防范指南 知己知彼百战不殆

　　到现在为止，有机构估算软件背后的犯罪集团创造了数以千亿美元的收入。同时对于者而言，即使他们最终选择支付赎金，也要承担恢复成本，同时也很难信誉损失。

　　Sophos 报告称，2020 年软件的平均成本对于支付赎金的者组织来说接近 150 万美元，对于那些没有支付赎金的组织来说，大约是 732,000 美元；Ivanti 发布报告称，2021年遭受软件的企业平均要支付 220,298 美元，并承受 23 天的停机时间，企业、组织面对不得不防。

　　但根据各机构统计数据显示，软件团伙的数量可能达到数百个。这还不包括从其中一些购买软件即服务（RaaS）产品的所谓“附属机构”。虽然我们总能听到某某团伙宣布解散的消息，但其实研究人员发现他们大多还是会另换门面，这种方式多是一种逃避打击的“隐身”方式，软件的高额汇报率让他们很难这种“不劳而获”。

　　兵法有著，知己知彼百战不殆，我们在面对软件时，除了做好主动防御以及事后防御，先对者进行充分了解或许是不错的主意，同时安全企业一方也可参考这一披露，进一步补齐相关安全能力。以下是主要软件列表，但需要说明的是它并不是最全的，同时软件发展极其快速，所以现在一些最新出现的软件没有出现也不足为奇。

　　历史：2017 年 5 月，由于美国局 (NSA) 开发的 EternalBlue 漏洞利用，然后被黑客窃取，WannaCry 蠕虫得以在计算机网络中迅速。它迅速感染了数百万台 Windows 计算机。

　　运作方式：WannaCry 由多个组件组成。它以 dropper 的形式到达受感染的计算机，这是一个 的程序，可提取嵌入自身的其他应用程序组件，包括：

　　一旦启动，WannaCry 会尝试访问硬编码的 URL。如果不能，它会继续搜索和加密重要格式的文件，从 Microsoft Office 文件到 MP3 和 MKV。然后它会显示通知，要求比特币解密文件。

　　目标者：WannaCry 影响了全球公司，但医疗保健、能源、交通和通信领域的知名企业受到的打击尤其严重。

　　历史：Sodinokibi，也称为REvil，是另一个 RaaS 平台， 于 2019 年 4 月首次出现。显然与 GandCrab 有关，它还具有其在俄罗斯和几个邻国以及叙利亚执行的代码。它负责 关闭德克萨斯州超过 22 个小城镇，并在 2019 年新年前夜关闭了英国货币兑换服务 Travelex。最近，REvil 软件被用于对肉类加工公司 JBS 的，暂时中断了美国的肉类供应。它还对向 MSP 提供软件的Kaseya的负责。数以千计的 MSP 客户受到影响。卡塞亚袭击后不久，REvil 的网站从互联网上消失了。

　　运作方式：Sodinokibi 以多种方式，包括利用 Oracle WebLogic 服务器或 Pulse Connect Secure VPN中的漏洞。它针对 Microsoft Windows 系统并加密除配置文件之外的所有文件。如果者不支付赎金，他们将面临双重：他们将无法取回数据，并且他们的数据将被出售或发布在地下论坛上。

　　归属：Sodinokibi 在 GandCrab 关闭后声名鹊起。该组织的一名据称使用 Unknown 句柄确认该软件是建立在该组织获得的旧代码库之上的。

　　历史：Cerber是一个 RaaS 平台，于 2016 年首次出现，当年 7 月为者带来了 200,000 美元的净收入。

　　运作方式：Cerber 利用 Microsoft 漏洞感染网络。它的功能类似于其他软件。它使用 AES-256 算法加密文件，并针对数十种文件类型，包括文档、图片、音频文件、视频、档案和备份。它还可以扫描和加密可用的网络共享，即使它们没有映射到计算机中的驱动器号。然后，Cerber 将三个文件放在者的桌面上，其中包含赎金要求和如何支付的说明。

