随着勒索软件攻击越来越复杂、周期越来越长、攻击目标的价值越来越高,勒索软件的赎金也水涨船高。近日勒索软件Ryuk从某受害企业那里成功获取3400万美元赎金,一度刷新了公开的赎金记录。
如野火般肆虐的勒索软件的下一个目标是谁?这个行当到底有多“赚钱”?勒索软件攻击手段为何能屡屡奏效,在企业网络里偷天换日,翻江倒海的呢?
一次斩获3400万美元赎金
根据Advanced Intelligence的Vitali Kremez的说法,Ryuk集团近期的主要目标是科技、医疗、能源、金融服务和政府部门。
医疗保健和社会服务领域的组织在所有勒索软件受害者中所占比例略高于13%。
自“重出江湖”以来,Ryuk勒索软件火力全开,势如破竹。根据Check Point10月的一份报告指出,Ryuk团伙在2020年第三季度平均每周攻击20家公司。
Ryuk勒索软件的最新“致命战绩”包括Universal Health Services(UHS)、大联盟IT服务公司 Sopra Steria、Seyfarth Shaw律师事务所、办公家具巨头Steelcase以及布鲁克林和佛蒙特州的医院的加密网络。
Kremez透露,Ryuk收到的赎金平均金额约48比特币(接近75万美元),以此估算,自2018年以来,Ryuk团伙至少赚了1.5亿美元,在勒索软件行当中表现突出,另外一个“业绩”突出的勒索软件是REvil。根据Russia OSINT此前的报道,REvil勒索软件开发商本月初发布“财报”声称2020年已经赚取1亿美元。
在昨天的一份报告中Kremez透露说,说俄语的Ryuk团伙在谈判中表现得非常强硬,很少做出宽大处理。它们获得的最大一笔赎金为2,200比特币,以目前的加密货币市场行情估算接近3400万美元。
Ryuk的15步攻击链
正如安全牛之前《勒索软件防御最重要指标:驻留时间》所报道过的,如今勒索软件平均驻留时间只有43天,相对其他APT攻击动辄数月甚至数年来说较短,防御者想方设法去缩短驻留时间,而勒索软件的攻击者则希望能够争取更多时间来横向移动、锁定更多价值目标并清除尽可能多的痕迹。
对于防御者来说,缩短驻留时间最重要的方法就是搞清楚勒索软件攻击的TTP战术手段。
近日,分析来自事件响应参与的攻击流程后,Kremez注意到Ryuk团伙“仅”花了15个步骤就找到网络上的可用主机,窃取管理员级别的凭据并成功部署Ryuk勒索软件。
Ryuk团伙使用的软件大部分都是开源的,红队也使用这些软件来测试网络安全性:
在Ryuk攻击链的初始阶段,攻击者运行Cobalt Strike的“invoke”命令,以执行“DACheck.ps1”脚本,以检查当前用户是否是Domain Admin组的一部分。
然后,通过Mimikatz检索密码,映射网络,并在端口扫描FTP、SSH、SMB、RDP和VNC协议后识别主机。
Kremez详细介绍了Ryuk攻击的十五个完整步骤,并附上了Cobalt Strike命令(经过编辑):
Ryuk攻击另外一个值得关注的趋势是:从2020年4月开始,Ryuk的主要投放渠道之一Trickbot团伙就通过鱼叉式网络钓鱼活动传播Bazar Loader后门。与广为人知的Trickbot恶意软件不同,该恶意软件最初可能是为高价值目标准备的,可以部署能向操作员提供远程访问权限的Cobalt Strike信标。
不过,最近一段时间以来,传播Bazarloader后门的钓鱼邮件越来越普遍,常见手法是使用与攻击时间(节日、事件),或通用性主题(投诉、工资单、服务或聘用通知)相关的的诱饵。
戳这里,看该作者更多好文
网络安全专家建议,用户要断网开机,即先拔掉网线再开机,这样基本可以避免被勒索软件感染。 开机后应尽快想办法打上安全补丁,或安装各家网络安全公司针对此事推出的防御工具,才可以联网。 建议尽快备份电脑中的重要文件资料到移动硬盘、U 盘,备份完后脱机保存该磁盘,同时对于不明链接、文件和邮件要提高警惕,加强防范。 临时解决方案:1、开启系统防火墙2、利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)3、打开系统自动更新,并检测更新进行安装Win7、Win8、Win10的处理流程1、打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙。 2、选择启动防火墙,并点击确定3、点击高级设置4、点击入站规则,新建规则5、选择端口,下一步6、特定本地端口,输入445,下一步7、选择阻止连接,下一步8、配置文件,全选,下一步9、名称,可以任意输入,完成即可。 XP系统的处理流程1、依次打开控制面板,安全中心,Windows防火墙,选择启用2、点击开始,运行,输入cmd,确定执行下面三条命令:net stop rdr 、net stop srv 、net stop netbt
发表评论