勒索软件运营商现在可以在加密数据之前窃取您的数据

Zeppelin Ransomware Steals Data Before Encryption

勒索软件一次又一次被证明是网络犯罪分子武器库中最强大的武器之一。最初,黑客需要创建自己的文件加密恶意软件家族,这并不是在公园里散步,但是现在,租用或下载免费使用的病毒很容易。大多数用户仍未完全意识到潜伏在互联网各个角落的危险,这意味着感染率通常很高,而同样的缺乏意识意味着,许多人不定期备份其文件,反过来,对骗子的加密货币钱包中的余额产生积极影响。

这是一种久经考验的业务模型,已经为许多人使用。但是,这并不意味着威胁没有发展。事实并非如此。

过去,勒索软件主要用于主要针对家庭用户的喷雾和祈祷活动中。然而,近几个月来,网络犯罪分子已经意识到,打击大型组织的利润可能会更大,而且重点已经转移了一些。网络安全专家现在发现了另一个更加令人担忧的趋势。

Zeppelin勒索软件在加密之前会窃取组织的数据

12月初,Morphisec的研究人员目睹他们在房地产行业工作的一位客户的袭击 。经过更深入的调查,他们意识到黑客正在尝试使用Zeppelin勒索软件(VegaLocker勒索软件即服务系列的最新版本)感染该公司。攻击者正在使用名为ConnectWise Control(fka ScreenConnect)的远程桌面应用程序,通常,感染链没有什么异常之处。

但是,研究人员注意到,勒索软件一旦在受害者的Windows数据库服务器之一中发现自己,便试图创建数据的副本,然后将其发送到骗子的命令与控制(C&C)服务器。此后,它尝试进一步传播到网络,最后部署了文件加密模块。

换句话说,Zeppelin勒索软件试图在锁定数据并将其保存以进行勒索之前先窃取该公司的数据。根据ZDNet的Catalin Cimpanu所说 ,这绝非唯一采用这种策略的勒索软件。他说,使用Maze,REvil和Snatch勒索软件样本的攻击者也从事了类似的活动。但是为什么他们突然认为这是个好主意呢?

更可靠的还原机制

如果您考虑一下,对于黑客来说,在加密文件之前先窃取文件并索要赎金是很有意义的。在窃取大量数据的同时,确实确实存在引起怀疑的风险,但是通常被捕获的可能性并不高。当您查看附加步骤所带来的优势时,您甚至会开始怀疑他们为什么没有更早地想到它。

在常规的勒索软件攻击中,当受害者决定支付赎金时,他们将比特币发送到骗子的钱包,作为回报,他们期望有一个程序可以解密锁定的文件。在某些情况下,骗子只是为了赚钱而奔波,但是有许多勒索软件运营商确实有真正的意图,一旦他们收到付款,便将受害者的数据还给他们。他们确实需要编写自己的解密器,但是不幸的是,有时它们会犯错误。

我们已经听到很多关于由于解密工具错误而尽管支付了赎金却丢失了数据的人的故事。用户是丢失钱财和数据的人,但对骗子的影响也是负面的,他们最终看起来并不十分值得信赖,因此不太可能被未来的受害者获得报酬。

但是,如果黑客拥有未加密数据的副本,则他们可以在付款后将其简单地发送回受害者,并确保事情能够相对轻松地恢复正常。

请注意,如果受害者有备份,那么所有这些都是毫无意义的。除非,当然,除非黑客不支付赎金就威胁要泄漏数据。

更多勒索杠杆

正如我们已经提到的,目标通常是大型组织。黑客无法从中窃取假日照片或令人尴尬的自拍照,但可以泄露商业秘密和其他极有价值的信息。当受攻击的公司说因为有备份而不会付款时,骗子很容易威胁到它泄漏所有敏感数据。

根据ZDNet的报告,勒索软件运营商已经将被盗的数据库用作第二勒索点,而运行Maze勒索软件的骗子甚至创建了一个网站,其中列出了所有拒绝支付赎金并随后将其数据暴露给他人的公司。群组。

必须说,并非所有黑客团队都能够发动这种破坏性攻击。如果他们想窃取和加密来自许多不同用户或公司的信息,则他们将需要庞大的C&C基础架构,这对于建立和维护而言可能是昂贵的。但是,那些设法提出正确设置的人将具有一定的优势。

December 19, 2019

发表评论