　　历史：Conti RaaS 平台于 2020 年 5 月首次出现，被认为是 Ryuk 软件的继任者。据信，截至 2021 年 1 月，Conti已经感染了 150 多个组织，并为其犯罪开发商及其附属机构赚取了数百万美元。自成立以来，至少发现了三个新版本。

　　运作方式：Conti 使用双重，即解密密钥并出售或泄露者的数据。事实上，它运营着一个网站 Conti News，在该网站上列出者并发布被盗数据。一旦恶意软件感染了系统，它就会花时间横向移动以访问更的系统。众所周知，Conti 通过使用多线程来快速加密文件。

　　目标者：作为 RaaS 操作，Conti 对任何人都构成，尽管 2021 年 1 月的一轮感染似乎以组织为目标。据信，Wizard Spider 组织使用 Conti 对的国家卫生服务机构和至少 16 个美国医疗保健和紧急网络进行软件。

　　运作方式：CryptoLocker 是一种木马，它会在受感染的计算机中搜索要加密的文件，包括任何内部或网络连接的存储设备。它通常通过带有包含恶意链接的文件附件的网络钓鱼电子邮件传递。一旦打开文件，下载器就会被激活，从而感染计算机。

　　运作方式：CryptoWall 通过垃圾邮件或漏洞利用工具包分发。它的开发人员似乎避免复杂，而倾向于使用简单但有效的经典软件方法。在运行的前六个月，它感染了 625,000 台计算机。

　　归属：CryptoWall 开发者很可能是一个在俄语国家开展活动的犯罪团伙。CryptoWall 3.0 检测它是否在白俄罗斯、乌克兰、俄罗斯、哈萨克斯坦、亚美尼亚或塞尔维亚的计算机上运行，然后自行卸载。

　　运作方式：附属公司每月向 CTB-Locker 开发人员支付费用，以访问托管的软件代码。该软件使用椭圆曲线加密技术来加密数据。它还以其多语言能力而闻名，这增加了全球潜在者的数量。

　　目标者：鉴于其 RaaS 模式，CTB-Locker 对任何组织都构成，但西欧、和的 1 级国家最常成为目标，尤其是如果已知他们过去曾支付过赎金费用。

　　运作方式：DarkSide 通过一个附属计划在 RaaS 模型上工作。它使用数据加密和数据盗窃的双重。它通常使用手动黑客技术进行部署。

　　DarkSide 的运营商似乎精通。他们运营着一个网站，记者可以在该网站上注册以接收有关违规和非息的预先信息，并承诺快速回复任何问题。

　　目标者：DarkSide 背后的组织声称它不会医疗设施、COVID 疫苗研究和分销公司、殡仪服务、非营利组织、教育机构或组织。在殖民地管道袭击事件发生后，该组织发表声明称，将在其附属机构发动袭击之前对其潜在者进行审查。

　　历史：DoppelPaymer 于 2019 年 6 月首次出现，至今仍活跃且。美国联邦调查局网络部门于 2020 年 12 月对此发出。2020 年 9 月，当一家的医院将患者送往另一个设施时，它被用于第一个导亡的软件。

　　运作方式：DoppelPaymer 背后的团伙使用了一种不寻常的策略，即使用性的美国电话号码给者打电话，要求支付赎金，通常约为 50 比特币，或首次出现时约为 600,000 美元。他们声称来自朝鲜，并发出泄露或出售被盗数据的双重。在某些情况下，他们更进一步，公司的员工受到。

　　DoppelPaymer 似乎基于 BitPaymer 软件，尽管它有一些关键区别，例如使用线程文件加密以获得更好的加密率。与 BitPaymer 不同的是，DoppelPaymer 使用名为 Process Hacker 的工具来终止安全、电子邮件服务器、备份和数据库进程和服务，以削弱防御并避免加密过程。

