如果您在企业网络上发现了这些恶意软件中的任何一种,请停止正在执行的所有操作并审核所有系统。
勒索软件组织通过发起大规模电子邮件垃圾邮件活动来运作的日子已经一去不复返了,希望借此感染互联网上的随机用户。
如今,勒索软件运营商已从笨拙的恶意软件团伙发展为一系列具有政府资助的黑客组织的技能,工具和预算的复杂网络犯罪卡特尔。
如今,勒索软件帮派依靠与其他网络犯罪活动的多层次合作伙伴关系。这些被称为“初始访问经纪人”的组织充当地下犯罪分子的供应链,为勒索软件帮派(及其他)提供访问大量受感染系统的权限。
这些系统由被黑客入侵的RDP端点,后门网络设备和感染了恶意软件的计算机组成,使勒索软件帮派可以轻松访问公司网络,升级其访问权限并加密文件以要求巨额赎金。
这些最初的访问代理是网络犯罪领域的关键部分。如今,三种勒索软件脱颖而出,成为大多数勒索软件攻击的来源:
- 受损RDP端点的卖方: 网络犯罪团伙目前正在对配置为远程RDP访问的工作站或服务器进行暴力攻击,这些攻击也已在互联网上以薄弱的凭据暴露在外。这些系统后来在所谓的“ RDP商店”中出售,勒索软件帮派经常从那里选择他们认为可能位于高价值目标网络内部的系统。
- 黑客入侵的网络设备的卖家: 网络犯罪团伙还利用漏洞利用公知的漏洞来控制公司的网络设备,例如VPN服务器,防火墙或其他边缘设备。这些设备及其保护/连接的内部网络的访问权限在黑客论坛或勒索软件帮派中出售。
- 已经感染了恶意软件的计算机的卖方: 如今,许多恶意软件僵尸网络通常会梳理它们感染的计算机,以获取公司网络上的系统,然后将对这些高价值系统的访问权出售给其他网络犯罪活动,包括勒索软件帮派。
防范这三种类型的初始访问媒介通常是避免勒索软件的最简单方法。
但是,尽管防范前两种攻击通常需要遵循良好的密码策略并保持设备更新,但第三种防范措施却更难防范。
这是因为恶意软件僵尸网络运营商通常依靠社会工程来诱骗用户自己在系统上安装恶意软件,即使计算机正在运行最新的软件。
本文重点介绍过去两年来安装勒索软件的已知恶意软件毒株。
在来自Advanced Intelligence, Binary Defense和 Sophos的安全研究人员的帮助下进行了编译 ,以下列表应作为任何组织的“红色代码”时刻。
一旦检测到这些恶意软件压力中的任何一种,系统管理员就应放下所有内容,使系统脱机,然后审核并删除该恶意软件作为最高优先级。
ZDNet将使列表保持最新状态。
Emotet 被认为是当今最大的恶意软件僵尸网络。
在极少数情况下,Emotet直接处理了勒索软件帮派,但是许多勒索软件感染可追溯到最初的Emotet感染。
通常,Emotet会将对受感染系统的访问权出售给其他恶意软件帮派,之后又将自己的访问权出售给勒索软件帮派。
如今,与Emotet关联的最常见的勒索软件感染链是:Emotet-Trickbot-Ryuk
Trickbot 是类似于Emotet的恶意软件僵尸网络和网络犯罪。Trickbot感染了自己的受害者,但也众所周知购买了受Emotet感染的系统,以增加其数量。
在过去的两年中,安全研究人员已经看到Trickbot将其系统的访问权出售给后来部署Ryuk和后来的Conti勒索软件的网络犯罪团伙。
Trickbot-Conti
Trickbot-Ryuk
目前,BazarLoader被认为是由具有链接的小组开发的模块化后门,或者是从主要Trickbot帮派中分离出来的。无论采用哪种方式,该小组都遵循Trickbt的模型,并且已经与勒索软件帮派合作,以提供对其感染系统的访问。
目前,BazarLoader一直被视为原点用于与Ryuk勒索[感染1,2,3 ]。
BazarLoader-Ryuk
在信息安全社区中,有时QakBot,Pinkslipbot,Qbot或Quakbot被称为“较慢的” Emotet,因为它通常会执行Emotet的工作,但是几个月之后。
由于Emotet帮派允许其系统用于部署勒索软件,QakBot最近还与其他勒索软件帮派建立了合作关系。首先使用MegaCortex,然后使用ProLock,目前使用Egregor勒索软件。
QakBot — MegaCortex
QakBot — ProLock
QakBot — Egregor
SDBBot 是由称为TA505的网络犯罪组织运营的恶意软件毒株 。
这不是常见的恶意软件,但已被视为部署Clop勒索软件的事件的起点。
SDBBot-Clop
继Emotet和Trickbot在2017年树立的榜样之后,Dridex又是另一个银行木马帮,已重组为“恶意软件下载器”。
过去,Dridex僵尸网络使用垃圾邮件活动向互联网上的随机用户分发Locky勒索软件,但在过去几年中,他们还使用感染的计算机丢弃BitPaymer或DoppelPaymer勒索软件,以针对性更强地攻击高价值目标。
Dridex-BitPaymer
Dridex-DoppelPaymer
Zloader到了“安装勒索软件”游戏的后期才赶上来,并且已经与Egregor和Ryuk勒索软件系列的运营商建立了合作伙伴关系。
如果有一种恶意软件操作具有扩展能力和连接能力,就是这样。
Zloader-Egregor
Zloader-Ryuk
注意#Zloader !!! 可靠来源的广泛报道已证实#Zloader导致了勒索软件。我建议像对待#BazarLoader一样对待它。https://t.co/vnGixZjfWx-凯蒂·尼克尔斯(@likethecoins)
Buer或Buer Loader是一种恶意软件操作,于去年年底启动,但已在地下网络犯罪中建立了声誉并建立了联系,可以与勒索软件组织合作。
根据Sophos的说法,一些发现Ryuk勒索软件的事件与几天前的Buer感染有关。
Buer—Ryuk
Phorpiex(或称Trik)是规模较小的恶意软件僵尸网络之一,但危险程度也不少。
今年早些时候出现的Avaddon勒索软件感染与Phorpiex有关。尽管Avaddon和Phorpiex都不是通用名称,但应将它们与Emotet,Trickbot和其他名称一样注意。
Phorpiex-Avaddon
日本是#Trik #Phorpiex垃圾邮件活动的目标。# Avaddon #勒索软件已交付。类似#Cerber #GandCrab #Nemty通过这个渠道pic.twitter.com/20S6T3JFmv-milkream(@ milkr3am)
CobaltStrike 不是恶意软件僵尸网络。它实际上是为网络安全研究人员开发的渗透测试工具,也经常被恶意软件帮派滥用。
公司不会受到CobaltStrike的“感染”。但是,许多勒索软件帮派将CobaltStrike组件部署为入侵的一部分。
该工具通常用作控制内部网络中多个系统的方法,并且是实际勒索软件攻击的先兆。
上面列出的许多感染链实际上是 [MalwareBotnet] -CobaltStrike- [Ransomware],而CobaltStrike通常是桥接两者的最常见中介。
应我们的消息来源要求,我们将CobaltStrike列入了我们的清单,他们认为这与事实上的恶意软件菌株一样危险。如果您在网络上看到它,并且没有运行渗透测试,则停止正在做的一切,使系统脱机,并审核攻击入口点的所有内容。
*编译:Domino
*来自:zdnet