自2023 年以來(lái)，勒索軟件經(jīng)過(guò)沉寂后再次“卷土重來(lái)”，全球范圍內(nèi)勒索軟件的受害者規(guī)模大幅增長(zhǎng)?！?024 年全球威脅情報(bào)報(bào)告》的數(shù)據(jù)顯示，研究人員收集到的勒索軟件受害者人數(shù)超過(guò) 5000 人，比 2022 年的約 3000 人增長(zhǎng)了 67%。

鑒于很多潛在的勒索軟件受害者不愿意或因其他原因不能公開(kāi)勒索軟件事件，實(shí)際受害者數(shù)量可能更高，甚至成倍數(shù)增長(zhǎng)。

此外，勒索軟件受害者的行業(yè)分布也呈現(xiàn)出明顯分層，關(guān)鍵基礎(chǔ)設(shè)施信息、交通、政府部門、醫(yī)療、服務(wù)行業(yè)等關(guān)乎社會(huì)穩(wěn)定發(fā)展的支柱行業(yè)成為了勒索軟件攻擊的主要攻擊目標(biāo)。其中，制造業(yè)在 2023 年成為勒索軟件運(yùn)營(yíng)商首選攻擊目標(biāo)，占比達(dá) 28%，醫(yī)療、教育、政府機(jī)構(gòu)等部門占據(jù)了近乎 50 %的勒索軟件攻擊。

圖源：光明網(wǎng)

勒索軟件之所以再次死灰復(fù)燃，主要原因是是勒索軟件背后的高額“利潤(rùn)”刺激了更多網(wǎng)絡(luò)威脅分子投身其中。再加上，無(wú)數(shù)的勒索軟件”前行者“不斷創(chuàng)新，衍生出了類似 RaaS 勒索軟件及服務(wù)+DDoS 攻擊的三重全方位、高效率、低成本、破壞力大的勒索模式，逐步構(gòu)建起了完善的勒索軟件攻擊生態(tài)鏈，降低了入行的”門檻“，為勒索軟件“重生”提供了充足的養(yǎng)分。

因此，很多試圖在網(wǎng)絡(luò)世界發(fā)一筆橫財(cái)?shù)摹蹦贻p人“不斷涌入勒索軟件行業(yè)。微步在線發(fā)布的《2023 年威脅情報(bào)及 APT 活動(dòng)分析報(bào)告》顯示，據(jù)不完全統(tǒng)計(jì)全球勒索軟件數(shù)量已達(dá) 1940 個(gè)，其中 2023 年新增了 43 個(gè)勒索團(tuán)伙。

HVV 網(wǎng)在即，本文梳理了近期活躍度高、名氣響亮的八個(gè)勒索軟件組織，簡(jiǎn)要分析了這些勒索軟件慣用的技術(shù)手段，攻擊流程、成長(zhǎng)背景，旨在為網(wǎng)絡(luò)安全從業(yè)者構(gòu)筑自身安全防御體系提供參考。

Akira 勒索軟件

2023 年 3 月，一個(gè)名不見(jiàn)經(jīng)傳的勒索軟件組織 Akira 突然在網(wǎng)安圈”火起來(lái)“，F(xiàn)BI 更是直接將其列為了高危勒索軟件組織之列。據(jù)悉，該組織主要影響北美、歐洲和澳大利亞等地區(qū)的企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施實(shí)體。截至 2024 年 1 月 底，Akira 勒索軟件組織已成功侵入約 250 多個(gè)企業(yè)，坊間傳聞其非法收益約為 4200 萬(wàn)美元。

通過(guò)觀察，研究人員發(fā)現(xiàn)，Akira 勒索軟件變體早期版本采用 C++ 和加密文件編寫，并且包含了 .akira。2023 年 4 月，Akira 勒索軟件組織迎來(lái)了第一次大規(guī)模升級(jí)，從專注于攻擊 Windows 系統(tǒng)，延申到針對(duì) VMware ESXi 虛擬機(jī)的 Linux 變體。2023 年 8 月開(kāi)始，研究人員又在一些 Akira 勒索軟件攻擊活動(dòng)中發(fā)現(xiàn)，該勒索軟件開(kāi)始部署 Megazord（使用基于 Rust 的代碼，該代碼使用 .powerranges 外延）。

