研究人员声称已经发现了目前最大的勒索软件即服务(RaaS)利润环。臭名昭著的Cerber勒索软件通过RAAS模式攻击目标计算机用户,每年可获利约250万美元。 勒索软件发展现状分析自2005年以来,勒索软件已经成为最普遍的网络威胁。根据资料显示,在过去11年间,勒索软件感染已经涉及超过7694到6013起数据泄露事故。 多年来,主要有两种勒索软件:基于加密和基于locker的勒索软件。加密勒索软件通常会加密文件和文件夹、硬盘驱动器等。而Locker勒索软件则会锁定用户设备,通常是基于Android的勒索软件。 新时代勒索软件结合了高级分发技术(例如预先建立基础设施用于快速广泛地分发勒索软件)以及高级开发技术(例如使用crypter以确保逆向工程极其困难)。此外,离线加密方法正越来越流行,其中勒索软件利用合法系统功能(例如微软的CryptoAPI)以消除命令控制通信的需要。 勒索软件即服务(RaaS)利润环关于RaaS勒索软件即服务模式是指,勒索软件编写者开发出恶意代码,并提供给其他犯罪分子(有时通过购买),让他们可以通过网络钓鱼或其他攻击发送给目标用户。 近日,根据Check Point公司和IntSights的研究报告显示:Cerber勒索软件选择了RAAS模式,即勒索到解锁服务,同时出租勒索软件套件给其他骗子作为其下线,感染Cerber之后的电脑需要支付1比特币(大约是580美元)进行解锁。据估,仅7月份犯罪分子就已经获取了大约20万美元的收益。 Check Point威胁情报部门经理Maya Horowitz表示:
破解RaaS 产业链已经不是什么新鲜事了。今年6月,网络安全情报公司Flashpoint的安全研究人员就发现了一个代销商组织网络(affiliate network),其中包含主销勒索软件制定者以及简单的勒索软件感染专家(主要负责寻找新的受害者)。但是,Horowitz表示:这一最新发现说明RaaS已经发展到了一个新的水平,它可以利用先进的加密货币洗钱技术——“比特币混合(Bitcoin mixing)”加之运转良好的分销网络系统实现运作。 Horowitz介绍称:比特币混合(Bitcoinmixing),是RaaS网络犯罪使用的一种确保勒索收益逃避追踪的技术。她表示:“比特币混合服务通过将比特币发送地址和接收地址的关系打断,达到无法追踪的目的。此外,用户可以在混合过程的最后环节将钱划分到多个比特币钱包中。” Horowitz解释道:
研究人员表示,勒索软件的开发者会留下40%的利润,其余60%的利润分发给为他们寻找新目标的众多下线。 研究人员称,攻击者正在使用一种CERBER新变种——7月29日发布的“CERBER 2”。Check Point表示,虽然已经进行了更新升级,但仍有针对旧版CERBER勒索软件和CERBER 2版本的解密工具存在。 自2016年2月首次亮相后,CERBER已经与Magnitude, RIG 以及 Nuclear Pack漏洞利用工具包一起,通过垃圾邮件实现大范围的传播。CERBER勒索软件以其利用计算机扬声器向受害者传递语音信息。Cerber勒索软件会生成一套VBScript,标题为“# DECRYPT MY FILES #.vbs”,其允许计算机向受害者播放随机信息。其目前只能朗读英文,但其使用的解密网站则提供12种语言版本。其播放内容包括“注意!注意!注意!”以及“你的文件、图片、数据库以及其它重要文件已经被加密!” Check Point 和 IntSights公司表示,他们能够通过监控受感染的端点和被犯罪分子操纵服务器之间的实际C2通信获得深层智能(deep intelligence)放入CERBER RaaS服务中。 Horowitz称:
根据Check Point统计,单单在上个月,Cerber勒索软件在全球超过201个国家感染了超过15万台电脑。其中感染人数最多的国家是韩国,美国在目标国家行列中排名第四。 目前,勒索软件仍然是一个以社会工程学技术和网络钓鱼相结合的普遍性威胁,大家简单的了解这些现状后,将有助于企业和个人用户加强自身数据的安全性。至少,我们必须要做到的是定期备份重要文件。同样需要强调的是,请大家一定要坚持住,千万不要直接支付赎金。因为这些黑客很可能会盯上有较强支付能力的同一用户。最后,请您持续更新系统中的软件,以避免受到勒索软件的侵害。 *原文链接:threatpost、米雪儿编译 |