10月云上勒索病毒現狀跟蹤
前言
近些年隨著勒索即服務(Ransomware-as-a-service)模式的流行,勒索病毒形成了越來越復雜的地下黑色產業鏈結構,新的勒索家族在不斷涌現,老的家族也在不斷產生變種,給勒索病毒檢測和勒索病毒的自動化防御都帶來巨大的挑戰。
同時,勒索病毒的操縱者們從性價比的角度出發,改變策略,攻擊目標從廣撒網改到精準投放,打擊關鍵的高價值目標,以此換取高額贖金,并且從單純的勒索行為到與僵尸網絡,挖礦等相互結合,以實現利益的最大化。
10月云上勒索態勢綜述
globeimposter和phobos家族仍然是云上傳播勒索病毒的主要來源,占據10月公共云勒索樣本量的近60%。值得注意的是,除網絡漏洞入侵外,RDP爆破方式進入受害者服務器成為10月入侵方式的主旋律,由此可見,云上的弱密碼問題仍然需要引起重視。
阿里云安全中心對勒索病毒一直都持有高度的關注,不斷的提高檢測能力和自動化的防御能力,隨著持續的檢測和數據挖掘,發現勒索軟件也開始加入越來越多的對抗手段來對抗殺毒軟件,自動化行為防御等安全軟件,并且針對組織的人為操作型勒索軟件的占比在不斷上升。
phobos家族樣本量躍居第一
10月份阿里云安全中心最新捕獲的勒索病毒家族中,影響量比較大的家族有: globeimposter,phobos,babuk,crysis,mallox,sodinokibi,Lockbit,阿里云安全中心反勒索服務檢測到的勒索家族樣本數量詳細占比如下圖所示:
其中phobos家族的樣本數量占比較上月有所增長,占比31%居于首位,其次globeimposter家族的樣本數量稍有下降,以占比28%位居第二位。
遠程RDP爆破攻擊大幅攀升 弱密碼需加強管理
phobos和globeimposter家族分別出現于2018年12月和2017年4月,它們的主要攻擊方式是通過RDP爆破或從黑市購買登錄憑證進行遠程登陸投毒,在成功入侵服務器后,黑客還會嘗試橫向滲透,在局域網中尋找新的攻擊目標。
統一的RDP弱密碼存在危險性,一旦所有服務器都設置統一的弱密碼,則意味著每臺都極易被攻破,而一旦某臺被攻破,其它服務器也可使用相同密碼進行入侵,進而出現在極短時間內,大規模癱瘓的現象。提醒云上運維人員加強密碼安全管理。
除此之外,這兩個家族曾經也使用過釣魚郵件、軟件捆綁、系統/軟件漏洞等方式進行攻擊,不過相較于RDP爆破,其他方式的占比較少。
八成攻擊危害性大:可禁用系統備份
活躍家族的攻擊行為占比超過云上當月勒索攻擊發起數量的8成以上,而在8月份卷土重來的Lockbit 2.0 在云上并未大范圍爆發,其聲明的 ”雙重勒索模式“ 還沒有出現具體的案例。
阿里云安全中心反勒索服務檢測到的勒索家族具體的勒索攻擊數量詳細數量統計如下圖所示:
另外,這兩個家族都有刪除系統卷影、禁用系統備份等操作。系統一旦被勒索,就只能通過支付贖金來恢復數據,自出現以來一直具備非常大的危害性。阿里云安全中心的病毒防御功能會自動攔截這兩個家族的勒索行為,避免用戶數據蒙受損失。
攻擊團伙信息披露
攻擊者郵箱信息披露
使用沙箱對這些樣本進行進行了深度分析和行為抓取,2021年10月份出現的黑客勒索郵箱列表如下所示,photos勒索家族的郵箱域名主要以email.tg為主,這是一個今年4月份就非常活躍的勒索團伙,樣本目前還在活躍中。
勒索家族后綴信息披露
防護建議
阿里云安全中心綜合靜態二進制檢測,沙箱行為分析,hash庫攔截,病毒行為防御,誘餌目錄捕獲,HBR備份恢復的功能,實現從勒索檢測、防御到文件恢復一體化的勒索解決方案,保護云上的數據免受勒索病毒的危害,同時持續性的關注云上的勒索攻擊態勢,跟蹤新型勒索變種或者家族的演進過程,及時的更新病毒庫和防御策略,最大程度的保證云上的數據安全。
附:近期全球勒索大事件與勒索解密情報
過去的Q3季度,歐美各地區的政府和執法部門針對勒索產業的打擊力度持續加大,盡管采取了一系列的打擊措施,勒索攻擊事件依然在穩步增加。據不完全統計,在過去的第三季度中,贖金支付金額的中位數相較上季度增加了52%。從該數據上看,來自中型企業的支付比例增加,這可能說明,部分勒索團伙為了避免被各國執法部門的關注,繼而試圖將攻擊目標由大型企業轉為中小型企業。