FBI 和網(wǎng)絡(luò)安全研究人員在多起攻擊事件中都觀察到 Akira 勒索軟件通過(guò)虛擬專用網(wǎng)絡(luò) （VPN） 服務(wù)、或利用已知的思科安全漏洞 CVE-2020-3259 和 CVE-2023-20269 ，獲得對(duì)目標(biāo)受害者系統(tǒng)的初始訪問(wèn)權(quán)限。整個(gè)過(guò)程中，不需要配置多因素身份驗(yàn)證 （MFA）（威脅攻擊者獲得初始”訪問(wèn)"的其他方法還包括使用面向外部的服務(wù)，例如遠(yuǎn)程桌面協(xié)議，魚(yú)叉式網(wǎng)絡(luò)釣魚(yú) ，以及濫用有效憑據(jù)）。

一旦獲得初始訪問(wèn)權(quán)限，Akira 勒索軟件就會(huì)嘗試通過(guò)創(chuàng)建新的域帳戶，以此濫用域控制器的功能建立持久性。隨后，Akira 威脅攻擊者利用 Kerberoasting 等攻擊手段，非法提取存儲(chǔ)在本地系統(tǒng)服務(wù)進(jìn)程內(nèi)存中的憑據(jù)資料。

Akira 勒索軟件還使用 Mimikatz 、LaZagne 等憑據(jù)抓取工具，幫助其獲得超級(jí)權(quán)限。研究人員觀察到 Akira 在同一入侵事件中，針對(duì)不同系統(tǒng)架構(gòu)部署了兩種不同的勒索軟件變體，一種是針對(duì) Windows 的“Megazord”勒索軟件，第二個(gè)有效載荷是針對(duì) Akira ESXi 加密器“Akira_v2”的新變種。

Akira 勒索軟件在橫向移動(dòng)時(shí)，通常會(huì)禁用受害者系統(tǒng)中的安全軟件，躲避安全檢測(cè)。網(wǎng)絡(luò)安全研究人員觀察到 Akira 勒索軟件利用 Zemana AntiMalware 驅(qū)動(dòng)程序，終止防病毒相關(guān)進(jìn)程 。為了建立命令和控制渠道，威脅攻擊者利用 AnyDesk、MobaXterm、RustDesk、Ngrok 和 Cloudflare Tunnel 等現(xiàn)成的工具，通過(guò)文件傳輸協(xié)議 （FTP）、安全文件傳輸協(xié)議 （SFTP） 等各種協(xié)議和 Mega 連接到外泄服務(wù)器。

Clop 勒索軟件

2019 年 2 月，一個(gè)自稱專門針對(duì)全球范圍內(nèi)大型企業(yè)、國(guó)有機(jī)構(gòu)、政府機(jī)構(gòu)的 CryptoMix 勒索軟件變種——Clop 勒索軟件進(jìn)入執(zhí)法部門視線中。研究人員從該組織發(fā)起的攻擊活動(dòng)中分析發(fā)現(xiàn)，成功入侵受害目標(biāo)后，會(huì)使用 Clop 相關(guān)后綴加密文件。

一年后，Clop 勒索軟件團(tuán)伙迎來(lái)了一次大的升級(jí)迭代，首次在暗網(wǎng)上啟用了一個(gè)泄露站點(diǎn)，專門用于發(fā)布受害者信息，以便實(shí)施雙重勒索攻擊。

真正讓 Clop 勒索軟件”聲名鵲起“的事件發(fā)生 2020 年，當(dāng)時(shí)該組織成功入侵全球最大軟件公司之一的 Software AG，并加密了大量敏感信息。此后，便要求其支付超過(guò) 2000 萬(wàn)美金，最后由于沒(méi)有收到勒索贖金，Clop 團(tuán)伙氣急敗壞的在暗網(wǎng)公布了 Software AG 公司數(shù)據(jù)截圖。

Software AG 勒索軟件事件告一段落后，Clop 勒索軟件相繼又針對(duì)幾家著名的跨國(guó)企業(yè)發(fā)起了勒索行動(dòng)，逐步奠定了在勒索軟件行業(yè)的地位。

