安全動(dòng)態(tài)

勒索病毒攻擊新玩法,先盜數(shù)據(jù)再勒索

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-12-24    瀏覽次數(shù):
 

信息來(lái)源:FreeBuf

2019年是勒索病毒團(tuán)伙針對(duì)企業(yè)進(jìn)行勒索攻擊爆發(fā)的一年,全球多個(gè)國(guó)家的政府組織機(jī)構(gòu)、企事業(yè)單位都成為了勒索病毒團(tuán)伙攻擊的目標(biāo),勒索病毒也成為了網(wǎng)絡(luò)安全最大的網(wǎng)絡(luò)安全威脅,新的勒索病毒不斷涌現(xiàn),舊的勒索病毒不斷變種,2019年馬上結(jié)束了,然而勒索病毒攻擊卻更加頻繁,全球似乎每天都有勒索病毒攻擊的新聞出現(xiàn),最近兩款勒索病毒攻擊團(tuán)伙,又使用了新的玩法,先利用惡意軟件盜取企業(yè)數(shù)據(jù),再使用勒索病毒加密企業(yè)數(shù)據(jù),不交贖金就公布企業(yè)的數(shù)據(jù),逼迫勒索病毒的受害者交贖金解密,勒索病毒團(tuán)伙已經(jīng)開(kāi)始“打家劫舍 敲詐勒索”……

Maze勒索病毒團(tuán)伙向Southwire勒索600萬(wàn)美元的贖金,Southwire是北美領(lǐng)先的電線電纜制造商之一,擁有7,500多名員工,2018年的收入為61億美元,超過(guò)了2017年的55億美元。這家電線制造商也在《福布斯》美國(guó)最大的私人公司名單中,如果Southwire不交贖金,Maze勒索病毒團(tuán)伙會(huì)在網(wǎng)站上公布該公司的數(shù)據(jù),Maze勒索病毒團(tuán)伙試圖利用這種方法,逼迫受害者交贖金

Maze勒索病毒團(tuán)伙在互聯(lián)網(wǎng)上創(chuàng)辦了一個(gè)專用網(wǎng)站,并在該網(wǎng)站上公布了一些受害者的信息,如下所示:

最近Maze勒索病毒團(tuán)伙,再次更新其受害者名單和企業(yè)相關(guān)數(shù)據(jù)文件,如下所示:

Southwire數(shù)據(jù)泄露的時(shí)間為:2019年12月9日,泄露的數(shù)據(jù)大小為:120GB

DV-GROUP數(shù)據(jù)泄露的時(shí)間為:2019年12月1日,泄露的數(shù)據(jù)大小:7GB

Fratelli Beretta數(shù)據(jù)泄露的時(shí)間為:2019年12月1日,泄露的數(shù)據(jù)大小:3GB  (以上數(shù)據(jù)均來(lái)自網(wǎng)絡(luò),不保證數(shù)據(jù)的準(zhǔn)確性),受害者名單可能還會(huì)繼續(xù)更新……

2020年這種新的攻擊方法,會(huì)不會(huì)也被更多勒索病毒團(tuán)伙效仿流行起來(lái),先利用惡意軟件盜取企業(yè)的數(shù)據(jù),再投放勒索病毒進(jìn)行加密,目前Sodinokibi勒索病毒團(tuán)伙似乎對(duì)這種新的玩法表示感興趣,此前安全研究人員在分析這款勒索病毒的時(shí)候,發(fā)現(xiàn)這款勒索病毒在感染勒索病毒的過(guò)程中,有盜取企業(yè)數(shù)據(jù)的可疑行為

同時(shí)最近國(guó)外安全研究人員又發(fā)布了一款新型勒索病毒攻擊案例,該勒索病毒攻擊會(huì)先利用Azorult竊密木馬盜取企業(yè)的數(shù)據(jù),再通過(guò)Zeppelin勒索病毒加密勒索企業(yè),如下所示:

這款最新的勒索病毒變種,同時(shí)被國(guó)外一家安全公司發(fā)現(xiàn)并進(jìn)行了詳細(xì)分析報(bào)道,該勒索病毒利用ConnectWise Control(ScreenConnect)遠(yuǎn)程桌面應(yīng)用軟件進(jìn)行傳播,其攻擊流程,如下所示:

同時(shí)安全研究人員發(fā)現(xiàn)此次攻擊使用了Vidar竊密木馬盜取受害者數(shù)據(jù),然后再使用Zeppelin勒索病毒變種加密文件。