在低風險,高收益的誘惑下,"老牌"勒索家族依舊在不斷的產生新變種,也可以預見未來將會涌現更多的新型勒索家族。下面是阿里云安全盤點了10月份的勒索大事件以及勒索解密工具的相關情報:
01歐洲刑警組織在本月進行了多起針對勒索團伙的執法行動
本月,歐洲刑警組織宣布逮捕了12名勒索團伙的攻擊者,據悉,這12名攻擊者與全球71個國家/地區所發生的1800多起勒索事件均有關聯。根據執法部門的報告,攻擊者使用了LockerGoga、MegaCortex和Dharma等勒索軟件,以及Trickbot銀行木馬和Cobalt Strike等工具。
02Sinclair電視臺遭受勒索軟件攻擊而癱瘓
據悉,美國東部時間10月18日,Sinclair Broadcast Group確認已遭受勒索軟件攻擊,并且攻擊者還竊取了公司的內部數據。Sinclair Broadcast Group廣播電視集團是一家財富500強公司,其集團業務包括185家隸屬于Fox、ABC、CBS、NBC和CW的電視臺,以及在全美87個市場擁有約620個頻道(占美國家庭總數的近40%)。
03主板廠商技嘉遭受AvosLocker勒索軟件攻擊
AvosLocker勒索軟件首次發現于2021年6月,與大多數勒索團伙一樣,AvosLocker以RaaS模式運營。10月20日AvosLocker釋放了一切盜取的數據來證明此次對技嘉廠商的攻擊,這些數據包括用戶名、密碼、員工工資單、人力資源檔案等資料。這是技嘉近3個月內第二次遭受勒索軟件攻擊,早在8月初就遭受了RansomEXX勒索團伙的攻擊,且被盜取了112G的內部數據,其中包括了其與Intel、AMD、American Megatrends之前往來的商業機密文件。此外,目前尚不清楚8 月初的攻擊是否與此次AvosLocker的攻擊事件有關。
04香港數字營銷公司Fimmick遭受勒索軟件攻擊
香港營銷公司Fimmick遭受了REvil勒索軟件入侵,其團伙宣稱已盜取1TB的內部數據。Fimmick的數據庫中有來自多個全球品牌的數據,REvil團伙在其暗網博客中發布了竊取的數據目錄,其名單包含了Cetaphil、麥當勞、可口可樂、Adidas和Kate Spade、 Acuvue等企業。
05Morphisec發現基于Golang的勒索軟件DECAF
Morphisec Labs在九月下旬發現了一款處在開發階段的勒索軟件 并命名為DECAF。而在十月份攻擊者就迅速的推出了第一個預發布版。該勒索軟件基于Go語言發開,采用了AES+RSA非對稱加密,加密文件的后綴為.decaf。而在預發布版的勒索信中,攻擊者還沒有確定具體的郵箱地址。
參考鏈接
- https://sec-lab.aliyun.com/2021/07/01/Globeimposter%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E6%96%B0%E5%8F%98%E7%A7%8D%E5%88%86%E6%9E%90/
- https://blog.morphisec.com/decaf-ransomware-a-new-golang-threat-makes-its-appearance/
- https://www.coveware.com/blog/2021/10/20/ransomware-attacks-continue-as-pressure-mounts
- https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-october-29th-2021-making-arrests/
- https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-atom-silo-and-lockfile-ransomware/
- https://www.bleepingcomputer.com/news/security/babuk-ransomware-decryptor-released-to-recover-files-for-free/
- https://www.privacysharks.com/gigabyte-breached-by-ransomware-group-avoslocker-data-up-for-sale/