研究人員通過(guò)不斷對(duì) Clop 勒索軟件受害者系統(tǒng)和贖金談判案例詳細(xì)分析，判定其背后運(yùn)營(yíng)者采用了雙重勒索的模式。從攻擊手段來(lái)看，Clop 勒索軟件團(tuán)伙前期主要通過(guò)有效訪問(wèn)憑證和漏洞武器化等方式，突破攻擊目標(biāo)的網(wǎng)絡(luò)防御系統(tǒng)。公開(kāi)資料顯示， Clop 勒索軟件團(tuán)伙曾利用了 Accellio 公司文件傳輸設(shè)備（FTA），SolarWinds 公司Serv-U托管文件傳輸（MFT），F(xiàn)ortra 公司 GoAnywhere MFT 和 Progress 公司 MOVEit MFT 等產(chǎn)品的相關(guān)漏洞，實(shí)現(xiàn)對(duì)潛在攻擊目標(biāo)系統(tǒng)的初始訪問(wèn)。

一旦擊穿攻擊目標(biāo)的網(wǎng)絡(luò)防御系統(tǒng)后，Clop 勒索軟件會(huì)立刻在受害者系統(tǒng)中部署橫向滲透和遠(yuǎn)程控制等”輔助性“工具，以便對(duì)受害者內(nèi)部網(wǎng)絡(luò)系統(tǒng)進(jìn)行橫向滲透，感染其它內(nèi)部系統(tǒng)，以達(dá)到最大化程度破壞系統(tǒng)。

完成一系列內(nèi)部文件加密后，Clop 勒索軟件團(tuán)伙就開(kāi)始套路受害者，索要巨額贖金了。

Clop 勒索軟件在進(jìn)入受害者系統(tǒng)后會(huì)立刻加密所有能獲得權(quán)限的文件資料，并且使用經(jīng)過(guò)驗(yàn)證和數(shù)字簽名的可執(zhí)行文件來(lái)，使其看起來(lái)像一個(gè)合法的文件，以逃避安全工具檢測(cè)。如果受害者想要換文件解密密鑰，就必須支付贖金。接到贖金勒索通知后，一些網(wǎng)絡(luò)安全能力不強(qiáng)的受害者企業(yè)往往就繳械投降，乖乖支付贖金了。

隨著各組織安全防御技術(shù)飛速發(fā)展，一些重要數(shù)據(jù)都設(shè)置了容災(zāi)備份，并且部署了很多的安全防御設(shè)備。此時(shí)，勒索軟件再通過(guò)加密重要文件，勒索受害者已然很難收到贖金。網(wǎng)絡(luò)安全研究人員很快就發(fā)現(xiàn) Clop 勒索軟件升級(jí)了勒索策略，不僅會(huì)加密受害者的部分重要文件，還試圖關(guān)閉一些與容災(zāi)備份和安全工具相關(guān)的進(jìn)程和服務(wù)，以阻止受害者恢復(fù)數(shù)據(jù)或檢測(cè)網(wǎng)絡(luò)攻擊，并且盜取大量重要數(shù)據(jù)資料。

后續(xù)贖金談判過(guò)程中，如果受害者拒絕支付贖金，面臨的可能不僅僅是內(nèi)部網(wǎng)絡(luò)系統(tǒng)癱瘓，更甚者大量機(jī)密信息被 Clop 勒索軟件團(tuán)伙上傳到其數(shù)據(jù)泄露站點(diǎn)上，“待價(jià)而沽”，供其它勒索軟件團(tuán)伙購(gòu)買使用。

Black Basta 勒索軟件

2022 年初，安全研究人員捕獲到一種新型勒索軟件 Black Basta，對(duì)其詳細(xì)分析后發(fā)現(xiàn)，該組織的運(yùn)營(yíng)模式與其他勒索軟件極為相似，也是一家勒索軟件運(yùn)營(yíng)商和勒索軟件即服務(wù)（RaaS）犯罪組織，主要通過(guò)勒攻擊政府部門、大型跨國(guó)企業(yè)獲得高額贖金。

Black Basta 勒索軟件”出道“后，以美國(guó)、日本、加拿大、英國(guó)、澳大利亞和新西蘭等國(guó)的實(shí)體組織為攻擊目標(biāo)，開(kāi)展了上百起大型網(wǎng)絡(luò)攻擊活動(dòng)，短短幾個(gè)月時(shí)間就成功侵入了 19 家知名組織的內(nèi)部系統(tǒng)，一躍成為全球最活躍的 RaaS 威脅組織之一。截至 2024 年 5 月，Black Basta 勒索軟件組織及其附屬機(jī)構(gòu)已影響了全球 500 多家組織。

