【全球流行勒索情报追踪】剧情反转，SeaChange承认被勒索软件攻击

时间

2020年9月14日-2020年9月20日

勒索软件家族

Netwalker、Sodinokibi、ProLock、SunCrypt

影响国家

巴基斯坦、美国等

影响行业

能源、教育、IT服务、医院等

1. Netwalker勒索软件攻击巴基斯坦最大的私人电力公司

简介

K-Electric是巴基斯坦卡拉奇的唯一电力供应商，近期遭到了Netwalker勒索软件攻击，导致计费和在线服务中断。

从得到的位于洋葱网络的付款页面中，可以发现勒索软件运营者要求受害者支付385万美元的赎金才能解密文件。如果赎金在给定的7天时间内没有支付，将增加到770万美元。

发展

K-Electric是巴基斯坦最大的电力供应商，为250万客户提供服务，企业员工超过1万人。K-Electric承认勒索软件破坏了K-Electric的在线计费服务，K-Electric的客户无法访问其帐户的在线服务。针对K-Electric的洋葱网络付款站点还包含一个“被盗数据”页面，该页面指出Netwalker勒索软件在进行攻击之前就已从K-Electric窃取了未加密的文件，但该页面没有显示多少数据已被盗。

据千里目实验室监测，目前数据已被放置在Netwalker勒索软件运营者部署的数据泄露的暗网公开站点上，由于勒索软件运营者暂未收到该企业支付的赎金，预计5天后将公开这次窃取的数据。

结论

Netwalker作为一种勒索软件，于2019年8月首次出现。在最初的版本中，勒索软件的名称为Mailto，但在2019年底通过黑客提供的解密工具中给出的标题名而重新更名为Netwalker。勒索软件采用注册制的可访问的勒索软件即服务（RaaS）门户，其他黑客团伙通过报名并经过审查流程，然后被授予对Web门户站点的访问权限，他们可以在其中构建自定义版本的勒索软件。分发与传播的工作留给了这些被称为联盟的二级组织，每个小组都根据自己的意愿进行部署。自2019年夏季以来，Netwalker一直在积极攻击各个地区的目标。但在2020年3月，勒索软件运营者开始招募熟练的黑客并完全专注并针对企业网络，才慢慢开始展露出广泛的攻击势头。根据迈克菲（McAfee）的报告，这种策略的改变导致勒索软件团伙仅在五个月内就赚了2500万美元。Netwalker最近攻击的目标包括阿根廷的移民局，美国政府机构和加利福尼亚大学旧金山分校（UCSF），此受害者已支付了114万美元的赎金。

2. 勒索软件推迟了康涅狄格州哈特福德的开学时间

简介

今年由于新冠疫情，大多数美国学区都在努力决定如何以及何时重新开放学校。康涅狄格州的哈特福德学区由于遭到了勒索软件攻击，需要努力恢复教室和交通系统的运行而不得不推迟了开学时间。

发展

该学区的网络在星期四遭到破坏，直到星期六黑客部署了勒索软件并开始对该地区网络上的设备进行加密之后，纽约州首府才意识到这一攻击。由于此攻击不仅影响教室计算机，还影响负责运输路线的系统，因此学区推迟了开学时间，直到他们能完全恢复系统为止。

结论

虽然该区域政府表示没有任何数据被盗，但根据勒索软件目前的惯用策略，情况可能并非如此。自2019年底以来，勒索软件运营者在网络上部署勒索软件之前一直积极窃取未加密的数据，包括学生和员工记录。然后该数据将被用作一种手段来促使受害者付款，比如勒索软件运营商扬言要在数据泄漏站点上公开发布文件，给受害者施加压力以此逼迫受害者付款。勒索软件是一种攻击形式，其中，攻击者在获得对系统的访问权限后，会对受害者的文件进行加密，然后要求赎金以恢复对数据的访问。从之前追踪的情报得出的结论“由于教育机构存在大量有价值的数据（行业自身属性决定），据公开的研究报告表明网络攻击依然将继续针对教育部门与机构，据统计三分之一的大学每小时都在面临着网络攻击。由于学校网络中存储了宝贵的信息，教育机构通常情况下会面临着更多的网络威胁。而且攻击者并不局限于一个目标，也会利用学校的网络基础设施发起针对其他目标的行动。”目前教育机构依然是勒索软件热衷攻击的目标之一。

