira勒索软件:通过TTP的预防和分析 |
Morphisec |
Akira勒索软件 |
北美、英国和欧洲 |
政府、制造、技术、教育、咨询、制药和电信等领域 |
勒索软件综述:Abyss Locker |
Fortinet |
Abyss Locker勒索软件 |
欧洲、北美、南美和亚洲等 |
/ |
包括Black Basta在内的威胁组织正在利用近期的ScreenConnect漏洞 |
Trend Micro |
Black Basta勒索组织,Bl00dy勒索组织 |
/ |
/ |
多阶段RA World勒索软件使用反AV策略,利用GPO |
Trend Micro |
RA World勒索软件 |
拉丁美洲地区 |
多家医疗保健组织 |
GhostSec联合Stormous团伙对多个国家实施双重勒索攻击 |
Cisco Talos |
GhostLocker勒索软件,Stormous勒索软件 |
古巴、阿根廷、波兰、中国、黎巴嫩、以色列、乌兹别克斯坦、印度、南非、巴西、摩洛哥、卡塔尔、土耳其、埃及、越南、泰国和印度尼西亚 |
科技公司、高校教育、制造业、政府机构、交通运输、能源等领域 |
Shadow勒索组织攻陷俄罗斯多家公司 |
F.A.C.C.T. |
Shadow勒索组织 |
俄罗斯 |
多个行业的公司 |
Phobos勒索软件:分析8Base勒索组织使用的网络基础设施 |
Intel-Ops |
Phobos勒索软件,8Base勒索组织 |
美国、巴西、英国、加拿大等 |
商业服务、制造业、建筑、零售等 |
新勒索家族出现,Donex公布多名受害者信息 |
安恒 |
Donex勒索软件 |
/ |
/ |
Mallox勒索软件攻击事件 |
深信服 |
Mallox勒索软件 |
中国 |
/ |
StopCrypt勒索软件变种在野外传播 |
SonicWall |
StopCrypt勒索软件 |
/ |
/ |
TeamCity漏洞利用引入Jasmin勒索软件和其他恶意软件 |
Trend Micro |
Jasmin勒索软件 |
/ |
/ |
TellYouThePass勒索软件目标锁定财务管理设备 |
360 |
TellYouThePass勒索软件 |
中国 |
财务管理 |
Agenda勒索软件通过自定义PowerShell脚本传播到vCenter和ESXi |
Trend Micro |
Agenda勒索软件 |
美国、阿根廷、澳大利亚以及泰国等 |
金融、法律、建筑业等 |
秘鲁军方勒索事件及相关勒索组织深度分析 |
启明星辰 |
INC Ransom勒索组织 |
秘鲁 |
军队 |
勒索软件Crypt888技术分析 |
Stormshield |
Crypt888勒索软件 |
东南亚 |
个人 |
Evil Ant勒索软件分析 |
Netskope |
Evil Ant勒索软件 |
/ |
/ |
TargetCompany勒索组织对配置不当的MSSQL服务器进行攻击 |
AhnLab |
Mallox勒索软件 |
/ |
/ |
Makop通过loldrivers关闭安全软件 |
深信服 |
Makop勒索软件 |
/ |
/ |
攻击者利用IcedID传播Dagon Locker勒索软件 |
THE DFIR REPORT |
Dagon Locker勒索软件 |
/ |
/ |
LockBit勒索软件家族最新动态 |
360 |
LockBit勒索软件 |
/ |
/ |
Trinity勒索软件分析 |
Cyble |
Trinity勒索软件 |
/ |
/ |
攻击者在针对MSSQL服务器的攻击活动中利用PureCrypter部署Mallox勒索软件 |
SEKOIA.IO |
Mallox勒索软件 |
/ |
/ |
Phorpiex僵尸网络正在大规模分发Lockbit Black勒索软件 |
Proofpoint |
LockBit勒索软件 |
/ |
/ |
Storm-1811组织滥用Quick Assist工具部署勒索软件 |
Microsoft |