值得一提的是，很多網(wǎng)安行業(yè)內(nèi)人士認(rèn)為 Black Basta 的核心成員可能是從已解散的 Conti 勒索軟件組織“跳槽”出來(lái)的，因?yàn)檫@兩個(gè)組織在惡意軟件開(kāi)發(fā)、泄漏網(wǎng)站以及談判、付款和數(shù)據(jù)恢復(fù)的通信方式上有很大的相似之處。不僅如此，Black Basta 勒索軟件團(tuán)伙可能還與 FIN7（又名 Carbanak）威脅攻擊者有聯(lián)系。

Black Basta 勒索軟件通過(guò)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)獲取初始訪問(wèn)權(quán)限（網(wǎng)絡(luò)安全研究人員表示，該組織在初始訪問(wèn)時(shí)也使用了 Qakbot） 2024 年 2 月后，Black Basta 附屬機(jī)構(gòu)開(kāi)始利用 ConnectWise 漏洞 CVE-2024-1709。其次，進(jìn)入受害者內(nèi)部系統(tǒng)后，Black Basta 勒索軟件使用 BITSAdmin、PsExec 以及遠(yuǎn)程桌面協(xié)議 (RDP) 進(jìn)行橫向移動(dòng)（附屬機(jī)構(gòu)使用 Splashtop、Screen Connect 和 Cobalt Strike beacon 等工具協(xié)助遠(yuǎn)程訪問(wèn)和橫向移動(dòng)）。不僅如此，為了獲得更高的權(quán)限，Black Basta 勒索軟件還會(huì)使用 Mimikatz 等憑證刮擦工具，以及 CVE-2020-1472，CVE-2021-42278 、 CVE-2021-42287 、CVE-2021-34527 等安全漏洞，進(jìn)行本地和 Windows 活動(dòng)域權(quán)限升級(jí)。

獲得所有權(quán)限后，Black Basta 勒索軟件組織利用 RClone 在加密前促進(jìn)數(shù)據(jù)外滲。值得一提的是，網(wǎng)絡(luò)安全研究人員觀察，在數(shù)據(jù)外滲之前，Black Basta 關(guān)聯(lián)人員使用 PowerShell ，一旦防病毒程序被終止，帶有 RSA-4096 公鑰的 ChaCha20 算法會(huì)對(duì)文件進(jìn)行完全加密 。文件名中會(huì)添加.basta 或其他隨機(jī)文件擴(kuò)展名中，并在被入侵系統(tǒng)中留下名為 readme.txt 的贖金說(shuō)明（給受害者 10 到 12 天的時(shí)間支付贖金，然后勒索軟件組織才會(huì)在 Black Basta TOR 網(wǎng)站上發(fā)布被盜數(shù)據(jù)。 ）。為進(jìn)一步阻止受害者系統(tǒng)恢復(fù)，該組織成員還使用 vssadmin.exe 程序刪除所有入侵痕跡。

Play 勒索軟件

2022 年 6 月，Play（又稱 Playcrypt）勒索軟件因?qū)Ρ泵?、南美和歐洲等地區(qū)眾多企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成重大安全威脅，屢屢被美國(guó)執(zhí)法機(jī)構(gòu)提及。一年后，為獲得巨大“聲望”，Play 勒索軟件組織將觸角伸向了亞太地區(qū)。2023 年 4 月，澳大利亞某地區(qū)首次發(fā)現(xiàn) Play 勒索軟件活動(dòng)的蹤跡。

截至 2023 年 10 月，美國(guó)聯(lián)邦調(diào)查局發(fā)現(xiàn)約有 300 家組織受到 Play 勒索軟件組織的攻擊。

Play 勒索軟件組織數(shù)據(jù)泄露網(wǎng)站上的一份聲明指出，該組織是一個(gè)”封閉“的網(wǎng)絡(luò)犯罪團(tuán)伙，主要采用雙重勒索模式，在竊取數(shù)據(jù)后對(duì)系統(tǒng)進(jìn)行加密。贖金說(shuō)明不包括初始贖金要求或支付說(shuō)明，而是指示受害者通過(guò)電子郵件與威脅攻擊者聯(lián)系，最大程度上保證交易的“保密性”。

