随着互联互通将世界变成一个地球村,预计网络攻击将在增加。 据报道,去年年底,对勒索软件攻击者的平均付款额激增,因为一些组织被迫支付数百万美元以使文件被恶意软件攻击者释放。
除了当前的大流行使许多个人和公司容易受到攻击的事实之外,加密货币是一种匿名且无法追踪的支付方式的观点导致许多勒索软件攻击者要求以比特币(BTC)和其他山寨币进行支付。
就在最近,网络安全公司Fox-IT在6月23日发布的一份报告中披露了一个名为Evil Corp的恶意软件组织,该组织一直在使用新的勒索软件横冲直撞,要求其受害者支付一百万美元的比特币。
该报告还显示,诸如Evil Corp等组织创建了针对数据库服务,云环境和旨在禁用或破坏公司基础架构备份应用程序的文件服务器的勒索软件。 6月28日,网络安全公司Symantec报告称阻止了Evil Corp的勒索软件攻击,该攻击针对的是约30家要求以比特币付款的美国公司。
这些尝试的攻击只是勒索软件攻击不断升级的威胁的最新示例。 以下是一些最需要加密的恶意恶意勒索软件。
废物柜
WastedLocker是Evil Corp创建的最新勒索软件,该组织自2007年以来一直活跃,被认为是最致命的网络犯罪团队之一。 据报道,在该组织的两名涉嫌成员伊戈尔·图拉舍夫(Igor Turashev)和马克西姆·雅库贝斯(Maksim Yakubets)起诉涉及Bugat / Dridex和Zeus银行木马之后,Evil Corp减少了活动。
但是,研究人员现在认为,截至2020年5月,该组织已经重新利用WastedLocker恶意软件重新发起了攻击。 由于该恶意软件创建的文件名,该恶意软件已被命名为“ WastedLocker”,这在“浪费”一词中添加了受害者姓名的缩写。
通过禁用和破坏备份应用程序,数据库服务和云环境,即使存在脱机备份设置,WastedLocker也可以防止其受害者长时间恢复文件的能力。 如果公司缺少脱机备份系统,则可以无限期地防止恢复。
然而,研究人员指出,与其他勒索软件运营商不泄漏受害者的信息不同,Evil Corp并未威胁要发布受害者的信息,以避免引起公众对其自身的关注。
多普尔付款人
DoppelPaymer是一种勒索软件,旨在对目标文件进行加密,以防止其访问文件,并随后鼓励受害者支付赎金以解密文件。 DoppelPaymer恶意软件由eCrime组织称为INDRIK SPIDER使用,是BitPaymer勒索软件的一种形式,最早在2019年由CrowdStrike软件端点保护公司发现。
最近,勒索软件被用于攻击加利福尼亚的托伦斯市。 超过200 GB的数据被盗,攻击者要求赎金100比特币。
其他报告显示,同一恶意软件曾被用来攻击阿拉巴马州的信息技术系统。 攻击者扬言要在网上发布公民的私人数据,除非他们获得了300,000美元的比特币。 这次攻击是在威斯康星州一家网络安全公司发出警告之后发出的。 一位分析此案的网络安全专家提到,通过该市信息系统管理员所属计算机的用户名,可以使摧毁该市电子邮件系统的攻击成为可能。
Chainalysis的数据显示,DoppelPaymer恶意软件是支出最高的原因之一,是仅有的两个达到100,000美元大关的支出之一。
德里克斯
根据网络安全提供商Check Point的报告,在2011年首次出现后,Dridex恶意软件在2020年3月首次进入了恶意软件的前十名名单。该恶意软件(也称为Bugat和Cridex)专门研究窃取银行凭据的行为。在Microsoft Word上使用宏系统。
但是,该恶意软件的新变种超越了Microsoft Word,现在以整个Windows平台为目标。 研究人员指出,由于该恶意软件的复杂程度,它可以使犯罪分子获利,现在正被用作勒索软件下载器。
