Sodinokibi勒索病毒运营团伙猖獗,针对国内用户大肆敛财

系统安全 Further_eye
2019-08-16 9,095

    近日,全国多省大中型企业持续遭到勒索病毒攻击,经深信服安全团队分析排查,均为一款名为Sodinokibi”的勒索病毒作祟。该勒索病毒家族的运营团伙近期异常活跃,针对国内众多行业发起攻击,以“先攻破一台,再覆盖全网”的手法,对用户内网主机投放勒索进行加密,受灾最严重的企业内网服务器基本瘫痪,每次遭受攻击解密所需赎金不下20万***。


蔓延迅猛,来势汹汹

早于今年4月,深信服安全团队首次发现了这款继承了GandCrab代码结构的勒索病毒,将其命名为“DeepBlue”勒索变种,其特点为使用随机加密后缀,并且加密后会修改主机桌面背景为深蓝色:

图片1.png 

随后,国内外安全厂商纷纷发布Sodinokibi勒索病毒相关报告。深信服安全团队追踪Sodinokibi勒索家族发展时间轴:

图片2.png

据深信服安全团队统计,该勒索病毒问世以来,对国内各行业的大中型用户进行无差别攻击,从感染行业分布图来看,安全防护较为薄弱的医疗卫生行业受灾较为严重,其他各行业均遭到不同程度的攻击:

 图片3.png

 

高效攻击,手法专业

在该勒索病毒活动的初期,曾通过漏洞利用的手法来进行攻击,被披露的漏洞利用包括Confluence漏洞(CVE-2019-3396)、UAF漏洞(CVE-2018-4878)、Weblogic反序列化漏洞(CVE-2019-2725)等。或许是漏洞利用的目标范围较小,攻击过程较为复杂,从7月份开始,该勒索病毒的攻击手法逐渐演变成较为迅速的RDP爆破。

 

 

主要攻击过程为,先使用扫描爆破等方式,获取到内网中一台较为薄弱的主机权限,再上传黑客工具包对内网进行扫描爆破或密码抓取,选择重要的服务器和PC进行加密,可谓一台失陷,全网遭殃,具体示意图如下: 图片4.png

在溯源过程中,深信服安全团队多次发现攻击者遗留的工具包,主要包括了勒索病毒体开源或已有的扫描工具、控制工具,以及攻击者自制的bat脚本类工具:

图片5.png 

图片6.png 

其中ProcessHacker、PCHunter、DefenderControl、xwdef等工具用于卸载用户主机的安全软件,关闭Windows defender功能,bat脚本主要用于删除系统备份,禁用系统功能等:

图片7.png

图片8.png 

 

攻击者有时会使用mimikatz来抓取内网密码,在使用远程桌面登录或远程工具连接到各个目标主机,此时内网设备在攻击者眼中暴露无遗,危害难以估量:

图片9.png

 

Sodinokibi勒索病毒已形成产业化规模

实际上,Sodinokibi勒索病毒的爆发主要得益于其形成的产业化规模,即分布式团伙作案,每个人各司其职,按劳分配,多劳多得。首先,Sodinokibi勒索病毒运行成功后,会在主机上留下如下勒索信息,形成“随机后缀-readme.txt”的文档:

图片10.png

勒索信息中留了两个用于联系黑客的网页,一个是暗网聊天网页,一个是普通聊天网页,受害企业可以根据自身情况任意联系(访问)其中一个链接。访问该链接后,可以通过网页进行聊天,设计十分专业,用于黑客与受害企业就赎金问题进行协商。

图片11.png

实际上,该作案团伙已经形成一个产业化的团队,黑客不直接与受害企业沟通,而是雇佣了一批线上客服,7*24小时在线,负责与受害者沟通,并协商价格。这个工作技术难度较低,但需要人力较多,在线时间较长,所以外包给客服再合适不过了。当然,线上客服没有最终定价权,最终赎金价格由上级老板拍板,即Sodinokibi勒索病毒的组织运营者。

   本篇文章来自于安全脉搏:https://www.secpulse.com/archives/110711.html

目前Sodinokibi勒索病毒的要价普遍偏高,多数是在3到6个比特币,其主要攻击对象是企业,尤其是中大型企业。该勒索病毒致使企业核心业务网络瘫痪,因此很多受害企业迫于无奈交了不少赎金。

 

由于其为产业化运作,故此每个参与者都有相应的分成。深信服安全团队通过多次跟踪研究发现,当受害企业向黑客钱包转入比特币的时候,此钱包会分批次转入其它成员的钱包。

 

如下图所示,某次攻击成功后,将赎金分2批转给了4个钱包,分别是勒索病毒作者钱包、集成平台提供商钱包、线上客服钱包、统筹钱包。

图片12.png 

勒索病毒作者、集成平台提供商属于薄利多销型,每一笔交易都有提成,所以单次提成比例虽低,但总数是非常客观的。线上客服按劳分配,说服一个客户,就有一小笔提成,当然大头不在他们,因为他们可替代性比较强,技术难度也不大。

 

每次攻击所得的赎金,大头由统筹钱包分配给了攻击者和组织运营者,攻击者是实际从事攻击企业的个人或者渗透团队,所以单次成功后的贡献比较大,而任何个人和团队都能参与到不同客户的攻击活动中来,类似销售团队,每成一单,提成都比较可观。最后的大头,当然给了组织运营者,其负责拉通了各个环节和资源,保障平台和团伙的正常运作。

图片14.png

大致抽象出其交易流程如下:

图片15.png

基于上述追踪,Sodinokibi勒索病毒的产业化运作模式形如:

图片16.png 


本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/110711.html

Tags:
点赞: 1 评论:0 收藏: 1
 积分 3
新浪微博 QQ空间 微信扫一扫
评论  (0)
快来写下你的想法吧!

Further_eye
文章数:319 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge!——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会(Gdevops2020)

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31(周五线上)

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