Play 勒索軟件組織通過(guò)濫用有效賬戶、面向公眾的應(yīng)用程序以及 CVE-2018-13379、CVE-2020-12812、CVE-2022-41040、CVE-2022-41082 等安全漏洞，使其輕松能夠發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊活動(dòng)。另外，據(jù)研究人員觀察，Play 勒索軟件背后運(yùn)營(yíng)商使用遠(yuǎn)程桌面協(xié)議（RDP）和虛擬專用網(wǎng)絡(luò)（VPN）等面向外部工具，進(jìn)行非法初始訪問(wèn)，通過(guò)使用活動(dòng)目錄查詢和信息竊取工具 Grixba 等”攻擊武器“，枚舉網(wǎng)絡(luò)信息和掃描防病毒軟件。

Play 勒索軟件組織還慣用 GMER、IOBit 和 PowerTool 等工具，以期禁用受害者系統(tǒng)上的反病毒軟件和刪除日志文件。在一些特定攻擊案例中，網(wǎng)絡(luò)安全研究人員多次觀察到 Play 勒索軟件使用了 PowerShell 腳本，并以此攻擊 Microsoft Defender。進(jìn)入受害者內(nèi)部系統(tǒng)后，Play 勒索軟件組織通過(guò) Cobalt Strike、SystemBC 以及 PsExec 等工具，協(xié)助其進(jìn)行橫向移動(dòng)，并執(zhí)行任意文件。一旦建立起穩(wěn)定的”入侵“通道，勒索軟件攻擊者就會(huì)搜索不安全的憑據(jù)，并使用 Mimikatz 憑據(jù)轉(zhuǎn)換器獲取域管理員訪問(wèn)權(quán)限。

盜取數(shù)據(jù)的過(guò)程中，Play 勒索軟件同樣”別出心裁“，組織成員會(huì)將被盜數(shù)據(jù)分割成段，并使用 WinRAR 等工具將文件壓縮成 .RAR 格式，以便能夠快速外泄。之后，再使用 WinSCP 將被盜數(shù)據(jù)從受控網(wǎng)絡(luò)傳輸?shù)狡淇刂频馁~戶上。成功盜取數(shù)據(jù)后，Play 勒索軟件使用 AES-RSA 混合加密技術(shù)對(duì)文件進(jìn)行加密，并采用間歇加密（每隔 0x100000 字節(jié)的文件部分加密一次，加密過(guò)程中系統(tǒng)文件會(huì)被跳過(guò)）文件名中會(huì)添加 .play 擴(kuò)展名，文件目錄 C: 中放置了名為 ReadMe[.]txt 的贖金說(shuō)明。

Lockbit 勒索軟件

2019 年 9 月，LockBit 勒索軟件第一次走進(jìn)大眾視野，因其使用.abcd 的后綴名來(lái)標(biāo)記加密的受害者文件，被業(yè)內(nèi)慣稱為“ABCD”勒索軟件。早期版本中，LockBit 1.0 非常不成熟，作案過(guò)程中加密軟件不僅使用固定的互斥鎖，甚至?xí)埩粢恍┮妆粴④?、沙箱等安全軟件識(shí)別和攔截的 debug 的函數(shù)。

隨著組織規(guī)模不斷發(fā)展，LockBit1.0 開(kāi)始采用 RaaS（Ransomware-as-a-service，勒索軟件及服務(wù)）模式運(yùn)營(yíng)，并在一個(gè)著名的俄語(yǔ)論壇 XSS 上為其合作計(jì)劃進(jìn)行廣告推廣。八個(gè)月后，LockBit 1.0 勒索軟件運(yùn)營(yíng)商又升級(jí)了勒索策略，創(chuàng)建了一個(gè)用于公開(kāi)受害者數(shù)據(jù)的站點(diǎn)，配合文件加密，試圖進(jìn)一步施壓受害者，以期達(dá)成“雙重勒索”的目的。

