2021年5月12日是国际第二个反勒索软件日，无法否定的是：勒索软件已成为安全界的流行语。这样的说法不是没有理由的,勒索软件的要挟现已存在了很长时刻，可是它也一向在产生改动。年复一年，进犯者变得越来越斗胆，进犯的办法也在不断地完善，当然，体系也在不断地遭到损坏。可是，媒体关于勒索软件的重视首要会集在哪些公司遭到了进犯，而没有集合勒索软件自身。在此陈述中，咱们从勒索软件的日常新闻中退后一步，跟从涟漪回溯到这个别系的中心，以了解勒索软件的安排办法。

　　首要，咱们将戳穿三个先入为主的主意，这些主意阻挠了对勒索软件要挟的正确考虑。接下来，咱们深入研讨暗网，以演示网络违法分子怎么互相影响以及他们供给的服务类型。最终，咱们以两个闻名的勒索软件品牌完毕：REvil和Babuk。

　　不管咱们在编写此陈述方面做了多少作业，在开端阅览之前，请确保已安全备份您的数据!

　　跟着2020年大型猎杀游戏的鼓起，咱们看到了勒索软件国际中许多有目共睹的集体。违法分子发现，受害者假如能够事前树立某种信赖，就更有或许付出赎金。为了确保他们康复加密文件的才干永久不会遭到质疑，他们树立了在线形象，编撰了新闻稿，并尽或许确保一切潜在受害者都知道他们的姓名。

　　可是，经过将自己置于世人重视之下，这些安排掩盖了勒索软件生态体系的实践复杂性。从外部看，它们好像是单一实体。但实践上它们仅仅矛尖。在大多数进犯中，都有很多参加者参加其间，一个要害的关键是，他们经过暗网商场互相供给服务。

　　Botmaster和帐户转销商的使命是供给受害者网络内部的初始拜访权限。在本次评论中，这个生态体系的其他成员(为了便利评论，咱们将其命名为red team)运用此初始拜访权限来取得对方针网络的彻底操控。在此过程中，他们将搜集有关受害者的信息并盗取内部文件。

　　这些文件或许会转发给外包的剖析师团队，他们将测验确认方针的实践财政状况，以便确认他们或许付出的最高赎金价格。剖析师还将留心任何或许用于支撑其勒索战略的灵敏信息或暗示性信息，意图是向决议方案者施加最大压力。

　　当red team预备主张进犯时，一般会从暗网开发人员那里购买勒索软件产品，一般以赎金分红作为沟通。这里有一个可选的人物是packer的开发者，他们能够为勒索软件程序增加维护层，使得它们不易被安全产品所检测到。

　　最终，与受害者商洽或许由别的的团队来处理，当付出赎金后，需求一整套全新的技能，以清洗所取得的加密钱银。

　　一切这一切傍边，一个风趣的点是，“勒索软件价值链”中的各个行为者不需求互相了解，实际上他们也没必要了解。他们经过互联网互相交互，用加密钱银付出服务费用。随之而来的是，拘捕这些实体中的任何一个(虽然对震慑意图有用)对减缓生态体系简直没有用果，因为无法获悉一起违法者的身份，而且在拘捕之后其他供应者将当即添补所形成的空缺。

　　勒索软件国际有必要被了解为一个生态体系，并被这样对待：这是一个只能体系处理的问题，例如，经过阻挠金钱在其内部流转，这首要要求不付出任何赎金。

　　从前对勒索软件生态体系的描绘关于挑选受害者的办法具有重要意义。是的，违法集团越来越肆无忌惮，要求的赎金也越来越多。可是勒索软件进犯对他们来说也有机会主义的方面。据咱们所知，这些团伙不会经过细读英国《金融时报》来决议下一步的方针。

　　令人惊奇的是，取得对受害者网络的初始拜访权的人不是后来布置勒索软件的人，因而需求将拜访搜集视为一个彻底独立的事务。为了使其可行，卖方需求连绵不断的“产品”。花数周的时刻企图打破像《财富》中写的500强公司这样的既定方针，在财政上并不正确，因为要成功打破是一件很困难的作业。取而代之的是，准入卖家寻求更低的方针。这种途径有两个首要来历：

