前言
在云上传播勒索病毒主要通过网络漏洞的方式进入受害者的服务器,加密服务器上的文件或者数据,要求交付赎金来解密自己的数据,勒索病毒往往会给受害者带来巨大的不可挽回的数据损失和经济损失,影响非常的恶劣,给云上的数据安全带来了巨大的挑战。
近些年随着勒索即服务(Ransomware-as-a-service)模式的流行,勒索病毒形成了越来越复杂的地下黑色产业链结构,新的勒索家族在不断涌现,老的家族也在不断产生变种,给勒索病毒检测和勒索病毒的自动化防御都带来巨大的挑战。同时,勒索病毒的操纵者们从性价比的角度出发,改变策略,攻击目标从广撒网改到精准投放,打击关键的高价值目标,以此换取高额赎金,并且从单纯的勒索行为到与僵尸网络,挖矿等相互结合,以实现利益的最大化。
9月云上勒索态势综述
阿里云安全中心对勒索病毒一直都持有高度的关注,不断的提高检测能力和自动化的防御能力,随着持续的检测和数据挖掘,发现勒索软件也开始加入越来越多的对抗手段来对抗杀毒软件,自动化行为防御等安全软件,并且针对组织的人为操作型勒索软件的占比在不断上升。
可以预见,随着勒索病毒的发展,勒索病毒在未来几年仍然是企业面临的最大威胁之一,同时未来一定会有更多成熟的技术高超的黑客组织通过勒索病毒发起攻击。勒索病毒对企业来说是危害极大的安全风险之一,一旦核心数据或文件被加密,除了缴纳赎金,基本上无法解密。
近期活跃的勒索家族
9月份阿里云安全中心最新捕获的勒索病毒家族中,影响量比较大的家族有: globeimposter,phobos,makop,MedusaLocker,Buran,CrysisV2,Razy,Sodinokibi,阿里云安全中心反勒索服务检测到的勒索家族样本数量详细占比如下图所示:
其中globeimposter家族的样本数量占比26%,居于首位,其次phobos家族的样本数量稍有下降,以占比21%位居第二位。
globeimposter勒索家族于2017年4月开始出现,phobos勒索家族于2019年初出现,这两个家族都有删除系统卷影、禁用系统备份等操作。系统一旦被勒索,就只能通过支付赎金来恢复数据,自出现以来一直具备非常大的危害性。阿里云安全中心的病毒防御功能会自动拦截这两个家族的勒索行为,避免用户数据蒙受损失。
globeimposter攻击活跃 擅长“隐身”
同时globeimposter家族勒索攻击活动非常频繁,也是目前监测到的最为活跃的家族,在9月份的所有勒索攻击事件中,此家族占比高达40%,经过分析发现此家族产生了一个新的变种,此变种主要使用傀儡进程的方式意图逃避检测,其背后的攻击者在云上发起了多次勒索攻击。phobos家族位居第二位,攻击事件占比20%左右。
而在8月份卷土重来的Lockbit 2.0 在云上并未大范围爆发,其声明的 ”双重勒索模式“ 还没有出现具体的案例。阿里云安全中心反勒索服务检测到的勒索家族具体的勒索攻击数量详细数量统计如下图所示:
攻击团伙信息披露
使用沙箱对这些样本进行进行了深度分析和行为抓取,2021年9月份出现的黑客勒索邮箱列表如下所示,globeimposter家族的勒索邮箱比较集中,主要是China.Helper@aol.com,说明攻击背后是同一个勒索攻击团伙。photos勒索家族的邮箱域名主要以email.tg为主,这是一个今年4月份就非常活跃的勒索团伙,样本目前还在活跃中。
不同的勒索家族在勒索后缀上总会存在一些较大的差异性,同一家族内的后缀会存在较大的相似性,可以利用这个信息快速的区分勒索的家族信息,9月份统计的影响量top的勒索家族的后缀信息统计入下表,近期被受到勒索攻击的用户可以表中提供的后缀查询所属的所属的家族:
附:近期全球勒索大事件与勒索解密情报
据不完全统计, 2021年光上半年就至少发生了1200多起勒索软件攻击事件,与2020年发生的已知公布的勒索攻击事件数量十分接近。在众多勒索软件攻击事件中,有将近70%的勒索团伙采用双重勒索策略,以数据泄露问题威胁受害者支付巨额赎金。
勒索攻击正在APT(高级可持续威胁)化,这一趋势已经越来越明显,国外的高级勒索家族,可能需要过一段时间才会影响到国内。然而,勒索病毒并不是不可战胜的,对此,阿里云安全盘点了近期全球发生的勒索大事件,并分享安全研究机构针对REvil/Sodinokibi 勒索软件和Babuk勒索家族的对抗情报,希望能够帮助已经受到相关勒索影响的企业和开发者,利用工具进行数据恢复。
1.MSHTML漏洞被勒索团伙利用
windows的MSHTML引擎存在远程代码执行漏洞,漏洞编号为CVE-2021-40444,攻击者可以制作带有恶意ActiveX控件的Microsoft office文档并诱导用户打开此文档来进行远程代码执行。Ryuk勒索家族是目前发现的最早利用此漏洞的犯罪团伙,在微软发布CVE-2021-40444漏洞补丁之前,已经发现了该家族利用此漏洞的勒索攻击活动。
2.奥林巴斯科技公司和美国农村合作社NEW Cooperative遭受BlackMatter勒索团伙攻击
