伴随着勒索软件攻击愈来愈繁杂、周期时间愈来愈长、攻击目标的使用价值愈来愈高,勒索软件的赎金也节节攀升。近日勒索软件Ryuk从某被害公司那边取得成功获得3400万美金赎金,一度更新了公布的赎金纪录。
如烈火般肆虐的勒索软件的下一个目标到底是谁?这一行当究竟有多“挣钱”?勒索软件攻击方式为什么能屡次见效,在企业网络里偷天换日,翻江搅海的呢?
一次夺得3400万美金赎金
依据Advanced Intelligence的Vitali Kremez的观点,Ryuk集团公司最近的关键目标是高新科技、诊疗、电力能源、金融信息服务和政府机构。
保健医疗和社会化服务方面的安排在全部勒索软件受害人中常占占比稍高于13%。
自“重出江湖”至今,Ryuk勒索软件巅峰对决,锐不可当。依据Check Point10月的一份汇报强调,Ryuk团伙在2020年第三季度均值每星期攻击20家企业。
Ryuk勒索软件的全新“致命性成绩”包含Universal Health Services(UHS)、大联盟IT服务企业 Sopra Steria、Seyfarth Shaw法律事务所、办公室家具大佬Steelcase及其布鲁克林和佛蒙特州的大医院的数据加密互联网。
Kremez表露,Ryuk接到的赎金均值额度约48BTC(贴近75万美金),为此估计,自2018年至今,Ryuk团伙最少赚了1.5亿美金,在勒索软件行当中表現突显,此外一个“销售业绩”突显的勒索软件是REvil。依据Russia OSINT先前的报导,REvil勒索软件房地产商本月月初公布“财务报告”宣称2020年早已获得1亿美金。
在昨日的一份报告书中Kremez表露说,说德语的Ryuk团伙在洽谈中体现得十分强势,非常少作出从轻处理。他们得到的最大的一笔赎金为2,200BTC,以当前的数字货币市场走势估计贴近3400万美金。
Ryuk的15步攻击链
正如i春秋以前《勒索软件防御力最重要指标值:停留時间》所报导过的,现如今勒索软件均值停留時间仅有43天,相对性别的APT攻击动则几个月乃至多年而言较短,防御者想尽办法去减少停留時间,而勒索软件的攻击者则期望可以争得更多的的时间来横着挪动、锁住大量使用价值目标并消除尽量多的印痕。
针对防御者而言,减少停留時间最重要的方式 便是弄清楚勒索软件攻击的TTP战略方式。
近日,剖析来源于事情回应参加的攻击步骤后,Kremez注意到Ryuk团伙“仅”花了15个流程就寻找互联网上的可以用服务器,盗取管理人员等级的凭证并完成布署Ryuk勒索软件。
Ryuk团伙应用的系统绝大多数全是开源系统的,蓝队也应用这种手机软件来测试网络安全系数:
- Mimikatz-运用后的专用工具,用以从运行内存中存贮凭据;
- PowerShell PowerSploit-用以中后期运用的PowerShell脚本制作结合;
- LaZagne-与Mimikatz类似,用以从在本地存储数据信息的系统中搜集登陆密码;
- AdFind-Active Directory查询工具;
- Bloodhound-运用后专用工具,用以枚举类型和数据可视化Active Directory域,包含机器设备、登陆的客户、資源和管理权限;
- PsExec-容许在远程控制系统软件上实行过程。
在Ryuk攻击链的起始环节,攻击者运作Cobalt Strike的“invoke”指令,以实行“DACheck.ps1”脚本制作,以查验现阶段客户是不是Domain Admin组的一部分。
随后,根据Mimikatz查找登陆密码,投射互联网,并在端口扫描器FTP、SSH、SMB、RDP和VNC协议书后鉴别服务器。
Kremez详解了Ryuk攻击的十五个详细流程,并另附了Cobalt Strike指令(通过编写):
Ryuk攻击此外一个非常值得留意的发展趋势是:从2020年4月逐渐,Ryuk的关键推广方式之一Trickbot犯罪团伙就根据鱼叉式钓鱼攻击主题活动散播Bazar Loader侧门。与广为流传的Trickbot恶意程序不一样,该恶意程序最开始很有可能是为高使用价值目标提前准备的,可以构建能向操作工给予远程控制访问限制的Cobalt Strike信标。
但是,近期一段时间至今,散播Bazarloader侧门的钓鱼邮件愈来愈广泛,普遍技巧是应用与攻击時间(节日、事情),或实用性主题风格(举报、工资条、服务项目或聘请通告)有关的的鱼饵。
【文中是51CTO栏目创作者“i春秋”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章