　　归属：不清楚，但一些报告表明，Dridex 木马背后的一个分支（称为 TA505）负责 DoppelPaymer。

　　历史：Egregor 于 2020 年 9 月出现，并且发展迅速。它的名字来自神秘世界，被定义为“一群人的集体能量，尤其是当与一个共同目标保持一致时”。2021 年 2 月 9 日，美国、乌克兰和法国联合行动了 Egregor 集团的多名和附属机构，并使他们的网站下线。

　　运作方式：Egregor 遵循“双重”趋势，即加密数据并在不支付赎金的情况下泄露信息。它的代码库相对复杂，能够通过使用混淆和反分析技术来避免检测。

　　目标者：截至 11 月下旬，Egregor 在全球 19 个行业中至少有 71 个组织。

　　归属：Egregor 的崛起恰逢 Maze 软件团伙关闭其业务。迷宫集团的附属机构似乎已经转移到 Egregor。它是 Sekhmet 软件系列的变体，与 Qakbot 恶意软件相关联。

　　历史：FONIX 是一种 RaaS 产品，于 2020 年 7 月首次被发现。它很快经历了多次代码修改，但在 2021 年 1 月突然关闭。随后 FONIX 团伙发布了其主解密密钥。

　　运作方式：FONIX 团伙在网络犯罪论坛和暗网上宣传其服务。FONIX 的购买者会向该团伙发送电子邮件地址和密码。然后，该团伙将定制的软件有效载荷发送给买方。FONIX 团伙从支付的任何赎金费用中抽取 25%。

　　历史：GandCrab 可能是有史以来最赚钱的 RaaS。截至 2019 年 7 月，其开发人员要求者支付超过 20 亿美元。GandCrab 于 2018 年 1 月首次被发现。

　　运作方式：GandCrab 是一个针对网络犯罪的附属软件程序，他们向其开发人员支付他们收取的部分赎金费用。该恶意软件通常通过网络钓鱼电子邮件发送的恶意 Microsoft Office 文档传递。GandCrab 的变体利用了 Atlassian 的 Confluence 等软件中的漏洞。在这种情况下，者利用该漏洞注入一个能够远程执行代码的模板。

　　目标者：GandCrab 在全球范围内感染了多个行业的系统，尽管它旨在避开俄语地区的系统。

　　运作方式：GoldenEye 最初是通过一项针对人力资源部门的活动的，其中包含虚假的求职信和简历。一旦其有效负载感染计算机，它就会执行一个宏来加密计算机上的文件，并在每个文件的末尾添加一个随机的 8 个字符的扩展名。然后，软件会使用自定义引导加载程序修改计算机的硬盘主引导记录。

　　历史：Grief 软件，也称为“Pay or Grief”，被认为是 DoppelPaymer 的继任者，于 2021 年 5 月出现。在 5 月至 10 月期间，该组织声称已经入侵了 41 家公司和其他组织，其中大部分在欧洲和英国 据估计，该集团在该时间段内赚了超过 1100 万美元。10 月下旬，该组织声称它了美国国家步枪协会 (NRA) 并窃取了它持有的数据以赎金。

　　运作方式：Grief 是一项 RaaS 操作，与执行入侵和安装软件程序的关联公司合作，以换取赎金支付的佣金。该组织通过从组织窃取数据并如果者不付款就将其来进行双重。Grief 着一个泄密站点，在该站点上发布有关者的信息，最近，它开始者，如果他们联系执法部门、软件谈判人员或数据恢复专家，他们将擦除他们可以访问的系统，使者无法恢复即使他们愿意为解密密钥付费。

　　目标者：Grief 已经损害了各种制造商、药店、食品服务和酒店服务提供商、教育机构以及市政和至少一个区。该组织尚未公布其声称在其泄密网站上所做的所有者的身份。

　　归因：Grief 软件据信由 Evil Corp 运营，该网络犯罪集团以前以运行 Dridex 僵尸网络以及WastedLocker和 DoppelPaymer 软件操作而闻名。Evil Corp 是财政部制裁名单上的网络犯罪组织之一，与之相关的两个人在 FBI 的名单上。

