从去年开始,勒索软件运营商通过在加密数据之前从受害者那里窃取文件来升级其勒索策略。这些被盗文件随后被用作进一步迫使受害者付款的手段。
许多勒索软件运营商创建了数据泄漏站点,以公开羞辱受害者并发布他们偷走的文件。
由于这是勒索软件的一种标准策略,因此所有攻击都必须视为数据泄露。
以下是勒索软件操作的列表,这些勒索软件操作具有专门的站点,用于泄漏从受害者手中窃取的数据。
带有数据泄漏站点的勒索软件列表
AKO勒索软件
AKO勒索软件于2020年1月开始运行,当时他们开始针对具有公开远程桌面服务的企业网络。
与其他勒索软件不同,Ako要求拥有更多有价值信息的较大公司支付赎金,并要求敲诈勒索才能删除被盗数据。
如果未付款,则受害者的数据将发布在其“数据泄漏博客”上。
CL0P勒索软件
CL0P最初是CryptoMix变体 ,很快成为APT组TA505的首选勒索软件。
该组织的勒索软件活动在对马斯特里赫特大学的267台服务器进行加密之后得到了媒体的关注。
2020年3月,CL0P发布了一个名为“ CL0P ^ -LEAKS”的数据泄漏站点,他们在该站点中发布受害者的数据。
DoppelPaymer勒索软件
在2019年7月,出现了一种新的勒索软件,其外观和行为类似于另一个名为BitPaymer的勒索软件。
人们认为,Crowdstrike研究人员将其命名为DoppelPaymer,BitPaymer 小组的一个成员分拆并创建了这个勒索软件,并将其作为一项新操作。
CrowdStrike的研究人员发布报告后不久,勒索软件运营商采用了该名称,并开始在其Tor付款站点上使用该名称。
DoppelPaymer通过远程桌面黑客和Dridex特洛伊木马程序的访问将受害者定位为目标。
DoppelPaymer的知名受害者包括不列塔尼电信和洛杉矶县的托伦斯市。
2020年2月,DoppelPaymer 启动了一个专门的泄漏站点,他们将其称为“ Dopple Leaks”,并威胁说如果受害者不付款,则会在暗网上出售数据。
Maze勒索软件
迷宫勒索软件一手归咎于窃取文件并以此为手段来诱使受害者付款的新策略。
Maze于2019年5月首次发现,通过漏洞利用工具包,垃圾邮件和网络漏洞迅速将其攻击升级。
在2019年11月,Maze 因未支付赎金而发布了 Allied Universal的失窃数据。
从那时起,他们开始通过黑客论坛上的帖子,并最终通过专门的泄漏站点,为众多受害者发布数据。不久之后,所有其他勒索软件运营商开始使用相同的手段勒索受害者。
迷宫是造成众多知名攻击的原因,其中包括针对网络保险公司Chubb,彭萨科拉市, Bouygues Construction和Banco BCR的攻击。
Nemty勒索软件
勒索软件最初于2019年1月作为名为JSWorm的勒索软件即服务(RaaS)推出,并 于2019年8月更名为Nemty。
当会员分发该勒索软件时,它还使用各种攻击,包括 漏洞利用工具包,垃圾邮件,RDP hack和木马。
3月,Nemty创建了一个数据泄漏站点来发布受害者的数据。目前无法访问该站点。
Nephilim勒索软件
3月30日,Nemty勒索软件运营商开始建立一个名为Nephilim的私有勒索 软件即服务的新会员联盟。
与Nemty(一种允许所有人加入的免费共享的RaaS)不同,Nephilim是通过只招募经验丰富的恶意软件分发者和黑客从头开始构建的。
不久之后,他们创建了一个名为“企业泄漏”的网站,用于发布拒绝支付赎金的受害者的被盗数据。
Netwalker勒索软件
开始的邮寄地址勒索软件 在2019年十月,勒索软件更名为Netwalker 二月2020
Netwalker以对澳大利亚运输公司Toll Group的攻击而闻名,它通过远程桌面黑客和垃圾邮件瞄准公司网络。
2020年5月,纽瓦克(Newalker)开始招募会员,诱使他们支付巨款,并建立了一个自动发布的数据泄漏网站,该网站使用倒计时来试图吓victims受害者付款。
