勒索攻擊無所不在,資安業者 Palo Alto Networks 13日宣布,為了解不斷發展的勒索軟體變體,透過旗下 Unit 42 方案監控現有勒索軟體組織的活動,搜索暗網洩漏站點和新的站點,發現了 4 個新興且正在影響組織營運的勒索軟體組織。
第一個組織名為「AvosLocker」。AvosLocker 遵循勒索軟體即服務(Ransomware as a Service, RaaS)的模型,於今年 6 月下旬開始營運;並使用藍色甲蟲標誌在與受害者的交流和招募新分支機構的「新聞稿」中表明自己的身分。
▲ AvosLocker 使用藍色甲蟲標誌。(Source:Palo Alto)
Palo Alto 表示,與勒索軟體一樣,AvosLocker 提供技術支援,幫助受害者在遭受加密軟體攻擊後恢復,該組織聲稱該軟體具有「預防故障」功能,檢測率低,能夠處理大型文件。該勒索軟體還有一個勒索網站,聲稱影響了包含美國、英國、阿拉伯聯合大公國、比利時、西班牙和黎巴嫩等國家,而最初贖金要求金額從 50,000~75,000 美元不等。
第二個組織為「Hive」,同樣於今年 6 月開始運行。Hive 是一種雙重勒索軟體,且明顯地表現出不在乎受害者的福祉,攻擊包括醫療保健和無法管理勒索軟體攻擊的中型組織;自今年 6 月起,Hive 已經影響了 28 個組織。
▲ Hive 使用倒數計時向受害者施加壓力。(Source:Palo Alto)
Palo Alto 指出,Hive 使用勒索工具,集中所有可用的工具向受害者施加壓力,並且在其網站上披露包括最初妥協的日期、倒數計時、資安外洩的日期,甚至有在社交媒體上分享已披露的資安外洩的選項。
第三個組織則是「HelloKitty」。其實 HelloKitty 並非新的勒索軟體組織,最早可追朔到 2020 年,主要針對 Windows 系統發動攻擊。然而,在今年 7 月,Palo Alto 觀察到 HelloKitty 針對 VMware 的 ESXi 管理程式的 Linux 變體,該管理程式廣泛用於雲端和本地數據中心。
▲ LockBit 2.0 會修改受害者電腦桌布,提醒受害者意識到他們被駭。(Source:Palo Alto)
Palo Alto 透露,奇怪的是,攻擊者在不同樣本的贖金票據中共享的首選通訊模式是 TOR URL 和特定受害者的 Protonmail 電子郵件地址,這可能代表不同的攻擊活動或完全不同的威脅參與者。該變體影響了義大利、澳洲、德國、荷蘭和美國等 5 個國家,最高贖金要求金額為 1,000 萬美元。
最後一個組織是「LockBit 2.0」,其為已成立 3 年的 RaaS 營運商,不過在今年 6 月推出一項招募新分支機構的巧妙行銷活動之後,讓該營運商最近被和一些備受矚目的攻擊聯想在一起。LockBit 2.0 聲稱提供勒索軟體市場上最快的加密服務,它影響了多個產業,並在洩密網站上列出了 52 名受害者。
Palo Alto 認為 LockBit 2.0 與 REvil手法類似,如果加密成功,LockBit 2.0 勒索軟體會修改受害者的電腦桌布,提醒受害者意識到他們被駭;且桌布還會顯示一則廣告,鼓吹讓所有組織備感壓力的內部威脅。
Palo Alto 強調,隨著 REvil 和 Darkside 等主要勒索軟體組織低調行事或重新命名以逃避執法和媒體的關注,新的團體將會出現以取代不再積極針對受害者的勒索組織;雖然 LockBit 和 HelloKitty 之前一直很活躍,但它們最近的演變說明舊的組織將如何重新出現並持續帶來威脅。
(首圖來源:shutterstock)