　　运作方式：Jigsaw 最值得注意的方面是它会加密一些文件，要求赎金，然后逐步删除文件，直到支付赎金。它每小时删除一个文件，持续 72 小时。此时，它会删除所有剩余的文件。

　　历史：2016 年发现的 KeRanger 被认为是第一个旨在 Mac OS X 应用程序的可操作软件。

　　运作方式：KeRanger 是通过一个但被的 BitTorrent 客户端分发的，该客户端能够逃避检测，因为它有一个有效的证书。

　　运作方式：者下载看似的应用程序。然后，该应用程序会要求授予恶意软件执行所需的访问权限。它不是加密文件，而是锁定设备主屏幕以防止访问数据。

　　历史：LockerGoga 于 2019 年出现在针对工业公司的中。尽管者要求赎金，钱包颜色与财运但 LockerGoga 似乎是故意设计为难以支付赎金。这导致一些研究人员相信其意图是而不是经济利益。

　　运作方式：LockerGoga 使用带有恶意文档附件的网络钓鱼活动来感染系统。有效负载使用有效证书进行签名，这使他们能够绕过安全性。

　　目标者：LockerGoga 成为欧洲制造公司的者，其中最著名的是 Norsk Hydro，导致全球 IT 关闭。

　　运作方式：通常会向者发送一封电子邮件，其中包含声称是的 Microsoft Word 文档。该包含恶意宏。由于存在安全隐患， Microsoft默认禁用宏。如果启用了宏，则文档会运行宏，该宏会下载 Locky。Dridex 使用相同的技术来窃取帐户凭据。

　　归属：怀疑 Locky 背后的网络犯罪集团隶属于 Dridex 背后的其中一个，因为两者之间有相似之处。

　　历史：Maze 是一个相对较新的软件组，于 2019 年 5 月被发现。如果者不付费解密，它会向发布被盗数据。Maze 集团于 2020 年 9 月宣布将关闭其业务。

　　运作方式：迷宫者通常使用可能被猜测、默认或通过网络钓鱼活动获得的有效凭据远程访问网络。然后恶意软件使用开源工具扫描网络以发现漏洞并了解网络。然后，它在整个网络中横向移动，寻找更多可用于权限提升的凭据。一旦找到域管理员凭据，它就可以访问和加密网络上的任何内容。

　　运作方式：尽管有怪癖，但根据 Unit 42，Mespinoza 的做法非常自律。该团伙对潜在者进行了功课，以瞄准那些拥有最有价值资产的人。然后他们在文档中查找 SSN、驾驶执照或护照等关键字，以识别最的文件。该使用 RDP 获取网络访问权限，然后使用开源和内置系统工具横向移动并收集凭据。它安装名为 Gasket 的恶意软件来创建后门。Gasket 有一个名为 MagicSocks 的功能，可以为远程访问创建隧道。该团伙使用双重方法，其中包括在不支付赎金的情况下发布数据的。

　　目标者：Mespinoza 在全球范围内开展业务，并针对许多行业的大型企业。它最近袭击了美国和英国的 K-12 学校、大学和院。

　　历史：Netwalker 自 2019 年以来一直活跃，是另一种软件操作，它使用解密密钥和出售或泄露被盗数据的双重。然而，在 2021 年 1 月下旬，美国司法部宣布了一项全球行动，了 Netwalker 的运营。现在知道这种中断会持续多久还为时过早。

　　运作方式：从技术角度来看，Netwalker 是相对普通的软件。它使用网络钓鱼电子邮件站稳脚跟，加密和泄露数据，并发送赎金要求。这是数据的第二个，使其更加。众所周知，通过将被盗数据放在暗网上的受密码的折叠中，然后公开发布密钥来被盗数据。

