勒索軟件運營商現在可以在加密數據之前竊取您的數據

Zeppelin Ransomware Steals Data Before Encryption

勒索軟件一次又一次被證明是網絡犯罪分子武器庫中最強大的武器之一。最初,黑客需要創建自己的文件加密惡意軟件家族,這並不是在公園裡散步,但是現在,租用或下載免費使用的病毒很容易。大多數用戶仍未完全意識到潛伏在互聯網各個角落的危險,這意味著感染率通常很高,而同樣的缺乏意識意味著,許多人不定期備份其文件,反過來,對騙子的加密貨幣錢包中的餘額產生積極影響。

這是一種久經考驗的業務模型,已經為許多人使用。但是,這並不意味著威脅沒有發展。事實並非如此。

過去,勒索軟件主要用於主要針對家庭用戶的噴霧和祈禱活動中。但是,近幾個月來,網絡犯罪分子意識到,打擊大型組織的利潤可能會更大,而且重點已經轉移了一些。網絡安全專家現在發現了另一個更加令人擔憂的趨勢。

Zeppelin勒索軟件在加密之前會竊取組織的數據

12月初,Morphisec的研究人員目睹他們在房地產行業工作的一位客戶的襲擊 。經過更深入的調查,他們意識到黑客正在嘗試使用Zeppelin勒索軟件(VegaLocker勒索軟件即服務系列的最新版本)感染該公司。攻擊者正在使用名為ConnectWise Control(fka ScreenConnect)的遠程桌面應用程序,通常,感染鏈沒有什麼異常之處。

但是,研究人員注意到,勒索軟件一旦在受害者的Windows數據庫服務器之一中發現自己,便試圖創建數據的副本,然後將其發送到騙子的命令與控制(C&C)服務器。此後,它嘗試進一步傳播到網絡,最後部署了文件加密模塊。

換句話說,Zeppelin勒索軟件試圖在鎖定數據並將其保存以進行勒索之前先竊取該公司的數據。根據ZDNet的Catalin Cimpanu所說 ,這絕非唯一採用這種策略的勒索軟件。他說,使用Maze,REvil和Snatch勒索軟件樣本的攻擊者也進行了類似的活動。但是為什麼他們突然認為這是個好主意呢?

更可靠的還原機制

如果您考慮一下,對於黑客來說,在加密文件之前先竊取文件並索要贖金是很有意義的。在竊取大量數據的同時,確實確實存在引起懷疑的風險,但是通常被捕獲的可能性並不高。當您查看附加步驟所帶來的優勢時,您甚至會開始懷疑他們為什麼沒有更早地想到它。

在常規的勒索軟件攻擊中,當受害者決定支付贖金時,他們將比特幣發送到騙子的錢包,作為回報,他們希望有一個程序可以解密鎖定的文件。在某些情況下,騙子只是為了賺錢而奔波,但是有許多勒索軟件運營商確實有真正的意圖,一旦他們收到付款,便將受害者的數據還給他們。他們確實需要編寫自己的解密器,但是不幸的是,有時它們會犯錯誤。

我們已經聽到許多關於由於解密工具故障而儘管支付了贖金卻丟失了數據的人的故事。用戶是丟失錢財和數據的人,但對騙子的影響也是負面的,他們最終看起來並不十分值得信賴,因此不太可能被未來的受害者獲得報酬。

但是,如果黑客擁有未加密數據的副本,則他們可以在付款後將其簡單地發送回受害者,並確保事情能夠相對輕鬆地恢復正常。

請注意,如果受害者有備份,那麼所有這些都是毫無意義的。除非,當然,除非贖金未付,否則黑客威脅要洩漏數據。

更多勒索槓桿

正如我們已經提到的,目標通常是大型組織。黑客無法從中竊取假日照片或令人尷尬的自拍照,但可以洩露商業秘密和其他極有價值的信息。當受攻擊的公司說因為有備份而不會付款時,騙子很容易威脅到它洩漏所有敏感數據。

根據ZDNet的報告,勒索軟件運營商已經將被盜的數據庫用作第二勒索點,而運行Maze勒索軟件的騙子甚至創建了一個網站,其中列出了所有拒絕支付贖金並隨後將其數據暴露給他人的公司。群組。

必須說,並非所有黑客團隊都能夠發動這種破壞性攻擊。如果他們想竊取和加密來自許多不同用戶或公司的信息,則他們將需要龐大的C&C基礎架構,這對於建立和維護而言可能是昂貴的。但是,那些設法提出正確設置的人將具有一定的優勢。

December 19, 2019

發表評論