經(jīng)過(guò)幾次升級(jí)后，相較于其它勒索軟件，LockBit 1.0 作案手段更為高超。在針對(duì) Windows 系統(tǒng)時(shí)，加密過(guò)程采用 RSA+AES算法加密文件，使用 IOC P 完成端口+AES-NI 指令集提升工作效率，從而實(shí)現(xiàn)高性能加密流程，一旦成功加密文件后，受害者文件會(huì)被添加無(wú)法破解的.abcd 擴(kuò)展后綴。不幸的是，LockBit 勒索軟件組織很快就引來(lái)了執(zhí)法機(jī)構(gòu)的注意、遭到了一波沖擊。2021 年 6 月，經(jīng)過(guò)短暫蟄伏，LockBit 勒索組織在其泄密網(wǎng)站上宣布高調(diào)回歸，并帶來(lái)全新版本——LockBit 2.0，新版本提供了 Tor  網(wǎng)絡(luò)中的管理面板、自動(dòng)進(jìn)行解密測(cè)試服務(wù)、強(qiáng)大的掃描器功能等更加豐富的配套服務(wù)。

從后續(xù)披露的受害者案例來(lái)看，LockBit 2.0 勒索軟件延續(xù)了前一版本攻擊手法，其加密方式仍然采用常見(jiàn)的 RSA+AES 組合，加密后文件擴(kuò)展名均為.lockbit ，但加密速度變得更快。經(jīng)過(guò)前兩個(gè)版本的迭代，LockBit 勒索組織已經(jīng)策劃了好幾期非常具有代表性的勒索攻擊事件，在品嘗到了勒索攻擊的紅利，更加堅(jiān)定繼續(xù)迭代升級(jí)的決心。

2022 年 6 月發(fā)布的 LockBit 3.0 版本中，改進(jìn)了 RaaS 操作，并且引入了勒索軟件漏洞賞金計(jì)劃，邀請(qǐng)安全研究人員提交漏洞報(bào)告，以換取1000美元至100萬(wàn)美元的獎(jiǎng)金，這是第一次有勒索軟件組織如此高調(diào)的懸賞如此高的獎(jiǎng)金。后續(xù)幾年，LockBit 不斷北執(zhí)法機(jī)構(gòu)打壓，又不斷的重生，目前已經(jīng)是黑客世界的“領(lǐng)軍團(tuán)伙”，擁有很強(qiáng)的攻擊實(shí)力，令無(wú)數(shù)安全從業(yè)者頭疼。

Medusa 勒索軟件

2021 年 6 月，Medusa 勒索軟件團(tuán)伙首次出現(xiàn) ，起初攻擊活動(dòng)相對(duì)較少，但在從 2023  年1月中旬起該團(tuán)伙開(kāi)始加大了攻擊力度，同時(shí)推出了托管在 Tor 網(wǎng)絡(luò)上的“Medusa Blog”，該博客主要用于展示拒絕支付贖金的受害者。

Medusa 勒索軟件團(tuán)伙是一個(gè)由經(jīng)濟(jì)利益驅(qū)使的犯罪組織，威脅攻擊者要求受害者支付贖金，以此換取刪除所有數(shù)據(jù)，同時(shí)他們也接受感興趣的買家付款獲得數(shù)據(jù)，采用了勒索軟件即服務(wù) (RaaS) 業(yè)務(wù)模型。

Medusa 勒索軟件通過(guò)易受攻擊的遠(yuǎn)程桌面協(xié)議 (RDP) 配置非法”訪問(wèn)“受害者的設(shè)備，還經(jīng)常使用電子郵件釣魚(yú)和垃圾郵件活動(dòng)，直接將勒索軟件附加到電子郵件中，作為初始入侵載體。據(jù)悉，Medusa 勒索軟件使用了批處理文件執(zhí)行 PowerShell 腳本 invoke-ReflectivePEInjection。該腳本通過(guò)編輯受感染機(jī)器注冊(cè)表中的 EnableLinkedConnections 值，在整個(gè)網(wǎng)絡(luò)中傳播 Medusa。然后。允許受感染機(jī)器通過(guò)互聯(lián)網(wǎng)控制消息協(xié)議 (ICMP) 檢測(cè)連接的主機(jī)和網(wǎng)絡(luò)，并通過(guò)服務(wù)器消息塊 (SMB) 協(xié)議檢測(cè)共享存儲(chǔ)。

此后，Medusa 勒索軟件組織通過(guò)各種技術(shù)手段避免被受害目標(biāo)系統(tǒng)中的安全軟件檢測(cè)到，并利用可執(zhí)行文件 svhost.exe 或 svhostt.exe，復(fù)制到 %APPDATA%\Roaming 目錄，安排任務(wù)每 15 分鐘運(yùn)行一次勒索軟件，從而建立持久性嗎。