　　历史：NotPetya于 2016 年首次出现，实际上是一种伪装成软件的数据恶意软件，称为擦除器。

　　运作方式：NotPetya 病毒在表面上与 Petya 相似，因为它加密文件并要求以比特币赎金。Petya 要求者从垃圾邮件中下载它，启动它，并授予它管理员权限。NotPetya 可以在没有人为干预的情况下。最初的感染媒介似乎是通过 MEDoc中植入的后门，这是一个几乎所有乌克兰公司都在使用的会计软件包。从 Medoc 的服务器感染计算机后，NotPetya 使用多种技术到其他计算机，包括 EternalBlue 和 EternalRomance。它还可以利用Mimikatz在受感染机器的内存中查找网络管理凭据，然后使用 Windows PsExec 和 WMIC 工具远程访问和感染本地网络上的其他计算机。

　　历史：这个名字来源于一颗卫星，它是 1995 年詹姆斯邦德电影 GoldenEye 中情节的一部分。一个疑似属于恶意软件作者的推特账户使用了扮演的演员艾伦卡明的照片作为其头像。Petya 恶意软件的 初始版本于 2016 年 3 月开始。

　　运作方式：Petya 到达者的计算机上，该计算机附有一封声称是求职者简历的电子邮件。这是一个包含两个文件的包：一个年轻人的股票图像和一个可执行文件，通常在文件名中的某处带有“PDF”。当者单击该文件时，Windows 用户访问控制会告诉他们可执行文件将对您的计算机进行更改。一旦者接受更改，恶意软件就会加载，然后通过存储介质上的低级结构来访问。

　　运作方式：PureLocker 依靠 more_eggs 后门恶意软件来获取访问权限，而不是网络钓鱼尝试。者瞄准已经被入侵并且他们理解的机器。PureLocker 然后分析机器并选择性地加密数据。

　　目标者：研究人员认为，只有少数犯罪团伙有能力购买 PureLocker，因为它的使用仅限于高价值目标。

　　历史：RobbinHood 是另一个使用 EternalBlue 的软件变种。它使马里巴尔的摩市在 2019 年陷入瘫痪。

　　运作方式：RobbinHood 最独特的功能在于其有效负载如何绕过端点安全性。它有五个部分：进程和安全产品文件的可执行文件、部署签名第三方驱动程序和恶意未签名内核驱动程序的代码、存在漏洞的过时 Authenticode 签名驱动程序、进程的恶意驱动程序和从内核空间删除文件，以及一个包含要和删除的应用程序列表的文本文件。

　　过时的签名驱动程序有一个已知错误，恶意软件使用该错误来避免检测，然后在 Windows 7、Windows 8 和 Windows 10 上安装自己的未签名驱动程序。

　　历史：Ryuk 于 2018 年 8 月首次出现，但基于一个名为 Hermes 的旧软件程序，该程序于 2017 年在地下网络犯罪论坛上出售。

　　运作方式：它通常与其他恶意软件（如TrickBot ）结合使用。Ryuk 团伙以使用手动黑客技术和开源工具在私有网络中横向移动并在启动文件加密之前获得对尽可能多系统的管理访问权而闻名。

　　Ryuk 者要求者支付高额赎金，通常为 15 到 50 个比特币（大约 100,000 到 500,000 美元），尽管 据报道已经支付了更高的赎金。

　　归属：最初归因于朝鲜 Lazarus 集团，该集团在 2017 年 10 月使用 Hermes 远东国际银行 (FEIB)，现在认为 Ryuk 是一个讲俄语的网络犯罪集团创建的，该集团获得了访问爱马仕。Ryuk 团伙，有时被称为 Wizard Spider 或 Grim Spider，也经营着 TrickBot。一些研究人员认为， Ryuk 可能是 Hermes 的原始作者或以 CryptoTech 为名的作者的创作。