Zeppelin勒索病毒是一款基于Delphi語(yǔ)言編寫(xiě)的,采用RaaS(勒索即服務(wù))模式分發(fā)的勒索病毒,最初此勒索病毒稱為Vega或VegaLocker,Vega勒索病毒最早于2019年初首次被發(fā)現(xiàn),Vega勒索病毒在一年的時(shí)間內(nèi),不斷變種,后面又出現(xiàn)了它的幾個(gè)不同的變種版本,例如:Jamper(Jumper)勒索病毒、Storm勒索病毒,Buran勒索病毒,都是屬于Vega勒索病毒的變種版本,最新的變種Zeppelin勒索病毒具有很高的可配置性,可以部署為EXE、DLL或使用PowerShell加載器加載,使用PowerShell加載的Zeppelin勒索病毒的樣本大多托管在Pastebin上(這個(gè)網(wǎng)站上面托管了大量的惡意軟件),此勒索病毒變種版本的勒索提示信息文件!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT,內(nèi)容如下所示:

Zeppelin勒索病毒是Vega勒索病毒家族中最新的一款勒索病毒,此家族之前最新的變種是Buran勒索病毒,通過(guò)多種方式進(jìn)行傳播,Vega勒索病毒家族的勒索提示信息文件,內(nèi)容類似如下所示:

Zeppelin勒索病毒與Buran勒索病毒同屬于Vega(VegaLocker)勒索病毒家族,Zepplelin勒索病毒算是Buran勒索病毒的最新變種,目前發(fā)現(xiàn)的幾例Zeppelin勒索病毒攻擊傳播的過(guò)程中都使用了竊密類木馬程序,盜取受害者數(shù)據(jù),再使用Zeppelin勒索病毒加密勒索受害者

勒索病毒攻擊變的越來(lái)越有針對(duì)性,技術(shù)也越來(lái)越成熟,使用的攻擊方法和方式也在不斷更新,一些技術(shù)成熟的黑客組織也加入到勒索病毒攻擊的行業(yè)當(dāng)中,Sodinokibi勒索病毒團(tuán)伙一直在招募經(jīng)驗(yàn)豐富的黑客加入其組織,根據(jù)網(wǎng)絡(luò)安全公司Coveware Inc.的數(shù)據(jù),隨著攻擊變得更加頻繁,受害者在2019年第三季度向黑客支付的用于恢復(fù)其數(shù)據(jù)的平均費(fèi)用從一年前的約6,000美元增至約41,000美元,網(wǎng)絡(luò)安全公司Emsisoft上周表示,今年美國(guó)針對(duì)政府機(jī)構(gòu),教育機(jī)構(gòu)和醫(yī)療保健提供者的勒索病毒攻擊造成的損失估計(jì)至少達(dá)75億美元,可想而知,全球因?yàn)槔账鞑《镜墓舳斐傻膿p失有多大了,勒索病毒攻擊已經(jīng)成為全球最大的網(wǎng)絡(luò)安全威脅

2019年10月9號(hào)總部設(shè)在荷蘭海牙的歐洲刑警組織與國(guó)際刑警組織共同發(fā)布報(bào)告《2019互聯(lián)網(wǎng)有組織犯罪威脅評(píng)估》,報(bào)告指出數(shù)據(jù)已成為網(wǎng)絡(luò)犯罪分子的主要攻擊目標(biāo),針對(duì)企業(yè)數(shù)據(jù)的攻擊,主要方式為:盜取、破壞,此前勒索病毒攻擊主要以破壞數(shù)據(jù),勒索受害者為主,通過(guò)交贖金的方式獲取暴利,Maze勒索病毒采用了以公開(kāi)企業(yè)數(shù)據(jù)來(lái)逼迫受害者交贖金的方式,未來(lái)會(huì)不會(huì)被更多的勒索病毒團(tuán)伙效仿Maze勒索病毒的方式,先利用惡意程序盜取企業(yè)數(shù)據(jù),再使用勒索病毒加密文件進(jìn)行勒索,然后再通過(guò)公布企業(yè)數(shù)據(jù)的方式,逼迫企業(yè)交贖金

預(yù)測(cè)勒索病毒攻擊在明年可能會(huì)越來(lái)越多,而且使用的攻擊手法會(huì)越來(lái)越復(fù)雜,攻擊也會(huì)越來(lái)越具有針對(duì)性和目的性,不排除未來(lái)會(huì)有更多的新型黑客組織或者成熟的黑客組織加入進(jìn)來(lái),通過(guò)勒索病毒與其他惡意程序相結(jié)合的方式最大限度地獲取暴利,各企業(yè)要做好相應(yīng)的防范措施,提高自身員工的安全意識(shí),以防中招。

 
 

上一篇:黑客攻擊飛機(jī)維修網(wǎng)絡(luò)導(dǎo)致阿拉斯加部分航班取消

下一篇:2019年12大數(shù)據(jù)泄露事故