Black Basta勒索软件 |
/ |
/ |
Ikaruz Red Team:利用勒索软件收获注意力而非金钱的黑客组织 |
SentinelOne |
LockBit勒索软件 |
菲律宾 |
/ |
ShrinkLocker:将BitLocker变成勒索软件 |
Kaspersky |
/ |
墨西哥、印度尼西亚和约旦等 |
/ |
勒索组织Ransomhub瞄准西班牙生物能源工厂的SCADA系统 |
Cyble |
Ransomhub勒索组织 |
西班牙 |
能源 |
新型勒索软件变种Fog |
Arctic Wolf |
Fog勒索软件 |
美国 |
教育、娱乐 |
RansomHub:源自Knight的新型勒索软件 |
Symantec |
Ransomhub勒索组织 |
/ |
/ |
TargetCompany的Linux变种针对ESXi环境 |
Trend Micro |
Mallox勒索软件变种 |
/ |
/ |
勒索软件综述:Shinra和Limpopo勒索软件 |
Fortinet |
Shinra勒索软件,Limpopo勒索软件 |
拉丁美洲、泰国 |
/ |
P2Pinfect僵尸网络不断发展以部署勒索软件和挖矿程序 |
Cado Security |
/ |
/ |
/ |
勒索新秀Brain Cipher |
深信服 |
Brain Cipher勒索团伙 |
印度尼西亚 |
数据中心 |
Volcano Demon勒索软件组织活动追踪 |
Halcyon |
Volcano Demon勒索团伙 |
/ |
/ |
Eldorado勒索软件活动分析 |
Group-IB |
Eldorado勒索软件 |
美国、意大利、克罗地亚 |
房地产、教育、医疗保健、制造业等 |
利用未修补漏洞的Veeam软件的攻击事件 |
Group-IB |
EstateRansomware勒索软件 |
阿联酋、法国、马来西亚、美国等 |
/ |
Akira勒索软件攻击拉美航空业 |
BlackBerry |
Akira勒索软件 |
拉丁美洲 |
航空公司 |
Play勒索软件Linux变种针对ESXi环境 |
Trend Micro |
Play 勒索软件变种 |
美国、加拿大、德国等 |
制造、专业服务、建筑、信息技术等 |
UNC4393威胁组织攻击活动 |
|
BASTA勒索软件 |
/ |
/ |
Hunters International勒索组织使用的新木马SharpRhino |
Quorum |
Hunters International勒索组织 |
美国、加拿大、欧洲、巴西等 |
/ |
Magniber勒索软件攻击激增影响全球家庭用户 |
BleepingComputer |
Magniber勒索软件 |
/ |
个人 |
Inc Ransom攻击分析 |
ReliaQuest |
Inc Ransom勒索组织 |
/ |
医疗保健、教育、政府等 |
DeathGrip勒索软件活动分析 |
SentinelOne |
DeathGrip勒索软件 |
/ |
/ |
Rhysida勒索家族分析报告 |
奇安信 |
Rhysida勒索软件 |
/ |
医疗、教育、政府等 |
Pioneer Kitten组织对美国发起勒索攻击 |
CISA |
NoEscape勒索组织、Ransomhouse勒索组织、ALPHV勒索组织 |
美国、以色列、阿塞拜疆、阿联酋等 |
教育、金融、医疗保健、国防部门、地方政府实体 |
Cicada3301勒索组织披露 |
Truesec |
Cicada3301勒索组织 |
/ |
/ |
Head Mare黑客组织针对俄罗斯和白俄罗斯 |
Kaspersky |
LockBit勒索软件、Babuk勒索软件 |
俄罗斯、白俄罗斯 |
政府机构、交通运输、能源、制造业等 |
CyberVolk勒索组织攻击活动 |
ThreatMon |
CyberVolk勒索组织 |
/ |
/ |
针对SonicWall SSLVPN帐户的Akira勒索软件活动 |
