北京 - 2019年8月5日 - 针对性勒索软件打击已迅速成为最危险的网络犯法威胁之一。在过去的两年里,跟着勒索软件打击团伙的不停涌现,遭受针对性勒索软件打击的企业数量也大幅上涨。
针对性勒索软件可能会给企业或组织带来十分严重甚至毁灭性的影响。打击者凡是会尽最大可能测验考试加密更多的计算机,他们的打击方针大多为处事器和日常计算机,并且绝大部分打击会测验考试加密或粉碎备份数据。遭到打击的企业可能会产生重大的运营中断事件,掉去对重要数据和处事的访谒权限。除了勒索软件断根事情造成的高额财务支出,企业还会因此承受业务损掉,同时名誉也会受到损害。
面对这种庞大难堪的场所排场,一些遭到打击的企业会考虑付出巨额赎金。也正是因此,越来越多的网络罪犯将目光投向了针对性勒索软件。
赛门铁克在最新颁布的白皮书中指出,自 2018 年初以来,遭遇针对性勒索软件打击的企业数量迅速增加。
威胁系数与日俱增
大量新兴的针对性勒索软件犯法团伙不停涌现,打击数量大幅增加。在过去的一段时间内,只有 SamSam (Ransom.SamSam) 这一个已知的犯法团伙,它们曾经将打击矛头指向了美国境内的一系列企业。然而,SamSam的告成也意味着会有更多犯法团伙争相进入这一利基市场,牟取不义之财。2018 年初,另一个犯法团伙 Ryuk (Ransom.Hermes) 进入了人们的视线,它的月打击数量很快便赶过了Samsam。
到 2019 年初,针对性勒索软件数量倍增,多个犯法团伙相继呈现,包孕 GoGalocker(又称 LockerGoga)(Ransom.GoGalocker)、MegaCortex (Ransom.MegaCortex) 和 RobbinHood (Ransom.Robbinhood)。除了专门策动针对性打击的犯法团伙以外,还呈现了大量勒索软件犯法团伙,例如 GandCrab(Ransom.GandCrab) 和 Crysis(别名 Dharma)(Ransom.Crysis),据报道,这些团伙不只策动无分歧打击,还会实施针对性打击。
去年遭遇针对性勒索软件打击的企业数量成倍增加。
新型威胁
GoGalocker于2019 年 1 月初度被发明 ,它是企业当前面临的范例性针对性勒索软件打击之一。勒索软件背后的打击者都拥有极强的常识与技能储蓄,为了同时加密尽可能多的设备,他们会渗透到受害者的网络傍边,部署一系列工具来入侵并获取网络拓扑,同时使用各类技术来逃避检测。
在实施打击时,GoGalocker 会借用大量间谍组织的工具和技术,广泛操作果然的黑客工具和现行战术。一旦侵入受害者的网络,打击者就会运行 PowerShell 命令来启动 shellcode,以接收打击者的命令,进而控制处事器。然后,打击者会部署多种工具以入侵网络并窃取根据:
PuTTY:一个用于创建 SSH 会话的命令行实用措施。
Mimikatz (Hacktool.Mimikatz):一款免费的工具,能够按照配置变动权限、导出安适证书并将 Windows 暗码恢复为纯文本形式。
Wolf-x-full:一款多用途工具,能够盘问一系列长途设备的根基信息,检察安置措施列表,卸载措施,禁用 Windows 用户帐户控制 (UAC) 和 UAC 长途限制,以及禁用 Windows 防火墙。
GoGalocker 会在打击期间部署大量检测规避技术,例如使用合法凭证对勒索软件进行数字签名,以提高其可信任度。在安置勒索软件之前,打击者凡是还会测验考试禁用安适软件,这一行为并非操作安适软件中的固出缺陷或缝隙来禁用安适软件,而是使用被盗的打点员凭证来*或卸载安适软件。
赛门铁克不雅察看到,部分打击者一旦完成网络拓扑获取,便会使用批措置惩罚惩罚文件将勒索软件流传到多台计算机中,然后再执行加密过程。
最后,为了谨慎起见,打击者也会注销当前用户。再某种特定情况下,他们还会使用 net.exe 命令变动本地用户和打点员暗码,以阻止其他人登录并遏制加密过程。
自 2019 年初初度呈现以来,GoGalocker 已经对众多行业进行了打击,此中包孕计算机处事、会计和审计、咨询、金融处事、电动工具、建筑和施工、出版、印刷、金属和仓储。此中 23% 的方针企业位于美国,但除此之外,还有较高比例的受害者位于斯堪的纳维亚半岛,包孕芬兰 (23%)、挪威(15%) 和瑞典 (8%)。
与 MegaCortex 的关联
在此项调研中,最有趣的发明之一等于 GoGalocker 和 MegaCortex 之间的关联。这两个勒索软件都存在以下操纵行为:
在 C:\\ 中创建一个日志文件
给与主/从模式
在 Boost 库中使用模块进程间通信共享数据,并在主从设备之间进行通信
在加密前使用函数枚举逻辑驱动器
使用本机函数来措置惩罚惩罚方针文件:
NtOpenFile、NtReadFile、NtWriteFile、NtClose
使用 AES-128-CTR 加密文件
完成加密过程后,执行命令 “cipher.exe /w” 擦除未使用的数据