2021-2022勒索软件攻击活动梳理
经历了几年的攻防博弈,人为运营的勒索软件攻击不仅没有减少,反而变本加厉,攻击事件层出不穷。2021至2022年,勒索软件攻击事件显著增长,攻击者数量空前。同时,勒索软件的攻击面也迅速延伸,已经成为了企业面临的最大安全威胁和永不休眠的敌人。
图1 2021-2022勒索软件攻击事件的全球分布
图2 202-2022最活跃勒索软件TOP3
勒索软件的典型攻击链
2021-2022活跃的勒索相关恶意软件
LockBit
LockBit 也被称为“ABCD”勒索软件。攻击者通常会从其他勒索软件运营商那里购买目标的访问权限,或者在某些情况下也通过网络钓鱼、利用应用程序配置缺陷、暴力破解远程桌面协议(RDP)帐户,或利用远程漏洞(如Fortinet VPN的CVE-2018-13379漏洞)来获取目标访问权限,完成初始接入。
Conti
Conti于2019年首次被发现,现已成为网络世界中最危险的勒索软件之一,因其在目标系统中加密和部署的速度快而闻名。Conti被认为是Ryuk勒索软件家族的变种。通常Conti勒索软件通过垃圾邮件传播,以恶意广告,盗版内容,伪造软件更新等为媒介,针对随机用户发送包含恶意附件的电子邮件。另一种感染方式是通过BazarLoader、Bazarcall和TrickBOT分发。
Pysa
PYSA勒索软件是Mespinoza勒索软件的变种。PYSA代表“Protect Your System Amigo”,于2019年12月被首次命名,目前此勒索软件可能会交替使用PYSA和Mespinoza这两个名称来命名被加密的文件。PYSA不具备自我传播能力,作为攻击行动的一部分,攻击者会手动部署PYSA。攻击者通常利用泄露的凭据或钓鱼邮件获得目标初始访问权限。在部署勒索软件之前,攻击者会使用公开和/或开源工具完成凭据窃取、防御规避、权限提升、横向移动等战术动作。攻击者通常使用双重勒索策略——如果受害者拒绝支付数据解密费用,就会通过威胁泄露数据或出售数据以获取利润。
Emotet
Emotet作为史上最危险的僵尸网络之一,是多种恶意软件和勒索软件的分发手段。2021年1月初,Emotet运营者中的两人在乌克兰被捕,扰乱了Emotet的整个指挥控制基础设施。但令所有人惊讶的是,2021年11月,Emotet又回来了,它利用钓鱼邮件分发武器化的office文档或Windows应用安装程序(也被BazarLoader使用),来获取目标初始访问权限。
图1 Emotet运营者的"老巢"
BazarLoader
BazarLoader不仅通过网络钓鱼,还通过电话钓鱼方式分发勒索软件。钓鱼邮件包含付费订阅的信息,并声称这些信息可以通过电话取消。在通话过程中,攻击者将受害者引诱到一个虚假网站,并指示其下载并执行一个武器化文档,进而安装BazarLoader勒索软件。
Qakbot
Qakbot的运营者为各种勒索软件提供了初始接入能力,包括Egregor、REvil、DoppelPaymer和Conti。Qakbot经常通过含有附件或链接的钓鱼邮件传播,Qakbot的运营者还会利用Microsoft Exchange邮件服务器的漏洞获取权限,并使用这些服务器大规模投递垃圾邮件。
IcedID
IcedID运营者与许多勒索软件合作,为其提供初始接入。IcedID主要是由TA551以钓鱼邮件方式通过武器化的Microsoft Word文档或压缩格式的JavaScript(JS)文件分发。
Trickbot
Emotet下线后,TA551也将Trickbot作为分发手段之一。多数情况下,Trickbot是Conti和Diavol勒索软件获取目标网络的初步访问权的途径。
Dridex
Dridex的运营者在人工运作的勒索软件攻击活动中并不是最活跃的,但他们的确会不时地实时此类攻击。与其他僵尸类似,Dridex通过加载Cobalt Strike Beacon或PowerShell Empire实现入侵后的利用能力。
Hancitor
Hancitor是另一种会投送Cobalt Strike Beacon的僵尸,与Zeppelin and Cuba勒索软件相关。Hancitor历史悠久,近期被归因于一个名为“Balbesi”的威胁组织。
ZLoader (Silent Night)
ZLoader(也被称为Silent Night)也经常被各种勒索软件(包括Ryuk,Egregor和DarkSide )作为获取目标网络初始访问权限的一种方式。ZLoader主要通过钓鱼邮件附件(微软Excel电子表格)和恶意广告方式投送,攻击者利用谷歌广告引诱受害者进入分发武器化安装程序(如TeamViewer安装程序)的虚假网站。
SocGholish