值得一提的是，從以往案例分析來(lái)看，Medusa 勒索軟件組織在成功進(jìn)入受害者系統(tǒng)內(nèi)部后，曾多次試圖通過(guò)刪除本地備份、禁用啟動(dòng)恢復(fù)選項(xiàng)和刪除陰影副本來(lái)阻止標(biāo)準(zhǔn)恢復(fù)技術(shù)。Medusa 勒索軟件”離開(kāi)“受害者系統(tǒng)時(shí)會(huì)在加密數(shù)據(jù)文件夾中放入一張贖金條，概述了如何與 Medusa 攻擊者通信（提供一個(gè)或多個(gè)電子郵件地址），受害者可以通過(guò)這些地址聯(lián)系到 Medusa 勒索軟件組織。

BlackCat 勒索軟件

2021 年 11 月，BlackCat 勒索軟件（又名 AlphaVM、AlphaV 或 ALPHV）首次被 Malwarehuntertam 研究人員發(fā)現(xiàn)并披露。后續(xù)經(jīng)過(guò)研究發(fā)現(xiàn)該組織是第一個(gè)基于RUST 語(yǔ)言編寫的專業(yè)勒索軟件家族系列，因其具有定制化程度高、個(gè)性化強(qiáng)、隱蔽性出色等攻擊特點(diǎn)，迅速在勒索軟件世界站穩(wěn)腳跟。

2021 年 11 月 30 日起，BlackCat 勒索軟件背后運(yùn)營(yíng)商開(kāi)始在 Tor 網(wǎng)站專用數(shù)據(jù)泄露站點(diǎn)（DLS）陸續(xù)發(fā)布受害者信息和竊取到的數(shù)據(jù)。截止到 2024 年 4 月，已經(jīng)有超過(guò) 500 名受害者信息，鑒于很多受害者”花錢保平安“，因此實(shí)際的受害者數(shù)量遠(yuǎn)超過(guò)這個(gè)數(shù)字。

BlackCat 勒索軟件組織主要采用三重勒索模式，不僅會(huì)加密數(shù)據(jù)、感染網(wǎng)絡(luò)和系統(tǒng)，還會(huì)通過(guò)其他的工具進(jìn)行竊取敏感數(shù)據(jù)，然后使用被盜數(shù)據(jù)勒索受害者支付要求的贖金，還會(huì)在他們的泄密網(wǎng)站上列出了部分受害者。如果受害者不支付贖金，BlackCat 勒索軟件組織就會(huì)在其數(shù)據(jù)泄露站點(diǎn)上泄露被盜數(shù)據(jù)。

威脅攻擊者首先會(huì)識(shí)別系統(tǒng)中最薄弱的環(huán)節(jié)并通過(guò)漏洞闖入，一旦成功進(jìn)入，他們就會(huì)獲取其最敏感的數(shù)據(jù)，并在系統(tǒng)中對(duì)其進(jìn)行解密，隨即繼續(xù)更改系統(tǒng) Active Directory 中的用戶帳戶。成功入侵 Active Directory 后，BlackCat 勒索軟件可以配置有害的組策略對(duì)象 (GPO) 來(lái)處理勒索軟件數(shù)據(jù)。接下來(lái)是禁用系統(tǒng)內(nèi)的任何安全基礎(chǔ)設(shè)施以避免障礙?？床坏饺魏伟踩烙胧┑那闆r下，威脅攻擊者還會(huì)繼續(xù)使用 PowerShell 腳本感染系統(tǒng)，繼而攻擊者會(huì)向受害者索要贖金。最糟糕的是，一旦受害者沒(méi)有在最后期限支付贖金，BlackCat 勒索軟件組織還會(huì)發(fā)起猛烈的分布式拒絕服務(wù) (DDoS) 攻擊。

據(jù)不完全統(tǒng)計(jì)，BlackCat 勒索軟件組織的受害者包括汽車消費(fèi)電子巨頭 Voxx Electronics、美國(guó)法院、知名手表品牌 Seiko 等等。

