就在新冠肺炎(COVID-19)疫情冲击全球人们之际,安全企业Intel 471认为勒索软件即服务(Ransomware-as-a-service,RaaS)已成为这波疫情中的疫情,在去年与今年总计有25个RaaS问世,而且它们发动攻击的规模与所造成的灾情几乎无法确实统计。
Intel 471列出了在这两年出现的25个RaaS,其中有17个是今年才问世,此外,在这些RaaS中,有11个属于尚未接获攻击报告的服务,有9个被列为已出现攻击案例且正快速增长中的服务,另外5个则是经常传出灾情的服务,涵盖DopplePaymer、Egregor/Maze、Netwalker、REvil与Ryuk。
研究人员指出,勒索软件的猖獗已经到了连非安全产业的人都认识它的程度了,而且就算是老练的安全专家,也很难评估勒索软件的品质与它所能造成的伤害,尽管攻击事件不断地曝光,但有鉴于许多组织在遭受攻击时选择保持沉默,而使得安全产业难以估算攻击数量或受害者的平均成本。
另一方面,黑客势力正暗潮汹涌中,促使Intel 471公布近来的调查成果,以协助外界理解该日益严重的攻击行为。
在被Intel 471列为最凶猛的5个RaaS都是在去年就问世了,研究人员猜测DopplePaymer是由先前的BitPaymer集团所打造,它通常是在入侵受害者网络并下载了机密资料之后,采用手动部署;DopplePaymer攻击了墨西哥电场Pemex,以及与美国联邦政府合作的不同IT委外公司,最著名的事迹则是在今年9月攻击了德国杜塞道夫大学医院(Duesseldorf University Hospital),导致一名来不及转院的急诊病患死亡。
其实黑客的攻击目标并非德国杜塞道夫大学医院,而是杜塞道夫大学,在黑客得知搞错目标之后,发送了解密密钥给该院,只是为时已晚。
而Egregor则是由原来的Maze勒索软件团队所操纵,也可能与Sekhmet勒索软件有关,其受害者包括Crytek、Ubisoft及Barnes & Noble。则Netwalker被视为最多产的SaaS之一,它利用无文件感染技术绕过Windows的用户账号控件,买家可选择只加密单一计算机或整个网络,估计至少有25起攻击事件与Netwalker有关。
同样在去年现身的REvil则是专找漏洞下手,像是甲骨文WebLogic服务器的CVE-2019-2725漏洞,或是各种远程桌面协议(RDP)漏洞,曾宣称在开采过时的Citrix与Pulse Secure远程访问软件时,只花了3分钟就渗透受害者的整个网络,不论是英国的金融服务供应商Travelex、美国的娱乐及媒体法律公司Grubman Shire Meiselas & Sacks,或者是德州的23个政府机构,都是REvil的受害者。
几乎已被视为勒索软件同义词的Ryuk,也是最受攻击者青睐的勒索软件之一,它经常借由Trickbot与Emotet感染受害组织,全球大约有几百万起的勒索软件攻击与Ryuk有关,有些安全研究人员认为Ryuk占了今年勒索软件攻击总数的1/3。值得注意的是,Ryuk今年的攻击行动锁定健康看护领域,最有名的例子之一是在美、英设有超过400家医院的Universal Health Systems(UHS)。
此外,不管是这五大勒索集团,或是逐渐崛起的新兴勒索集团,都开始于暗网中架设博客,以公布受害者名单,或是公布自受害者网络所下载的机密资料。