勒索软件系列发布被盗数据


勒索制造器生态系统去年接受了两种更改的调整。第一个是关于攻击企业网络而不是个人用户的关注。其次,在加密它们之前,赎金软件运营商已开始窃取受害者的文件 - 以这种方式,他们将额外的勒索杠杆杠杆置于与妥协的公司的赎金谈判中。因此,这种攻击变成了敲诈勒索的组合和数据泄露的组合,其中恶意运动员胁迫企业通过威胁泄露他们的专有记录来支付。

在2020年,网络犯罪分子进一步采取了邪恶的策略。虽然他们曾经在黑客论坛上发布非缴纳组织的宝贵文件,但一些赎金软件谱系现在为此目的使用专用网站。以下是这些家庭的圆满,其邪恶的创造者在盒子外面正在举行更多的利润。

迷宫赎金瓶,趋势的祖先

这种应变在加密之前融合了公司的数据。这是赎金软件演变中的新章节 开始:2019年11月,迷宫运营商袭击了美国专业公司盟军的主要普遍,作为攻击的一部分提取了7GB的重要文件,并威胁要使他们在非支付情况下公开访问。后来,事实证明,这些在俄罗斯黑客论坛上的重罪倾倒了700MB的盗窃数据并不是空的威胁。

这只是一个唤醒电话,然后攻击加拿大保险公司 安德鲁机构; IT网络的 彭萨科拉市,佛罗里达;新泽西医疗机构MDLAB;和Southwire,基于格鲁吉亚的电缆和手动工具的制造商。所有这些事件都伴随着数据exfiltration和泄漏。

仿佛这种犯规不够,迷宫赎金件背后的罪犯已经在Mazenews [Dot]顶部推出了一个“公共羞辱网站”,其中包含迅速扩大的受害组织列表,拒绝咳嗽赎金。额外的详细信息包括违规日期和收集数据的总金额。某些条目包含ZIP档案形式的攻击证明,其中一部分非法撤销信息。

显然,肇事者正在微调其新策略,使其更加集中和有效。此外,这一举动为其他网络犯罪分子群跳到了炒作火车上的方式铺平了道路。

Doppelpaymer赎金软件变得双重麻烦

另一种被称为Doppelpaymer的ransomware的运营商选择遵循西装。对于记录,这种应变获得了加密由数百或甚至数千台机器组成的大型企业网络的奇迹。例如,去年11月对墨西哥石油巨头PEMEX进行了攻击,恶作剧将要求565比特币(此时约500万美元)进行数据解密。要将其放在上面,他们声称已经窃取了属于公司的敏感文件。

把他们的敲诈勒索踩到一个下一级,骗子 设置网站 2020年2月底称为“多贫困”。其目的是“名称和羞辱”受影响的组织拒绝攻击者的要求。该网站还提供了每个受害者的一些示例文件,以证明对数据曝光的威​​胁是真实的。

SodInokibi作者也无法抗拒诱惑

也称为Revil,SodInokibi Ransomware是今天的顶级菌株之一,在组织和地方政府归零。它的恶意投资组合包括GEDIA汽车集团,苏尔森,旅游和22名德克萨斯州市等高调的受害者。除了2020年初的“经典”加密模型之外,此谱系将采用数据泄漏路由,当威胁演员攻击IT人员配置公司Artech信息系统时,除了“经典”加密模型之外。当受害者拒绝支付时,苏丹基比运营商 发布 黑客和恶意软件论坛上的300MB被盗数据。

这一策略在2月底得到了升级。 RansomWare机组人员为文件转储创建了一个网站,以将受妥协的业务压在合作中。自从该页面发布的记录之一与肯尼斯科尔佳能制作有关,这是一家着名的美国时装屋,据称最近经历过德德士基比袭击事件。拉斗票 声称被盗了 属于本公司的大约70,000个财务和工作文件。测试泄漏仅包括第一批数据,如果受害者不忽视他们的需求,犯罪分子会威胁要发布。

Nemte ransomware也偷窃和溢出

另一个名为Nemty的赎金件背后的罪犯也通过了一种数据窃取战略,以及恶意加密。在一个侧面,这个谱系正在在赎金软件的服务(RAAS)的基础上进行轮次,这意味着它正在分发与与有害规范的作者分享其收益的不同网络征集。在2020年1月中旬,安全研究人员发现,Nemte Makers向其联盟页面添加了关于启动垃圾场的网站的公告。

骗子在3月初之前通过他们的意图进行 设置泄漏网站。在发现时唯一的记录是关于一个美国鞋类制造商,将受害者降至赎金木马,并拒绝了支付需求。嵌入式链接导致包含3.5GB被盗数据的数据库。

一个小的勒索瓶颈的三人组开始做同样的事情

首次在2020年3月中旬发现名为Nefilim的赎金软件样本,它似乎遵循Get-Go的“加密加盗窃”原则。它的制造商已经推出了一个名为“公司泄漏”的网站 包括一些数据 从两个受影响的公司中提取。两个受害者都来自能源部门。顺便说一下,分析师已经确定了Nefilim与上述Nemty Ransomware之间的联系:这两个人分享了大量的源代码,可能有普通根。

Sekhmet赎金软件也是最近跳过潮流的菌株之一。它远非是主流样本,它的活动几乎没有研究和记录。此时所知的是它使用一个名为“泄漏泄漏和泄漏”的转储的站点,当前包含据称从一个组织中撤消的文件。

Clop Ransomware的作者,通过窃款受害者的数据戏剧肮脏的另一种标本,还建立了发布“顽固”业务的记录,这些资源是拒绝赎金所需的“顽固”业务。该网站被称为“Clop ^ _-泄漏”,并包含非法从四家受感染公司获得的信息。

底线

勒索制造器 很快发展,最近的变化是世界各地企业的严重探讨。除了在原始攻击后窃取企业秘密外,勒索者还可以收获和泄露员工和客户的个人信息。这可能需要巨大的声誉风险。

这意味着最新的数据备份不再足以从这种妥协中完全恢复。在这种情况下,公司应该在赎金软件预防方面更积极主动。鉴于这些攻击中的大多数攻击都会利用无担保的RDP连接并利用网络钓鱼的恶作剧来执行企业环境中的恶意有效载荷,这是在每个组织的最佳兴趣下解决这些弱点而毫不拖延地解决这些弱点。


David Balaban是一名计算机安全研究员,拥有超过17年的恶意软件分析和防病毒软件评估的经验。大卫跑了 privacy-pc.com. 提出了关于当代信息安全事项的专家意见的项目,包括社会工程,渗透测试,威胁情报,在线隐私和白帽黑客。 David有一个强大的恶意软件故障排除背景,最近侧重于赎金软件对策。