Pysa勒索软件(Mespinoza)
Pysa 首次出现在2019年10月,当时公司开始报告新的勒索软件已经加密了他们的服务器。
勒索软件首次启动时,将.locked扩展名用于加密文件,并于2019年11月切换到.pysa扩展名。
该勒索软件以“ Hi Company”开头的赎金记录和受害者报告远程桌面黑客事件为目标,从而针对公司网络。
对于那些对阅读更多有关此勒索软件感兴趣的人,CERT-FR 对其TTP 有很好的报告。
勒索软件运营商创建了一个名为“ Pysa主页”的数据泄漏站点,如果未支付赎金,他们会在该站点发布其“合作伙伴”的被盗文件。
Ragnar Locker勒索软件
Ragnar Locker首次出现在2020年2月,它是第一个大量定位和终止托管服务提供商(MSP)使用的流程的公司。
该策略表明,它们针对公司网络并终止了这些过程,以逃避MSP的检测,从而使阻止正在进行的攻击变得更加困难。
拉格纳·洛克(Ragnar Locker)在对葡萄牙能源巨头葡萄牙能源公司(EDP)进行加密并要求1,580 BTC赎金后获得了媒体的关注。
RagnarLocker创建了一个名为“ Ragnar Leaks News”的网站,在该网站上,他们发布了未支付赎金的受害者的被盗数据。
REvil / Sodinokibi勒索软件
Sodinokibi 于2019年4月投入运营,据信是GandCrab的继任者,后者 于2019年关闭了勒索软件业务。
Sodinokibi也被称为REvil,在招募了一支全明星的分支机构后一直是公司网络的祸害,这些分支机构专注于利用漏洞利用,被入侵的MSP和垃圾邮件进行的高级攻击。
REvil勒索软件的已知受害者包括 Grubman Shire Meiselas&Sacks(GSMLaw),SeaChange,Travelex,Kenneth Cole和GEDIA Automotive Group。
在Maze开始发布被盗文件之后,Sodinokibi紧随其后,首先在黑客论坛上发布了被盗数据,然后启动了专门的“快乐博客”数据泄漏网站
Sekhmet勒索软件
Sekhmet于2020年3月出现,当时它开始瞄准公司网络。
“您的公司网络已被黑客入侵,已被破坏。我们下载了机密和私人数据。如果在3个工作日内未与我们联系,则这些数据将发布在一个特殊的网站上,以供公众查看。” Sekhmet赎金说。
Sekhmet运营商创建了一个名为“泄漏泄漏和泄漏”的网站,在该网站上发布了从受害者那里窃取的数据。
Snatch勒索软件
自2018年底开始运营以来,Snatch是最早窃取数据并威胁要发布数据的勒索软件感染之一。
他们以前在多个TOR地址创建了一个泄漏站点,但此后将其关闭。不知道他们是否继续窃取数据。
(来源:Zerofox)
勒索软件泄漏数据而没有专用站点
下面的勒索软件操作没有创建专用的“泄漏”网站,而是在黑客论坛上或通过向媒体发送电子邮件来泄漏被盗文件。
CryLock勒索软件
自2014/2015年开始运营的勒索软件Cryakl今年更名为CryLock。
作为品牌重塑的一部分,他们还开始从公司窃取数据,然后再加密文件并泄露这些文件(如果未付款)。
ProLock勒索软件
ProLock 勒索软件 于2019年以PwndLcker的身份开始,当时他们开始针对赎金要求在175,000美元到660,000美元之间的公司网络。
在弱点允许制作解密器后,勒索软件操作员修复了该错误,并将其更名为ProLock勒索软件。
Snake勒索软件
Snake勒索软件于2020年1月开始运行,当时他们开始以网络范围的攻击为目标企业。
最近,Snake为法国医院运营商Fresenius Medical Care 发布了患者数据。
*编译:Domino
*来自:bleepingcomputer