Royal 勒索軟件

自 2022 年 9 月，Royal 勒索軟件對(duì)美國(guó)和國(guó)際組織造成了巨大危害。據(jù)不完全統(tǒng)計(jì)，該組織襲擊了制造業(yè)、通信、醫(yī)療保健和公共醫(yī)療、教育等全球范圍內(nèi)約 350 個(gè)組織，獲得贖金已超過(guò) 2.75 億美元（贖金要求從大約 100 萬(wàn)美元到 1100 萬(wàn)美元的比特幣不等）。

Royal 勒索軟件使用了一種獨(dú)特的部分加密方法，允許威脅攻擊者選擇文件中特定比例的數(shù)據(jù)進(jìn)行加密，這種方法允許攻擊者降低較大文件的加密比例，從而有助于逃避檢測(cè)。除加密文件外，Royal 勒索軟件還采取雙重勒索策略，威脅說(shuō)如果受害者不支付贖金，他們就會(huì)公開(kāi)發(fā)布加密數(shù)據(jù)。Royal 特工通過(guò)以下幾種方式獲取受害者網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限：

網(wǎng)絡(luò)釣魚(yú)：根據(jù)第三方報(bào)告，Royal 勒索軟件（在 66.7% 的事件中）通過(guò)成功的網(wǎng)絡(luò)釣魚(yú)電子郵件獲取受害者網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限。根據(jù)開(kāi)放源代碼報(bào)告：受害者在收到包含惡意 PDF 文檔的網(wǎng)絡(luò)釣魚(yú)電子郵件和惡意廣告后，在不知情的情況下安裝了可發(fā)送 Royal  勒索軟件的惡意軟件和惡意廣告；

遠(yuǎn)程桌面協(xié)議（RDP）：Royal  勒索軟件用于初始訪問(wèn)的第二大最常見(jiàn)媒介（在 13.3% 的事件中）是 RDP 入侵；面向公眾的應(yīng)用程序：聯(lián)邦調(diào)查局觀察到 Royal 勒索軟件通過(guò)利用面向公眾的應(yīng)用程序中間商。來(lái)自可信第三方來(lái)源的報(bào)告顯示，Royal 勒索軟件可能會(huì)利用”經(jīng)紀(jì)人“從竊取者日志中獲取虛擬專用網(wǎng)絡(luò) (VPN) 憑據(jù)，從而獲得初始訪問(wèn)權(quán)限和源代碼流量。

Royal 勒索軟件一旦進(jìn)入網(wǎng)絡(luò)，就會(huì)與指揮和控制（C2）基礎(chǔ)設(shè)施通信，以加強(qiáng)其在受害者網(wǎng)絡(luò)中的立足點(diǎn)。研究人員觀察到 Royal 勒索軟件使用了 Chisel（一種通過(guò) HTTP 傳輸并通過(guò) SSH 保護(hù)的隧道工具）與他們的 C2 基礎(chǔ)設(shè)施通信。美國(guó)聯(lián)邦調(diào)查局觀察到 Royal 勒索軟件攻擊中使用了多個(gè) Qakbot C2，但尚未確定 Royal 勒索軟件是否只使用 Qakbot C2。

Royal 勒索軟件經(jīng)常使用 RDP 、 微軟 Sysinternals 工具 PsExec 等攻擊進(jìn)行橫向移動(dòng)，為了能夠隨時(shí)訪問(wèn)受害者系統(tǒng)內(nèi)，Royal 勒索軟件還使用 AnyDesk、LogMeIn 和 Atera 等遠(yuǎn)程監(jiān)控和管理 (RMM) 軟件在受害者網(wǎng)絡(luò)中持續(xù)存在。研究人員在以往 Royal  勒索軟件攻擊案例中發(fā)現(xiàn)，該團(tuán)伙在使用合法的管理員賬戶遠(yuǎn)程登錄域控制器進(jìn)入域控制器后，便立刻通過(guò)修改組策略對(duì)象，停用防病毒協(xié)議。

Royal 勒索軟件通過(guò)重新利用 Cobalt Strike等合法網(wǎng)絡(luò)滲透測(cè)試工具和 Ursnif/Gozi等惡意軟件工具和衍生工具進(jìn)行數(shù)據(jù)聚合和盜取。值得一提的是，Royal 勒索軟件盜取數(shù)據(jù)和其他操作的第一站通常都是美國(guó) IP 地址。