九种勒索软件“助推器”以及对抗它们的策略

九种勒索软件“助推器”以及对抗它们的策略

得益于“网络犯罪即服务”(cybercrime-as-a-service)生态系统的蓬勃发展,勒索软件业务仍在愈演愈烈。

其中一些服务主要基于犯罪分子利用组织尚未修补的已知漏洞”找到变通方法,例如“渗透测试者”和“访问代理”的广告贴,前提是这些广告没有特别提及加密锁定恶意软件的字眼。

尽管一些较大的论坛已经禁止讨论勒索软件,但一些较小的参与者似乎并不排斥它们,其中还不乏一些新涌现的论坛。

据以色列威胁情报公司Kela称,7月12 日,Babuk勒索软件运营商的数据泄露站点(6月份已从Babuk更名为Payload.bin)再次变成一个名为RAMP的网络犯罪论坛。Kela公司威胁情报分析师Victoria Kivilevich在一份新的研究报告中表示。

九种勒索软件“助推器”以及对抗它们的策略

该数字还并不包括所有此类出售的访问权限,因为一些勒索软件操作与初始访问经纪人建立了合作伙伴关系,或者向他们提供“回扣”以获得优先购买权。其他经纪人会列出他们提供出售的一些“访问权限”,但会告诉潜在买家直接与他们联系以获取有关其他目标的九种勒索软件“助推器”以及对抗它们的策略

因此,拥有强大的网络钓鱼解决方案并锁定RDP仍然是增强防御能力的明智之举。

6. 未修补的漏洞同样提供访问权限

在使用勒索软件的攻击者获取访问权限的列表中,排名第三的是利用安全漏洞。Coveware表示,从4月到6月,它发现攻击者特别喜欢利用两个漏洞作为切入点,以获取对组织网络的远程访问权限。这些漏洞分别为影响SSL VPN设备的Fortinet FortiOS路径遍历漏洞(CVE-2018-13379),以及SonicWall SRA 4600设备中的漏洞(CVE-2019-7481)。

FireEye的Mandiant事件响应小组在一份报告中表示,在供应商发布补丁之前,它观察到一群使用FiveHands勒索软件的组织于2月开始针对SonicWall SMA 100系列VPN设备中的漏洞。

英特尔471补充道,FiveHands的成员之后还利用了VMware Sphere Client漏洞(供应商已于5月份完成修补)以及被称为“PrintNightmare”的Windows Print Spooler Service漏洞(微软于7月对其进行了全面修补)。

永恒存在的“补丁或灭亡”的问题意味着,一旦供应商发布安全修复程序,攻击者就会竞相对其进行逆向工程,以找到他们可能利用的漏洞,从而轻松聚焦尚未安装更新的新受害者。

英特尔471表示,网络犯罪分子和其他任何人一样关注CVE,而且他们清楚地知道组织在修复漏洞方面存在拖延现象,而正是这些漏洞为犯罪分子提供了执行攻击所需的访问权限。

7. 开源选项催生更多攻击

恶意软件源代码经常被泄露或在野外转储,使犯罪分子能够重用和改编它。这种例子比比皆是:例如,2011 年,臭名昭著的Zeus银行木马的源代码因不明原因在网上泄露,并迅速被众多不法分子滥用。

就在2016年8月针对物联网的Mirai僵尸网络出现几周后,其创建者在网上泄露了源代码,其最初的目的很可能是试图让调查人员偏离轨道。但糟糕的是,许多其他犯罪分子已经迅速改编并重新利用了该恶意软件。

在勒索软件方面,2015年,安全研究人员Utku Sen将EDA2和Hidden Tear构建为开源勒索软件,并将源代码发布在GitHub上。虽然研究人员表示该代码是为教育目的而开发的,但它很快就被犯罪分子滥用,甚至衍生了具有“Pokemon Go”(一款结合了AR技术的游戏)主题的恶意软件变体。

不过,这种事情对安全研究人员来说也具有警示意义:永远不要将概念验证(PoC)勒索软件在野发布。

8. 泄漏满足加密锁定恶意软件的需求

最近,有人泄露了一个名为“Babukbuilder”的Windows可执行文件,结果证明它是Babuk使用的关键软件。

该构建器用于生成恶意软件的唯一副本,在Babuk勒索软件模式下,用于为每个不同的受害组织生成加密锁定恶意软件和解密工具。

该可执行文件最初是由总部位于伦敦的时尚零售巨头Arcadia Group的安全运营中心负责人 Kevin Beaumont发现的,他报告称它会生成恶意软件并影响“Windows、VMware ESXi、网络附加存储x86和ARM,以及广泛使用的VMware hyperviso和NAS设备”。

包括Beaumont在内的安全专家已经证实了该软件的有效性。

显然,一些不太先进的犯罪分子也泄露了他们的工具。英特尔471报告称,6月下旬,一名使用信息窃取恶意软件Vidar的运营商向机器人发出了‘下载和执行’任务,旨在安装由构建者生成的Babuk勒索软件变体。

9. 重用恶意软件缩短开发周期

很显然,一些恶意软件开发人员正在借用、共享或窃取代码。例如,英特尔471报告称,“Conti 勒索软件和BazarLoader之间的代码存在多种相似之处”,BazarLoader是一种旨在提供对受感染端点的远程访问的恶意软件。

此类持有勒索软件的攻击者以前曾使用此类恶意软件(包括BazarLoader)来获得设备的初始访问权限,然后下载并运行其他工具和恶意软件,例如Ryuk和Vaet。

但英特尔471 表示,开发Conti的人似乎借用了BazarLoader的一些代码。它说,一个特别的相似之处在于代码允许Conti在一个孤立的实例(比如沙箱或虚拟机)中逃避分析。该函数的代码与BazarLoader使用的代码几乎相同,两个函数都遵循精确的逻辑并在搜索hook时以相同的方式执行。

不幸的是,一旦此类代码被滥用,并没有什么简单的方法可以消除它。然而,在某些情况下,安全公司可以根据它的工作方式推断出发现它在野运行的方法,以帮助组织防御它。

本文翻译自:https://www.bankinfosecurity.com/9-ransomware-enablers-tactics-for-combating-them-a-17172如若转载,请注明原文地址。

【编辑推荐】

版权声明:玥玥 发表于 2021-08-18 19:06:00。
转载请注明:九种勒索软件“助推器”以及对抗它们的策略 | 女黑客导航