尽管去年看到了与Dridex链接的僵尸网络的入侵,但专家们认为,这种成功通常是短暂的,因为其他犯罪集团可以捡起该恶意软件并将其用于其他攻击。 但是,随着越来越多的人需要在家中休息和工作,正在进行的全球大流行进一步加剧了通过电子邮件网络钓鱼攻击轻松执行的Dridex等恶意软件的使用。
琉克
由于冠状病毒大流行而再次浮出水面的另一种恶意软件是Ryuk Ransomware,以针对医院而闻名。 3月27日,总部位于英国的IT安全公司的发言人证实,尽管全球流行,但Ryuk勒索软件仍被用于瞄准医院。 与大多数网络攻击一样,Ryuk恶意软件通过垃圾邮件或基于地理位置的下载功能进行分发。
Ryuk恶意软件是Hermes的变种,与2017年10月的SWIFT攻击有关。据信,自8月以来一直使用Ryuk的攻击者已在52笔交易中提取了700多个比特币。
恶魔
随着勒索软件领域继续被新型恶意解决方案所拥挤,诸如REvil(Sodinokibi)勒索软件帮派之类的网络犯罪组织似乎随着时代的发展而发展,其操作越来越复杂。 REvil帮派作为RaaS(即勒索软件即服务)运行,并创建恶意软件毒株,并出售给其他犯罪集团。
安全团队KPN的一份报告显示,REvil恶意软件已感染了全球超过150,000台独特的计算机。 但是,这些感染仅来自148个REvil勒索软件的样本。 根据公司网络的基础架构部署每种REvil勒索软件,以增加感染机会。
最近,臭名昭著的REvil勒索软件团伙发起了一场拍卖,以出售无力支付赎金的公司的失窃数据,起价为50,000美元(在Monero(XMR)中起价)。 出于隐私方面的考虑,REvil犯罪团伙从要求以比特币付款开始转向以隐私为中心的加密货币Monero。
作为最活跃,最激进的勒索软件运营商之一,REvil团伙主要针对公司,对他们的文件进行加密,并索取平均约为260,000美元的天文费用。
小马决赛
5月27日,Microsoft的安全团队在一系列推文中披露了有关名为“ Pony Final”的新勒索软件的信息,该勒索软件使用蛮力访问其目标网络基础结构以部署勒索软件。
与大多数使用网络钓鱼链接和电子邮件诱使用户启动有效载荷的恶意软件不同,PonyFinal是通过Java Runtime Environment和MSI文件的组合进行分发的,该文件提供了带有由攻击者手动激活的有效载荷的恶意软件。 与Ryuk一样,在COVID-19危机中,PonyFinal主要用于攻击医疗机构。
支出下降
尽管网络攻击的总体数量有所增加,但专家认为,成功攻击的数量有所减少,因为对于大多数公司而言,事实证明,全球大流行中的勒索软件攻击已是最后一击,使他们无力支付赎金。
恶意软件实验室Emsisoft在4月21日发布的报告中清楚地表明了这一点,该报告揭示了美国成功的勒索软件攻击数量显着下降。同样,4月份发布的Chainalysis报告发现,自从2004年冠状病毒大流行加剧以来,勒索软件的支付量就大大减少了。美国和欧洲。
因此,尽管攻击事件越来越多,但受害者似乎并没有支付赎金,像REvil这样的犯罪集团别无选择,只能拍卖被盗的数据。 要求员工在家工作的悖论也可能给黑客带来了新的挑战。 在与Cointelegraph交谈时,Emsisoft的威胁分析师Brett Callow说:
“对于勒索软件攻击者来说,很明显,当他们击中公司端点时,他们已经成为潜在有价值的目标。 但是,当他们碰到员工在远程工作时使用的个人设备时,这种情况就不太明显了,该设备只是间歇性地连接到公司资源上。”