奥林巴斯于1919年创立,总部位于日本东京,是一家精于光学与成像的日本公司。产品包括显微镜、内视镜、声导显微镜、超声波内视镜以及光学读取系统等其他医疗设备。2021年9月13日宣布它的宣布其欧洲、中东和非洲计算机网络遭到BlackMatter勒索团伙的软件攻击。BlackMatter不同于其他的勒索团伙,他们建立了自己的泄密网站用来公开不愿意交付赎金的受害者的数据,同时该组织还在美国、英国、加拿大和澳大利亚招募能够进入企业网络内部的合作者,意图从内部对受害企业发起勒索攻击。
美国农村合作社NEW Cooperative也遭受了BlackMatter的勒索攻击,索要 590万美元赎金用来解密数据,否则将公开他们盗取到的数据,如果5天内不支付赎金,则赎金翻倍,增长到1180万美元。NEW Cooperative已经迅速通知了执法部门,并正在与数据安全专家密切合作,调查和补救这次造成的损失,并且暂时关闭了系统的网络连接以遏制攻击影响的蔓延。
3.多个航空公司遭受LockBit勒索软件攻击
LockBit勒索软件团队窃取了超过200GB曼谷航空公司数据,并在其泄密网站上发布了一条消息,威胁说如果曼谷航空不支付赎金,就会泄露被盗数据。曼谷航空公司就数据泄露事件发布致歉声明,声明显示,泄露的数据可能包括乘客姓名、姓氏、国籍、性别、电话号码、电子邮件、地址、联系信息、护照信息、历史旅行信息、部分信用卡信息和特殊膳食信息。
埃塞俄比亚航空公司的数据也遭受到了LockBit勒索软件的窃取,8月23日,LockBit勒索团队在其泄密网站上公布了从埃塞俄比亚航空公司窃取的数据。据威胁参与者声称,LockBit勒索团伙通过入侵了一个使用埃森哲软件的机场,并对其系统进行了加密。
4.南非司法部网络遭受勒索软件攻击
攻击事件发生在9月6日,此次攻击导致所有信息系统被加密,内部员工和公众都无法使用。该部门提供的所有电子服务都受到影响,包括签发授权书、保释服务、电子邮件和该部门网站。南非政府司法部正在努力恢复其运营,并启动了此类事件的应急计划,以确保该国某些活动的继续。受到此攻击事件的影响,司法和宪法发展部表示,儿童抚养费现在暂停支付,直到系统重新上线。
勒索解密情报
1.Bitdefender为REvil/Sodinokibi 勒索软件提供免费的通用解密器
Revil勒索团伙在过去的两年内频繁作案,最初主要利用RDP暴力破解进行攻击,后来又用了各种不同的攻击技术,比如邮件钓鱼、僵尸网络分发和高危漏洞利用,在国内也非常猖獗,造成了巨大的不良影响。
2021年9月16日,bitdefender宣布发布REvil/Sodinokibi勒索病毒通用免费解密工具,该工具可以解密此勒索病毒在2021-7-13日之前加密的所有文件。
工具使用详情 https://www.bitdefender.com/blog/labs/bitdefender-offers-free-universal-decryptor-for-revil-sodinokibi-ransomware/,挑选一个REvil/Sodinokibi家族的勒索进行测试,被勒索后系统桌面如下图:
被勒索后的系统桌面
通过bitdefender提供的工具可以成功解密出被加密的文件:
解密前和解密后的文件的对比
2.Babuk勒索家族源代码泄露
Babuk勒索家族是从2021年1月份开始运营的勒索软件,是2021年最为活跃的勒索家族之一,在袭击了华盛顿特区的大都会警察局(MPD)之后感受到美国的执法压力,该团伙于9月初在一个俄文的黑客论坛上泄露了此勒索家族的源代码。阿里云安全中心根据泄露的相关信息,下载了babuk的源码进行了分析,其中包含适用于 VMware ESXI,NAS和Windows的加密器和解密器,以及勒索windows平台上勒索生成器等相关的源代码。
ESXi、NAS 和 Windows Babuk 勒索软件源代码
ESXi和Windows版本的代码主要是c++开发,但是NAS版本的代码主要是golang语言开发,可以看到golang语言的的跨平台和易用性慢慢的收到了恶意代码开发者的青睐,为恶意代码变种跟中和检测带来了新的挑战。
Babuk泄露的NAS版本源代码
根据泄露的源代码有助于防范Babuk勒索攻击的发生,但是同时也会拉低了其他潜在犯罪团伙制作勒索软件的成本,可能会涌现出更多的勒索软件新家族。
参考链接
https://sec-lab.aliyun.com/2021/07/01/Globeimposter勒索病毒新变种分析/
https://www.zerofox.com/blog/babuk-ransomware-variant-delta-plus/
https://tacix.at/posts/Babuk%20Source%20Code%20Leak%20-%20Golang%20Encryptor.html
https://docs.microsoft.com/zh-cn/security/compass/human-operated-ransomware
https://threatpost.com/microsoft-mshtml-ryuk-ransomware/174780/
https://securityaffairs.co/wordpress/121702/data-breach/lockbit-gang-bangkok-airways.html