与Evil Corp有关的勒索软件仍然使用SocGholish框架来获得对目标的初步访问。攻击者主要依靠恶意广告来欺骗受害者下载并执行针对Chrome、Firefox和Edge等网络浏览器以及Teams和Flash等其他软件的虚假软件更新。在某些情况下,SocGholish运营者会通过利用WordPress插件中的漏洞来攻击企业网站,完成初始接入。
2021-2022活跃勒索软件使用加密方案
为了实现勒索目标,勒索软件的开发人员会使用可靠的加密方案,以防止受害者在没有密钥的情况下解密文件。2021-2022活跃的勒索软件家族使用的加密方案如下表所示:
|
勒索软件家族 |
文件加密算法 |
秘钥加密算法 |
|
Avaddon |
AES-256-CBC |
RSA-2048 |
|
AvosLocker |
AES-256-CBC |
RSA-2048 |
|
Babuk |
HC-128 (custom) |
Curve25519 |
|
BlackByte |
AES-128-CBC |
Password → key (RFC 2898) |
|
BlackCat |
ChaCha20/AES-128-CTR (depending on the AES-NI instructions support) |
RSA-2048 |
|
BlackMatter |
Salsa20 (custom), ChaCha20 (custom), HC256 (linux) |
RSA-1024, RSA-4096 (linux |
|
Cl0p |
RC4 |
RSA-1024 |
|
Conti |
AES-256-CBC, ChaCha20/8 |
RSA-4096 |
|
CryLock |
AES-256 ECB |
RSA-OAEP |
|
Cuba |
ChaCha20 |
RSA-4096 |
|
Darkside |
Salsa20 (custom) |
RSA-1024 |
|
Dharma (Crysis) |
AES-256 CBC (2 keys per drive + IV for each file) |
RSA-1024 |
|
Egregor |
ChaCha8 |
RSA-2048 |
|
Grief |
AES-256-CBC |
RSA-2048 |
|
HelloKitty |
AES-128-CBC |
NTRU |
|
Hive |
XOR (key length = 102400 or 1048576) |
20 or 100 RSA keys (2048-5120), RSA-OAEP (SHA512-256) |
|
LockBit 2.0 |
AES-128-CBC |
Curve25519 |
|
Makop |
AES-256-CBC |
RSA-1024 |
|
Phobos |
AES-256-CBC |
RSA-1024 |
|
Pysa |
AES-128-CBC |
RSA-4096 |
|
Ragnar Locker |
Salsa20 (custom) |
RSA-2048 |
|
RansomEXX |
AES-256-ECB |
RSA-4096 |
|
Revil |
Salsa20 |
Curve25519 |
|
Ryuk |
AES-256-CBC |
RSA-2048 |
|
Snatch |
RSA-2048 |
----- |
|
SunCrypt |
ChaCha20 |
Curve25519 |
|
Xing Locker |
ChaCha20 |
ChaCha20 Global Key + RSA-2048 |
除了加密所有有价值的数据之外,为了迫使受害者支付赎金,勒索软件运营者还会利用多种因素施加压力,例如:
·窃取和公布有价值的数据,使用所谓的“双重勒索策略”(Pysa勒索软件)
·针对受害者实施DDoS攻击(Avaddon勒索软件)
·通过电子邮件向受害者的客户告知勒索事件(如Cl0p勒索软件)
后记
尽管勒索软件攻击对政府、金融、教育、医疗等多个高价值行业都构成严重威胁,但医疗行业因其丰富且脆弱的医疗设备和海量且敏感的患者数据,天然成为了勒索攻击的最佳目标,勒索软件针对医疗行业的攻击可能会持续加剧。未来可以预见,一方面,攻击者会利用不断革新的加密技能和规模化、商业化的运作,持续危害全世界范围的高价值目标;另一方面,未来勒索软件导致的数据泄露规模可能会更大、受害者付出的代价也更高。
往期推荐
Eternity Group:一种新兴的APT组织——每周威胁动态第81期(05.13-05.19)
旧技术,新技巧:UNC2903滥用元数据服务——每周威胁动态第79期(04.29-05.07)
原文始发于微信公众号(白泽安全实验室):2021-2022勒索软件攻击活动梳理
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论