　　僵尸网络一切者。闻名的歹意软件宗族参加了规划最大、影响最广泛的活动。他们的首要方针是创立受感染计算机的网络，虽然此刻感染仅处于休眠状况。僵尸网络一切者(botmaster)将对受害机器的拜访权限作为一种资源出售，能够经过多种办法获利，例如主张DDoS进犯、分发垃圾邮件，或许在勒索软件的状况下，运用这种初始感染来取得安身点在一个潜在的方针。

　　拜访权限的卖家。黑客正在寻觅面向互联网的软件(例如VPN设备或电子邮件网关)中揭露发表的缝隙(1-days)。一旦发表了此缝隙，在防护者运用相应的更新之前，他们将会损坏尽或许多的受影响的服务器。

　　在这两种状况下，只要在进犯者退后一步并澄清他们违反了谁的实际之后，而且这种感染是否或许导致赎金的付出才是实际。勒索软件生态体系中的参加者没有针对性，因为他们简直从不挑选进犯特定的安排。对这一实际的了解突显了公司及时更新面向Internet的服务以及有才干在埋伏感染被运用进行不法行为之前检测出它们的重要性。

　　好吧，严厉来讲，它们是。可是，因为勒索软件生态体系的多样性，这也是一个远不止外表所见的范畴。当然，勒索软件生态体系与其他网络违法范畴(例如，刷卡或出售点(PoS)黑客进犯)之间存在一个有记载的缝隙。但值得指出的是，并非该生态体系的一切成员都来自网络违法黑社会。曩昔，高调的勒索软件进犯被用作一种损坏性手法。能够以为有些APT参加者仍在采纳相似战略来损坏敌对者的经济稳定，一起又有着合理的推诿理由，这并非不合理。

　　相同，咱们上一年发布了一份有关Lazarus group企图参加大型打猎活动的陈述。ClearSky发现了相似的活动，他们将其归因于Fox Kitten APT。研讨人员注意到，勒索软件进犯清楚明晰的盈余才干现已招引了一些国家资助的黑客参加这一生态体系，以此来躲避国际制裁。

　　咱们的数据标明，这种勒索软件进犯仅占总数的一小部分。虽然它们并不能阐明公司的防备体系存在什么问题，但它们的存在却给受害者带来了额定的危险。2020年10月1日，美国财政部OFAC发布了一份备忘录，阐明晰向进犯者汇款的公司需求确保收款人不受国际制裁。该声明好像现已收效，而且它现已对勒索软件商场形成了必定的影响。毫无疑问，对勒索软件运营商进行尽职查询自身便是一个应战。

　　在暗网上出售与网络违法相关的数字产品或服务时，虽然针对单个主题或产品的较小主题渠道，但大多数信息仅集合在少量几个大型渠道上。咱们剖析了三个首要论坛，在这些论坛上汇总了与勒索软件相关的产品。这些论坛是运用勒索软件的网络罪犯进行活跃沟通和买卖的首要渠道。虽然论坛上有数百种林林总总的广告和报价，但为了进行剖析，咱们仅挑选了几十个已由论坛管理安排验证并由具有杰出名誉的集体放置的报价。这些广告包含各式各样的报价，从源代码出售到定时更新的招聘广告，首要是英语和俄语版别。

　　如前所述，勒索软件生态体系由扮演不同人物的参加者组成。暗网论坛部分反映了这种状况，虽然这些商场上的报价首要针对出售或招聘，但就像在任何商场上相同，当运营商需求某些东西时，他们会在论坛上主动更新其广告投进，并在满意需求后当行将其撤下。勒索软件开发人员和会员勒索软件程序的运营商(以下简称“勒索软件即服务”)供给以下服务：

