【闲聊】勒索新世代

摘要

2021年上半年，关键行业经历了勒索软件带来的腥风血雨。虽然由于全球执法部门的大力审查，部分勒索软件团伙已经提桶跑路，关闭了运营，但短暂的平静过后，涌现了大批新的勒索软件团伙。本文简要介绍三个目前热度最高的新兴勒索软件团伙。这些勒索团伙投入运营的时间虽然不长，但是已经发起了多次攻击活动，并且表现出更活跃的攻击迹象。

背景

2021年上半年，勒索软件团伙接连搞事，在关键行业丢出几颗重磅炸弹，先是Darkside勒索软件团伙攻击美国最大的输油管道公司Colonial Pipeline，迫使该公司关闭了向人口稠密的东部各州供油的关键燃油网络，勒索将近500万美元（约3200万人民币）的赎金。后有REVil组织攻击全球最大肉类生产商JBS公司，影响了JBS Foods在澳大利亚以及美国、加拿大和其他国家的设施，导致澳大利亚所有JBS肉类工厂停止了牛羊肉的生产，勒索1100万美元的赎金。据猎影实验室统计，2021年上半年至少发生了1200多起勒索软件攻击事件，勒索软件坐实了“第一大恶意软件威胁”的地位。

勒索软件团伙过于嚣张，因此全球执法部门和政府都加大了对勒索软件团伙的审查力度。识时务者为俊杰，DarkSide、REvil、Avaddon等老牌勒索软件团伙纷纷宣布关闭了业务。虽然这些勒索团伙很可能会改头换面，以新的名字回归继续发起勒索软件攻击，但在这些“OG”老大哥们归来之前，“后浪”暂时填补了空缺，一些新兴的勒索软件团伙纷纷出现。

当红小鲜肉：Hive

Hive勒索软件组织于2021年6月首次出现，虽然投入运营的时间还不长，但已经可以称得上是近期的当红鲜肉勒索组织。8月15日，Hive勒索软件攻击了美国医疗连锁机构Memorial Health System，致使IT系统瘫痪，美国西弗吉尼亚州及俄亥俄州的三家医院和数十家诊所取消手术预约，并被迫将患者通过救护车转移至其他医疗机构。

Hive勒索软件团伙也凭借此次攻击声名大噪，安全公司接连发布关于Hive组织的报告。8月23日，sentinelLABS发布了Hive勒索软件的分析报告。8月24日，paloalto Unit 42介绍了4个新兴勒索软件组织，其中也包括Hive组织。8月25日，FBI发布关于Hive勒索软件的Flash警报，详细说明了Hive勒索软件攻击造成的危害。不到1周的时间就引得多家公司争相报道，Hive组织可以称得上是出道即顶流。

目前，Hive组织已经在其博客上公布了30个受害者，受Hive组织影响最严重的地区是比利时和意大利，其次是印度、西班牙和美国。由于当前因疫情冲击的全球形势，许多活跃的勒索软件团伙已承诺放弃对医疗行业的攻击，但Hive不为所动，依然对医疗行业发起攻击，可见Hive组织的心狠手辣。

包装再出道：lockbit2.0

LockBit（以前称为 ABCD 勒索软件）是一个已有三年历史的 RaaS 运营商，2021年6月，该勒索软件背后的运营商对其网站进行了改造，推出新的 LockBit 2.0勒索软件即服务。该组织刚一推出新服务，就秀了一波操作：开价百万美元寻找合作伙伴，招募内部人员做“内鬼”，为他们提供访问公司网络的权限。LockBit 2.0发布招募合作伙伴的信息的同时，正值Conti勒索团伙陷入内部纠纷的丑闻，Conti附属机构成员因不满赎金分成报复性泄露了Conti团队内部的培训材料。和Conti一对比，LockBit 2.0开价100万美金的操作更显出了一种“老板大气”的感觉。

LockBit 2.0勒索软件声称他们当前的变体是勒索软件市场上最快的加密软件，还专门制作了一个表格，比较了不同的勒索软件系列，证实LockBit 2.0的“断层TOP”地位：

LockBit 2.0的影响力也吸引了犯罪分子的模仿作案。一名尼日利亚威胁攻击者跃跃欲试，用100万美元招募内部人员，试图通过勒索攻击获利。但由于缺乏技术和经验，攻击者的计划适得其反，不仅没有成功，反而暴露了自己的信息，成为勒索圈内的笑料。

目前，LockBit 2.0的泄密网站上已经列出了 52 名受害者，包括美国、墨西哥、比利时、阿根廷、马来西亚、澳大利亚、巴西、瑞士、德国、意大利、奥地利、罗马尼亚和英国。LockBit 2.0在全球范围内的攻击活动和其他犯罪分子的模仿作案都体现了该组织的影响力，再加上对加密软件的高度自信，LockBit 2.0组织的勃勃雄心不容小觑。

人气星二代：BlackMatter

最后介绍的这位勒索选手，是成立于2021年7月的BlackMatter组织。据悉，该组织结合了大名鼎鼎的Darkside和REvil勒索软件组织的最佳功能，因此刚一成立就成为热门话题。作为勒索软件领域的“后起之秀”，这位星二代可以说是很珍惜自己的羽毛，比起一些频繁发起攻击的勒索组织，BlackMatter组织对目标的选择有一定的标准，不会饥不择食地发起攻击。BlackMatter组织对攻击目标有以下要求:

1. 收入超过 1 亿美元；
2. 网络中有 500-15000 台主机，且位于美国、英国、加拿大或澳大利亚。
3. BlackMatter表示不会攻击一些特定行业的组织，如医疗保健、关键基础设施、石油和天然气、国防、非营利组织和政府

有趣的是，9月20日，BlackMatter勒索软件团伙攻击了美国农业供应商NEW Cooperative，要求合作社提供 590 万美元的赎金以获取解密器。New Cooperative是美国最大的农业合作社之一，NEW Cooperative认为，合作社与美国的食品供应链紧密联系，属于关键基础设施。但BlackMatter团伙不同意这一评估，“我不攻击关键基础设施，但是关键基础设施的分类由我自己说了算”。

目前，BlackMatter勒索软件攻击浪潮已经涌向了世界各地的多个知名组织，包括美国农业供应商NEW Cooperative、媒体营销服务提供商Marketron，房地产投资公司 Marcus & Millichap，法国饮料公司La Martiniquaise以及日本科技巨头奥林巴斯。这些受害者都是行业内的巨头公司，BlackMatter组织的野心可见一斑。

总结

作为第一大恶意软件威胁，平均每11秒，就会有一个小倒霉蛋遭受勒索软件攻击。勒索团伙阴魂不散，散了一伙又来一伙，但是俗话说得好，我惹不起但是我躲得起，小伙伴们可以做好以下几点，防患于未然：

1. 加强企业员工安全意识培训，陌生邮件不要开！来历不明的程序不要运行！

2.加强密码的复杂度，设置修改周期，不要用通用密码！

3.使用网络安全和防火墙，安装防病毒软件，更新防病毒库；

4.执行帐户使用策略，在指定尝试次数后锁定账户；

5.启用自动更新，保持软件更新，及时安装和更新补丁、软件；

6.定时备份重要数据文件，防止破坏或丢失。