3. 剧情反转，SeaChange承认被勒索软件攻击

简介

美国视频交付软件解决方案供应商SeaChange International证实了已被勒索软件攻击，该攻击在2020年第一季度中断了其运营活动。

发展

该公司在纳斯达克交易为SEAC，并在波兰和巴西设有分支机构。它的客户包括电信公司和卫星运营商，例如BBC，Cox，Verizon，AT＆T，Vodafone，Direct TV，Liberty Global和Dish Network Corporation。SeaChange还表示，其Framework Video Delivery Platform目前为数百个本地和云直播电视和视频点播平台提供动力，在50多个国家/地区拥有5000万用户。2020年4月Sodinokibi（REvil）为SeaChange创建了一个新的受害者数据泄露页面，在该页面中，他们发布了攻击期间被盗的一些文档的截图。这些图片包括他们声称有权访问的服务器上的文件夹的屏幕截图，银行对帐单，保险证书，驾驶执照以及五角大楼视频点播服务提案的求职信。

近期SeaChange在向美国证券交易委员会（SEC）提交的10-Q季度报告中证实了之前就已遭到勒索软件攻击，如下。

提交的报告原文，截取如下。

结论

Sodinokibi勒索软件，国内首次发现于2019年4月，5月在意大利被发现以RDP攻击的方式进行传播感染，与之前出现的GandCrab勒索软件有一定程度的相似性。REvil勒索软件犯罪团伙是少数几个存在数据泄漏站点的组织之一，也是该类策略的先驱者。该站点从受害者所在的网络中窃取未加密的文件并发布，施加压力以防受害者不愿付款。Sodinokibi（REvil）勒索软件运营者当时声称SeaChange公司遭到勒索软件攻击，他们为SeaChange创建了一个新的受害者数据泄露页面，该页面用于发布REvil运营者所说的被窃取的文档截图。而该企业当时并没有回应，相关机构也没有回应，直到如今才由于压力而不得不表明已经遭到过勒索软件攻击。事实证明攻击者暗网公开的相关数据泄露页面的真实性非常高，每公开一个企业相关数据泄露页面，也就表明该企业很有可能已经遭遇了攻击且被窃取了未加密的数据。

4. ProLock勒索软件增加了赎金金额和受害者数量

简介

自2020年年初以来，一个名为ProLock的新勒索软件团伙通过入侵大型公司和政府机构网络，加密文件并要求巨额勒索赎金而声名狼藉。近期一份报告指出ProLock勒索软件运营者在过去六个月中已经部署过大量攻击，平均下来每天接近攻击一个目标。

发展

ProLock勒索软件团伙在2019年后期最初以PwndLocker的名义进行攻击活动，在2020年3月，当安全研究人员发现PwndLocker的一个bug后进而发布了免费的解密器。此后攻击者也得知了这个消息，不久之后就推出了一个重大的代码升级，开始了它更名为ProLock的攻击活动。接着它的活动开始进一步升级，开始再次瞄准企业网络。 自2020年3月以来，ProLock勒索软件背后的运营商一直在受害者的设备中收集信息，然后再部署勒索软件。后来，攻击者利用窃取的数据，强迫受害机构支付赎金，金额从175,000美元到660,000美元不等，具体数额取决于受影响网络的规模。到目前为止，ProLock已成功加密了来自多个行业的全球组织网络，这些行业包括医疗保健，建筑，金融和法律，包括美国政府机构和工业实体。运营者只针对拥有大型网络且能够支付更高赎金的公司，到目前为止，焦点似乎集中在欧洲和北美的企业业务上。在过去的半年中，已被检测到150多次ProLock勒索软件攻击，最近一次的受害者被要求225个比特币赎金（按当前价值计算，超过230万美元）。