　　第一种类型的参加假定勒索软件组运营者与会员之间存在长时刻的协作关系。一般，勒索软件运营商会分得20%到40%的赢利，而其他60-80%的赢利则归于隶属会员。

　　许多勒索软件运营商正在寻觅协作伙伴，但有些人也在出售勒索软件源代码或自己着手(DIY)勒索软件包，报价从300美元到5000美元不等。

　　就勒索软件的技能熟练程度和卖方投入的精力而言，出售勒索软件源代码或走漏样本是从勒索软件获利的最简略办法。可是，因为源代码和示例会很快失掉其价值，这样的报价也赚得最少。有两种不同类型的报价：有支撑/没有支撑。假如购买的勒索软件没有支撑，则一旦网络安全处理方案检测到勒索软件，购买者就需求自己澄清楚怎么从头打包，或许找到一个能够供给样本从头包装的服务，但这依然很简单就被安全处理方案检测到。

　　供给支撑的服务(固然，在金融类歹意软件商场中更为广泛)一般会供给定时更新并做出有关歹意软件更新的决议方案。

　　供给勒索软件订阅和附加服务看起来与任何其他合法产品的广告十分相似，仅仅利益和价格规划不同

　　虽然暗网上供给的报价的数量和规划必定不小，但商场并不能反映整个勒索软件生态体系。一些大型勒索软件集体要么独立作业，要么直接寻觅协作伙伴(例如，据咱们所知，Ryuk在Trickbot感染后能够拜访其某些受害者的体系，这标明两个集体之间存在潜在的伙伴关系)。因而，论坛一般会保管较小的参加者，要么是中等规划的RaaS运营商，要么是出售源代码的较小参加者或新手。

　　勒索软件商场是一个关闭的商场，其背面的运营商对挑选与谁协作十分慎重。这种慎重反映在运营商放置的广告以及他们挑选协作伙伴时附加的条件上。

　　第一个通用的规矩是对运营商施加地舆条件的约束。当歹意软件操作员与协作伙伴协作时，他们防止在其地点辖区运用歹意软件。会员需求严厉恪守此规矩，不恪守此规矩的协作伙伴会很快失掉对其一向运用的程序的拜访权限。

　　此外，运营商会挑选潜在的协作伙伴，例如经过查看他们宣称自己所来自的国家或区域的了解，来防止自己所招聘的是卧底官员，如下例所示。他们还或许依据其政治观念对某些国籍施加约束。这些仅仅运营商企图确保其安全性的一些办法。

　　在此示例中，该团伙主张经过问询有关前苏联共和国的前史和一般只要俄语为母语的人才干答复的不流畅问题来检查新的隶属安排。

　　依据这则广告，Avaddon或许会考虑说英语的会员，假如他们现已树立名誉或能够供给确保金。

　　为了更具体的进行描绘，咱们挑选了2021年最值得重视的两个大型打猎类勒索软件。

　　第一个是REvil(又叫Sodinokibi)团伙。该勒索软件自2019年以来在地下论坛进步行了广告宣传，并因以RaaS运营商的名誉享有盛誉。该团伙的姓名REvil常常呈现在信息安全社区的新闻头条中。在2021年，REvil运营商索要的赎金最高。

　　另一个是Babuk locker。Babuk是2021年发现的第一个的RaaS团伙，这标明他的活动量很大。

　　REvil是最多产的RaaS运营之一。该团伙的初次活动是在2019年4月，在另一个现已筛选的勒索软件团伙GandCrab关闭之后。

　　为了分发勒索软件，REvil与在网络违法论坛上招聘的会员协作。赎金数量依据受害者的年收入，分销商赚取赎金的60%至75%，运用门罗币(XMR)加密钱银进行付出。依据对REvil运营商的采访，该团伙从2020年的运营中取得了超越1亿美元的收入。

　　开发人员会定时更新REvil勒索软件，以防止被检测到，一起进步持续进犯的可靠性。该团伙在网络违法论坛的各个帖子中宣告一切的严重更新和新的协作伙伴方案项目。2021年4月18日，开发人员宣告勒索软件的* nix施行正在进行关闭测验。

