《从八个方面认识勒索攻击和危害》之七：十类典型家族

2017年Petya大规模爆发，其表现与“魔窟”（WannaCry）很类似，但破坏性更大，全球多国都有遭受Petya攻击的案例。后来根据安全技术人员调查，Petya也是通过“永恒之蓝”漏洞发动进行攻击和传播。

图：NotPetya勒索界面信息

二、“魔窟”（WannaCry）^[2]

2017年5月，WannaCry在全球大规模爆发，其制造者利用“永恒之蓝”漏洞进行传播，通过恶意代码打开微软基于445端口，进而传播扩散的SMB漏洞MS17-010，实现远程代码执行。

图：“魔窟”（WannaCry）勒索界面信息

据了解，“永恒之蓝”原本是美国国家安全局（NSA）“武器库”中的工具，它利用Windows系统的SMB漏洞可以获取系统最高权限，但却因不慎被泄漏成为了不法分子利用的武器。

后来据统计，此次事件至少造成了全球150多个国家约30万台设备受到感染，爆发后仅3天内就造成了高达80亿美元的经济损失。

注：在“魔窟”（WannaCry）重大勒索攻击响应过程中，安天率先发布全网首篇长篇分析报告《安天紧急应对新型“蠕虫”式勒索软件“wannacry”全球爆发》^[3]，快速提供了专杀免疫工具，提供了周一开机指南，向政企机构分发了数千张应急响应处置光盘，后又研发了基于内存密钥获取的解密工具等，获得多个主管部门好评^[2]。

概览卡片：

三、GlobeImposter^[4]

GlobeImposter首次出现于2017年，通过垃圾邮件、远程桌面协议（RDP）暴力破解（以下简称“RDP暴力破解”）和恶意软件等方式进行传播。为了提高加密速度，GlobeImposter使用了对称加密算法AES加密文件，并使用本地生成的RSA公钥，将AES算法的密钥加密。其开发者也在黑客论坛中开启了RaaS（勒索即服务）模式。

图：GlobeImposter勒索界面信息

概览卡片：

四、GandCrab^[6]

图：GandCrab勒索界面信息

GandCrab家族主要通过RDP暴力破解、钓鱼邮件、捆绑恶意软件、僵尸网络以及漏洞利用传播。其本身不具有蠕虫传播能力，但会通过枚举方式对网络共享资源进行加密，同时攻击者往往还会通过内网人工渗透方式，利用口令提取、端口扫描、口令爆破等手段对其他主机进行攻击。

GandCrab团伙曾在2021年7月短暂解散过一段时间，并公开了旧版本的解密密钥；但两个多月后，该团队部分成员卷土重来，继续制作新的变种。2021年11月4日，一名GandCrab成员在科威特被捕。在此之前，曾有GandCrab的RaaS会员在韩国被捕^[7]。

概览卡片：

五、Ryuk^[8]

图：Ryuk勒索界面信息

Ryuk的攻击目标主要集中在大中型企业，其目的自然是索要巨额赎金。譬如：2019年6月11日，Bonfiglioli公司遭到Ryuk勒索攻击，要求赎金高达2400万欧元；到了2020年，有数个大型工控企业包括钢铁、采矿、工业建筑等行业受到Ryuk勒索软件攻击，导致企业部分服务器瘫痪、系统下线等严重后果^[9]。

概览卡片：

六、REvil/Sodinokibi^[10]

最早这款勒索软件被称为Sodinokibi，后来国外有一些安全研究人员基于Sodinokibi的解密工具又称这款勒索软件为REvil勒索软件，于是这款勒索软件就有两个名字。

图：REvil/Sodinokibi勒索界面信息

2019年，REvil出现时被视作GandCrab的继任者，因为根据一些安全专家的研究，REvil与GandCrab在功能上有着许多相似之处。REvil早期同样以邮件、伪装Flash插件等形式入侵，后来又新增了“多重勒索”手段。

