勒索攻击层出不穷,安全企业Palo Alto点名四个新兴威胁

勒索攻击无所不在,安全企业Palo Alto Networks 13日宣布,为了解不断发展的勒索软件变体,通过旗下Unit 42方案监控现有勒索软件组织的活动,搜索暗网泄露站点和新的站点,发现了4个新兴且正在影响组织运营的勒索软件组织。

第一个组织名为“AvosLocker”。AvosLocker遵循勒索软件即服务(Ransomware as a Service, RaaS)的模型,于今年6月下旬开始运营;并使用蓝色甲虫标志在与受害者的交流和招募新分支机构的“新闻稿”中表明自己的身份。

AvosLocker使用蓝色甲虫标志。 (Source:Palo Alto)

Palo Alto表示,与勒索软件一样,AvosLocker提供技术支持,帮助受害者在遭受加密软件攻击后恢复,该组织声称该软件具有“预防故障”功能,检测率低,能够处理大型文件。该勒索软件还有一个勒索网站,声称影响了包含美国、英国、阿拉伯联合酋长国、比利时、西班牙和黎巴嫩等国家,而最初赎金要求金额从50,000~75,000美元不等。

第二个组织为“Hive”,同样于今年6月开始运行。Hive是一种双重勒索软件,且明显地表现出不在乎受害者的福祉,攻击包括医疗保健和无法管理勒索软件攻击的中型组织;自今年6月起,Hive已经影响了28个组织。

Hive使用倒计时向受害者施加压力。 (Source:Palo Alto)

Palo Alto指出,Hive使用勒索工具,集中所有可用的工具向受害者施加压力,并且在其网站上披露包括最初妥协的日期、倒计时、安全外泄的日期,甚至有在社交媒体上分享已披露的安全外泄的选项。

第三个组织则是“HelloKitty”。其实HelloKitty并非新的勒索软件组织,最早可追溯到2020年,主要针对Windows系统发动攻击。然而,在今年7月,Palo Alto观察到HelloKitty针对VMware的ESXi管理程序的Linux变体,该管理程序广泛用于云计算和本地数据中心。

LockBit 2.0会修改受害者计算机壁纸,提醒受害者意识到他们被黑。 (Source:Palo Alto)

Palo Alto透露,奇怪的是,攻击者在不同样本的赎金票据中共享的首选通信模式是TOR URL和特定受害者的Protonmail电子邮件地址,这可能代表不同的攻击活动或完全不同的威胁参与者。该变体影响了意大利、澳洲、德国、荷兰和美国等5个国家,最高赎金要求金额为1,000万美元。

最后一个组织是“LockBit 2.0”,其为已成立3年的RaaS运营商,不过在今年6月推出一项招募新分支机构的巧妙营销活动之后,让该运营商最近被和一些备受瞩目的攻击联想在一起。LockBit 2.0声称提供勒索软件市场上最快的加密服务,它影响了多个产业,并在泄密网站上列出了52名受害者。

Palo Alto认为LockBit 2.0与REvil手法类似,如果加密成功,LockBit 2.0勒索软件会修改受害者的计算机壁纸,提醒受害者意识到他们被黑;且壁纸还会显示一则广告,鼓吹让所有组织倍感压力的内部威胁。

Palo Alto强调,随着REvil和Darkside等主要勒索软件组织低调行事或重命名以逃避执法和媒体的关注,新的团体将会出现以取代不再积极针对受害者的勒索组织;虽然LockBit和HelloKitty之前一直很活跃,但它们最近的演变说明旧的组织将如何重新出现并持续带来威胁。

(首图来源:shutterstock)