勒索攻击无所不在,资安业者 Palo Alto Networks 13日宣布,为了解不断发展的勒索软件变体,透过旗下 Unit 42 方案监控现有勒索软件组织的活动,搜索暗网泄漏站点和新的站点,发现了 4 个新兴且正在影响组织营运的勒索软件组织。
第一个组织名为“AvosLocker”。AvosLocker 遵循勒索软件即服务(Ransomware as a Service, RaaS)的模型,于今年 6 月下旬开始营运;并使用蓝色甲虫标志在与受害者的交流和招募新分支机构的“新闻稿”中表明自己的身份。
▲ AvosLocker 使用蓝色甲虫标志。(Source:Palo Alto)
Palo Alto 表示,与勒索软件一样,AvosLocker 提供技术支援,帮助受害者在遭受加密软件攻击后恢复,该组织声称该软件具有“预防故障”功能,检测率低,能够处理大型文件。该勒索软件还有一个勒索网站,声称影响了包含美国、英国、阿拉伯联合酋长国、比利时、西班牙和黎巴嫩等国家,而最初赎金要求金额从 50,000~75,000 美元不等。
第二个组织为“Hive”,同样于今年 6 月开始运行。Hive 是一种双重勒索软件,且明显地表现出不在乎受害者的福祉,攻击包括医疗保健和无法管理勒索软件攻击的中型组织;自今年 6 月起,Hive 已经影响了 28 个组织。
▲ Hive 使用倒数计时向受害者施加压力。(Source:Palo Alto)
Palo Alto 指出,Hive 使用勒索工具,集中所有可用的工具向受害者施加压力,并且在其网站上披露包括最初妥协的日期、倒数计时、资安外泄的日期,甚至有在社交媒体上分享已披露的资安外泄的选项。
第三个组织则是“HelloKitty”。其实 HelloKitty 并非新的勒索软件组织,最早可追朔到 2020 年,主要针对 Windows 系统发动攻击。然而,在今年 7 月,Palo Alto 观察到 HelloKitty 针对 VMware 的 ESXi 管理程式的 Linux 变体,该管理程式广泛用于云端和本地数据中心。
▲ LockBit 2.0 会修改受害者电脑桌布,提醒受害者意识到他们被骇。(Source:Palo Alto)
Palo Alto 透露,奇怪的是,攻击者在不同样本的赎金票据中共享的首选通讯模式是 TOR URL 和特定受害者的 Protonmail 电子邮件地址,这可能代表不同的攻击活动或完全不同的威胁参与者。该变体影响了意大利、澳洲、德国、荷兰和美国等 5 个国家,最高赎金要求金额为 1,000 万美元。
最后一个组织是“LockBit 2.0”,其为已成立 3 年的 RaaS 营运商,不过在今年 6 月推出一项招募新分支机构的巧妙行销活动之后,让该营运商最近被和一些备受瞩目的攻击联想在一起。LockBit 2.0 声称提供勒索软件市场上最快的加密服务,它影响了多个产业,并在泄密网站上列出了 52 名受害者。
Palo Alto 认为 LockBit 2.0 与 REvil手法类似,如果加密成功,LockBit 2.0 勒索软件会修改受害者的电脑桌布,提醒受害者意识到他们被骇;且桌布还会显示一则广告,鼓吹让所有组织备感压力的内部威胁。
Palo Alto 强调,随着 REvil 和 Darkside 等主要勒索软件组织低调行事或重新命名以逃避执法和媒体的关注,新的团体将会出现以取代不再积极针对受害者的勒索组织;虽然 LockBit 和 HelloKitty 之前一直很活跃,但它们最近的演变说明旧的组织将如何重新出现并持续带来威胁。
(首图来源:shutterstock)