　　REvil运用Salsa20对称流算法经过椭圆曲线非对称算法来加密文件和密钥的内容。该歹意软件样本具有一个加密的装备块，其间包含许多字段，进犯者能够对该payload进行微调。该可执行文件能够在加密之前停止黑名单进程，盗取底子主机信息，对本地存储设备和网络共享上未列入白名单的文件和文件夹进行加密。您能够在咱们的私密(和公共(陈述中，能够更具体地了解REvil的技能功用。

　　现在，勒索软件首要经过受损的RDP拜访、网络垂钓和软件缝隙进行分发。隶属安排担任取得对公司网络的初始拜访权限并布置locker，这是RaaS模型的规范做法。应当指出的是，该团伙对新会员的招募规矩十分严厉：REvil只招募会说俄语、有进入网络经历的高技能协作伙伴。

　　成功进犯后，会产生特权提高、侦查和横向移动。然后，操作员会评价、盗取和加密灵敏文件。下一步是与受进犯的公司进行商洽。假如受害者决议不付出赎金，那么REvil操作员将开端在.onion Happy Blog网站上发布受进犯公司的灵敏数据。在数据走漏网站上发布走漏的秘要数据的战略，最近现已成为Big Game Hunting的干流。

　　值得注意的是，勒索软件运营商已开端对事务协作伙伴和记者运用语音呼叫事务以及DDoS进犯来迫使受害者付出赎金。据运营商称，该团伙于2021年3月推出了一项免费服务，能够安排让会员安排与受害者的协作伙伴和媒体致电，然后施加压力。外加收费的DDoS(L3，L7)服务。

　　REvil宣告了一项新功用，能够联络受害者的协作伙伴和媒体，以便在要求赎金时施加额定压力

　　依据咱们的研讨，该歹意软件影响了近20个事务部分。受害份额最大的职业是工程与制造(30%)，其次是金融(14%)、专业与顾客服务(9%)、法令(7%)以及IT与电信(7%)。

　　2021年4月18日，REvil小组的一名成员宣告，该团伙在招募新成员的论坛上发帖称，该安排行将宣告主张“有史以来最高调的进犯”。4月20日，该安排在Happy Blog网站上发布了许多涉嫌针对Apple设备的规划图纸。依据进犯者的说法，数据是从Quanta的网络中盗取的。Quanta Computer是一家我国台湾的一家制造商，也是Apple的协作伙伴之一。Quanta开端的赎金要求为5000万美元。

　　REvil团伙是Big Game Hunting的典型代表。在2021年，咱们看到了针对公司灵敏数据勒索更多赎金的趋势。他们运用新战略向受害者施加压力，活跃开发非Windows版别，以及定时招募新分支安排的现象都标明在2021年，进犯的数量和规划只会不断增加。

　　2021年4月底，Babuk背面的进犯者宣告活动完毕，称他们将揭露其源代码，以便“做相似开源RaaS的作业”。这意味着，一旦各种规划较小的要挟参加者选用走漏的源代码进行操作，咱们或许会看到新一轮的勒索软件活动。咱们现已在其他RaaS和MaaS项目中看到过这种状况上一年的Android的Cerberus银行木马便是很好的比如。

　　该团伙明显为每个受害者定制了共同的样本，因为它包含安排的硬编码称号、个人勒索软件注释以及加密文件的扩展名。Babuk的运营商也运用RaaS模型。在感染之前，分支安排或运营商会损坏方针网络，因而他们能够确认怎么有用布置勒索软件并评价灵敏数据，然后为受害者设定最高的实际勒索价格。巴布克(Babuk)背面的团队将其小组界说为运用RDP作为感染前言“随机测验企业网络安全性”的赛博朋克(CyberPunks)。该团伙向其会员供给80%的赎金。

　　Babuk在讲俄语和英语的黑客论坛上做广告。2021年1月开端，一个论坛上呈现了有关新勒索软件Babuk的布告，随后的帖子首要重视其更新和会员招募。

　　Babuk的白名单阻挠了以下国家或区域的会员：我国、越南、塞浦路斯、俄罗斯和其他独联体国家。依据ZoomInfo，运营商还制止进犯医院、非营利慈悲安排和年收入低于3000万美元的公司。要参加会员方案，协作伙伴有必要经过有关Hyper-V和ESXi虚拟机管理程序的面试。