Arctic Wolf |
Akira勒索软件 |
/ |
/ |
(二)勒索软件投递方式
(1)漏洞利用
漏洞利用是勒索软件团伙获取目标设备访问权的常用手段,2024年多个漏洞在公开后立即遭到勒索软件攻击者滥用。
Black Basta和Bl00dy勒索软件团伙被披露利用远程桌面管理软件ScreenConnect存在的漏洞CVE-2024-1708和CVE-2024-1709发起攻击。Black Basta勒索团伙利用漏洞后部署了Cobalt Strike木马,而Bl00dy勒索团伙在攻击活动中使用了此前Conti和LockBit Black(即LockBit 3.0)泄露的构建器。
JetBrains旗下TeamCity CI/CD服务器的漏洞CVE-2024-27198和CVE-2024-27199被多个攻击团伙利用,在其中一次较早的攻击活动中,攻击者最终释放了开源勒索软件Jasmin的变种。
(2)借助其他恶意软件和合法远程管理工具
在许多勒索软件攻击活动中,勒索软件并不是直接投递,而是借助木马、僵尸网络等其他恶意软件植入受害设备。在2024上半年,Phorpiex和P2Pinfect僵尸网络均被发现用于部署勒索软件。另外,在一次投递IceID木马的网络钓鱼活动中,攻击者控制了感染设备多天后才下发Dagon Locker勒索软件。Storm-1811团伙通过社会工程学手段伪装为技术支持人员与受害者建立联系,最终利用SystemBC木马部署Black Basta勒索软件。
除了恶意软件,合法的远程管理工具(如AnyDesk、VNC等)也常被攻击者用作投递勒索软件的媒介。
(3)软件伪装
针对个人用户的勒索软件还会伪装为其他破解工具类软件,诱使受害者在运行程序前禁用安全防护软件。一款以国内用户为攻击目标的勒索软件将自己伪装为某软件注册机。Albabat勒索软件也曾以Windows 10激活工具和游戏作弊程序作为伪装进行分发。
(三)攻击活动特点
(1)勒索是渗透的最后一步
虽然最终都是部署勒索软件,但不同勒索团伙采用的攻击手法体现了它们不同层次的技术水平。针对组织机构的勒索组织和渗透团伙几乎没有差别,在获取初始立足点后,攻击者往往会细致地进行系统和网络侦测以及横向移动操作。对于采用“双重勒索”模式的勒索组织更是如此,因为它们需要先将数据隐蔽地转移出去,勒索软件不过是攻击者处心积虑渗透过程的最后一环。此外,一些勒索软件团伙还会借助驱动程序(BYOVD技术)从内核层面对抗安全防护软件,为勒索软件发挥作用扫清障碍。
(2)继承过去的新兴勒索软件
就像前文提及的Hunters International团伙一样,勒索软件世界中不断有“新人”出现,而这些新兴勒索软件往往有着它们的历史源头。2024年研究人员发现一个采用双重勒索模式的新勒索软件变种Trinity,它和之前披露的勒索软件2023Lock以及Venus存在关联。2024年2月首次出现的勒索组织RansomHub很可能与另一个已停止运营的Knight勒索团伙有着代码上的渊源。
(3)针对虚拟化环境的勒索攻击显现
多种勒索软件已具备针对虚拟化环境的能力。Agenda勒索软件使用嵌入在二进制文件中的自定义PowerShell脚本在VMWare vCenter和ESXi服务器之间传播,这可能会影响虚拟机甚至整个虚拟基础架构,导致虚拟环境中运行的服务中断。Mallox勒索软件也被发现将攻击目标扩大到包括虚拟化服务器,攻击者在勒索软件中增加了一项功能,用于检测计算机是否在VMWare ESXi环境中运行。
参考文献
[1]https://www.bitdefender.com/blog/businessinsights/hive-ransomwares-offspring-hunters-international-takes-the-stage/
原文始发于微信公众号(奇安信 CERT):从近期肆虐的Hunters International团伙,一瞥全球勒索软件攻击
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论