　　历史：SamSam 自 2015 年以来一直存在，主要针对医疗保健组织，并在接下来的几年中大幅增长。

　　运作方式：SamSam 是一种 RaaS 操作，其控制器会探测预选目标的弱点。它利用了从 IIS 到 FTP 再到 RDP 的各种漏洞。一旦进入系统，者就会提升权限，以确保当他们开始加密文件时，尤其具有性。

　　归属：最初被一些人认为具有东欧血统，SamSam 主要针对美国机构。2018 年底，美国司法部 起诉了两名伊朗人 ，他们声称他们是袭击的幕后。

　　历史：SimpleLocker 于 2014 年被发现，是第一个针对移动设备，特别是 Android 设备的广泛软件。

　　运作方式：当者下载恶意应用程序时，SimpleLocker 会感染设备。然后，恶意软件会扫描设备的 SD 卡以查找某些文件类型并对其进行加密。然后它会显示一个要求赎金的屏幕和有关如何付款的说明。

　　历史：TeslaCrypt 是一种 Windows 软件木马，于 2015 年首次检测到，以电脑游戏玩家为目标。几个较新的版本接连出现，但开发人员在 2016 年 5 月关闭了操作并发布了主解密密钥。

　　运作方式：一旦感染计算机，通常是在者访问运行漏洞利用工具包的被黑网站后，TeslaCrypt 会查找并加密游戏文件，例如游戏保存、的回放和用户配置文件。然后它需要 500 美元的比特币费用来解密文件。

　　历史：Thanos RaaS 相对较新，发现于 2019 年底。它是第一个使用 RIPlace 技术的，可以绕过大多数反软件方法。

　　运作方式：在地下论坛和其他封闭渠道中宣传，Thanos 是一种定制工具，其附属公司使用它来创建软件有效负载。它提供的许多功能旨在逃避检测。Thanos 开发人员发布了多个版本，增加了禁用第三方备份、删除 Windows Defender 签名文件等功能，以及使响应团队更难取证的功能。

　　历史：WastedLocker 软件是最近出现的软件之一，它于 2020 年 5 月开始组织。它是更复杂的软件示例之一，其创建者以高额赎金而闻名。

　　运作方式：该恶意软件使用基于 JavaScript 的名为 SocGholish 的框架，该框架通过出现在但受感染的网站上的虚假浏览器更新以 ZIP 文件形式分发。一旦激活了 WastedLocker，就会下载并执行 PowerShell 脚本和一个名为 Cobalt Strike 的后门。然后，该恶意软件会探索网络并部署“离地而生”的工具来窃取凭据并获得对高价值系统的访问权限。然后，它使用 AES 和 RSA 密码学的组合对数据进行加密。

　　目标者：WastedLocker 专注于最有可能支付高额赎金的高价值目标，主要集中在和西欧。

　　归属：一个已知的犯罪团伙 Evil Corp 对 WastedLocker 负责。该组织还以操作 Dridex 恶意软件和僵尸网络而闻名。

　　运作方式：扫描 Web 以查找的远程桌面协议 (RDP) 服务器。然后，它使用默认或弱凭据执行登录尝试，以访问系统并在网络中。购买所见即所得服务的犯罪可以选择要加密的文件类型以及加密后是否删除原始文件。

　　运作方式：Zeppelin 比它的祖先拥有更多的功能，尤其是在可配置性方面。Zeppelin 可以通过多种方式部署，包括作为 EXE、DLL 或 PowerShell 加载程序，但它的一些来自受感染的托管安全服务提供商。

　　目标者：Zeppelin 比 Vega 更具针对性，Vega 的有点不分，而且主要在俄语世界运行。Zeppelin 设计为不能在运行在俄罗斯、乌克兰、白俄罗斯或哈萨克斯坦的计算机上执行。大多数者是和欧洲的医疗保健和技术公司。

　　归属：安全专家认为，可能在俄罗斯的一个新参与者正在使用 Vega 的代码库来开发 Zeppelin。返回搜狐，查看更多