　　Babuk或许是第一个因为揭露宣告对LGBT和Black Lives Matter(BLM)社区持负面情绪而登上头条的勒索软件帮派。正是因为这一实际，该安排将这些社区扫除在白名单之外。可是在Babuk数据走漏网站上的一篇关于两个月作业成果总结的帖子中，该团伙陈述说，他们现已将LGBT和BLM基金会以及慈悲安排增加到了白名单中。

　　关于加密算法，Babuk运用与椭圆曲线Diffie-Hellman(ECDH)相结合的对称算法。成功加密后，该歹意软件会在每个处理过的目录中增加“How To Restore Your Files.txt”。除了文本之外，赎金记载还包含指向一些被盗取数据的屏幕截图的链接列表。这证明歹意软件样本是在受害者的数据被走漏之后被制造的。如上所述，每个样本都是针对特定方针定制的。

　　在赎金记载中，该团伙还主张受害者运用其个人谈天门户网站进行商洽。这些过程并不仅限于Babuk，但一般呈现在Big Game Hunting中。值得注意的是，赎金记载的文本还包含一个指向.onion数据走漏站点上相关帖子的私有链接，该链接无法从该站点的主页上拜访。这里有一些屏幕截图、关于被盗文件类型的文字描绘以及针对受害者的一般要挟。假如受害者决议不与网络罪犯商洽，则此帖子的链接将揭露。

　　Babuk locker背面的安排首要针对欧洲、美国和大洋洲的大型工业安排。方针职业包含但不限于运送服务、医疗保健部分以及各种工业设备供货商。实践上，最近的事例标明，Babuk运营商正在扩展方针规划。4月26日，DC警察局证明其网络已被损坏，Babuk运营商宣称对此事担任，并在他们的.onion数据走漏网站宣告了此次进犯。

　　依据该网站上的帖子，该团伙从华盛顿特区警察局网络中盗取了250GB以上的数据。到编撰本文时，警察局还有三天时刻开端与进犯者进行商洽，不然，该安排将开端向违法团伙走漏数据。Babuk还正告说，它将持续进犯美国国有企业。

　　2021年4月23日，咱们发布的勒索软件统计数据显现，遭受该要挟的用户数量明显下降。不过这些数字不该该被误解：虽然随机个别遭受勒索软件的或许性的确比曩昔要少，但对公司的危险从未如此高。

　　勒索软件生态体系一向巴望赢利最大化，他们现在正在逐步强壮，以致于能够被视为是对全球公司的体系性要挟。

　　曾经有一段时刻，中小企业大多疏忽了信息安全带来的应战：他们太微小了，APT参加者底子不会将他们置于监督之下，但他们又满足强壮，不会遭到随机和一般进犯的影响。但现在那些日子曩昔了，一切公司现在都有必要做好抵挡违法集团的预备。

　　值得幸亏的是，此类进犯者一般会先进犯一些简单得手的目标，因而从现在开端采纳恰当的安全措施将大有作为。

　　在5月12日(即反勒索软件日)，卡巴斯基鼓舞安排遵从以下最佳做法，以维护您的安排免受勒索软件的损害：

　　将防护战略的要点放在检测横向移动和数据走漏上。要特别注意传出的流量，以检测网络违法衔接。设置入侵者无法篡改的脱机备份。确保在紧迫状况下能够快速拜访它们。

　　为了维护公司环境，请对您的职工进行专门训练。专门的训练课程能够供给协助，例如卡巴斯基主动安全意识渠道中供给的课程。

　　装置反APT和EDR处理方案，以完成高档要挟发现和检测、查询以及对事情进行及时弥补的功用。为您的SOC团队供给最新要挟情报的拜访权限，并经过专业训练定时对其进行晋级。

　　假如您不幸成为受害者，切勿付出赎金。它不能确保您能取回数据，但会鼓舞违法分子持续其活动。相反，您应将事情陈述给您当地的法律安排。测验在互联网上找到一个解密程序，例如