结论

该勒索软件活动的升级与增加很可能是由于与QakBot银行木马团伙合作所致，与其他攻击者合作共享成果使得进入新的受害者网络变得更加容易。在安全研究人员分析的大多数事件中，ProLock勒索软件都部署在先前已被Qakbot银行木马感染的网络上，这里值得注意的是勒索软件往往通过与其他领域的攻击者进行合作以谋求最大利益。由于该小组的策略，技术和程序简单有效，与QakBot银行木马的合作使他们能够轻松进入网络，横向移动并最终部署勒索软件。勒索软件会通过QakBot银行木马，使用后台智能传输服务（BITS）从攻击者的服务器下载或通过使用Windows Management Instrumentation（WMIC）在远程主机上执行脚本释放勒索软件在主机上执行。尽管使用了内置工具，但ProLock攻击时在网络上仍未被检测到，这使他们有时间准备加密文件并窃取数据，可以发现ProLock勒索软件攻击近来愈演愈烈。

5. Equinix数据中心巨头遭到Netwalker勒索软件攻击

简介

数据中心和主机托管巨头Equinix遭到了Netwalker勒索软件攻击，攻击者要求提供450万美元赎金用于解密器解密文件并防止泄露被盗数据。

发展

Equinix是一个庞大的数据中心和托管服务提供商，在全球拥有50多个位置。客户使用这些数据中心来放置设备或与其他ISP和网络提供商互连。该公司在其网站上发布的声明中披露了该事件，并确认了攻击了许多内部系统的勒索软件攻击，所幸的是，它为客户提供的主要核心服务并未受到影响。与之前看到的大多数Netwalker勒索信记录不同，此攻击中使用的勒索信是专为Equinix设计的，其中包括指向被盗数据截图的链接。

勒索信记录包括指向Netwalker勒索软件付款站点的链接，该站点显示450万美元（大约455个比特币）的赎金要求。如果在一定时间后仍未付款，赎金将增加一倍，达到900万美元。

结论

Equinix公司公开发布了一份声明，表示涉及内部某些系统遭到了勒索软件攻击。这也预示着，Netwalker勒索软件最近也特别活跃，接连攻击了多个目标，从释放的勒索信内容来看，已经开始出现针对性攻击的趋势，目前Equinix公司已成为了他们的目标。

6. 美国某医院遭到SunCrypt勒索软件攻击

简介

近期监测到SunCrypt勒索软件运营者在数据泄露站点泄露了其窃取的数据后，对数据进行查询发现位于美国的某医院遭受了48,000个文档数据大规模泄露。据查询发现该医院的预算为6.26亿美元，拥有3500多名员工，519张带床位病床，以及每年超过172,000例门诊病人。

发展

SunCrypt勒索软件已泄漏据称在9月份勒索软件攻击中从该医院窃取的数据，SunCrypt勒索软件于2019年10月开始活动，但并不十分活跃。在过去的几个月中，自释放专用数据泄漏站点以来，它们变得活跃起来。从该医院盗取的240GB数据中，攻击者已泄露了1.7 GB的存档，其中包含48,000多个文档。

结论

据公开的信息得知，SunCrypt勒索软件于2019年10月开始出现，但并不十分活跃。作为大型勒索软件组织的一员，自然也建立了自己的数据泄露站点。目前，据监测统计SunCrypt数据泄漏站点上已列出了13名受害目标包含完全公开数据的3名受害目标存在的敏感数据文件。不到一个月，比起之前追踪时列出的9名受害目标已增多4名，SunCrypt勒索软件正变得越来越活跃。