作为勒索软件领域最臭名昭著的家族之一，REvil的攻击目标通常是企业，尤其是大型企业，索要的金额从几百万美元到上千万美元不等。譬如：2021年7月2日，REvil使用Kaseya零日漏洞，攻击了全球60家托管服务提供商和1500多家企业。在成功加密企业数据后，REvil要求受害者支付高达7000万美元的巨额赎金，以换取解密密钥，并保证不会曝光数据。

2021年11月8日，欧洲刑警组织发布的一份声明显示，罗马尼亚当局于11月4日逮捕了两名涉嫌与REvil有所关联的人士。此外，今年上半年还有另外三名REvil团伙嫌疑人落入法网，因此目前共有五人被缉拿归案^[11]。

概览卡片：

七、DoppelPaymer^[12]

DoppelPaymer勒索软件与INDRIK SPIDER组织的BitPaymer勒索软件在部分代码段、勒索信内容和支付赎金网页较为相似，故有专家怀疑DoppelPaymer勒索软件隶属于INDRIK SPIDER组织。

概览卡片：

八、LockBit^[13]

LockBit最早被发现于2019年9月，主要通过RDP暴力破解进行传播侵入，2021年发布了2.0版本。攻击者通进入系统后会首先使用网络扫描器找到域控制器，得到域控制器权限后通过横向渗透释放并运行勒索软件。LockBit采用AES+RSA加密算法组合的形式加密文件，目前被加密的文件暂无法解密。

图：LockBit勒索界面信息

LockBit会在受感染的组织内进行自我传播，而无需人工定向，甚至可以做到在几个小时内影响一个公司的网络，并部署勒索软件加密数百台设备；LockBit还可以更改系统的桌面背景、唤醒离线设备、通过联网打印机反复打印勒索信以引起受害者的注意。

同时，LockBit组织声称提供“全世界”最快的加密和文件窃取(StealBit)工具，正常情况下，可以在20分钟内窃取100GB的文件，并上传到云端。

概览卡片：

九、Avaddon^[14]

图：Avaddon勒索界面信息

2021年5月，保险巨头安盛位于泰国、马来西亚、中国香港、菲律宾的分公司遭受Avaddon勒索攻击。Avaddon在其数据泄露网站上称，已经从安盛亚洲业务中窃取3TB的敏感数据，包括客户的医疗报告、***复印件、银行账户报表、索赔表格、付款记录、合同信息等。

Avaddon的传播方式多种多样，前期主要通过垃圾邮件附件JS/PowerShell恶意脚本等无文件技术进行传播，后期则通过Phorpiex僵尸网络进行传播；同时安全技术人员还发现，该勒索软件通过垃圾邮件附带Excel 4.0宏恶意代码进行传播。

概览卡片：

十、DarkSide^[15]

DarkSide组织开发的勒索软件于2020年8月首次出现，具有RaaS（勒索即服务）模式，即除DarkSide自运营外，还存在其他的合作攻击者。

图：DarkSide勒索界面信息

DarkSide勒索软件采用多线程等技术加密，加密速度较快，加密相同文件的用时较少；此外，DarkSide可以感染Windows和Linux系统。DarkSide采用“窃密+勒索”的组合形式对受害者发起攻击，这意味着攻击者不仅会加密数据，而且还会以窃取的数据威胁受害者：如果不支付赎金就将其数据公开。

DarkSide的组织者会在发起攻击前评估企业的财力，然后再决定勒索的金额。2020年8月10日，该组织在其暗网论坛中声明，根据他们的“组织原则”，医疗、教育、殡葬、非营利团体及政府等机构不在他们的攻击范围内。

当地时间2021年11月4日，美国国务院宣布最高悬赏1000万美元，奖励任何“能够识别或定位在DarkSide勒索软件跨国有组织犯罪集团中担任关键领导职务者”的信息。原因有可能是该组织在2021年5月发动的针对美国最大成品油管道运营商Colonial Pipeline的攻击，该攻击导致了美国东部沿海主要城市输送油气的管道系统被迫下线。^[16]

概览卡片：

总结与建议：

数据显示，目前勒索软件的数量与勒索攻击的数量都在快速增长，仅今年7月至10月，安天垂直响应服务平台就接到了多起遭受勒索攻击的用户求助。