值得关注的 4 个最危险的新兴勒索软件威胁组织

新兴勒索软件威胁组织

该安全公司的最新报告Ransomware Groups to Watch表示：“随着 REvil 和 Darkside 等主要勒索软件组织处于低位或重新命名以逃避执法和媒体关注，新的组织将出现以取代不再积极针对受害者的组织。” ：新出现的威胁。在研究中，威胁情报分析师 Doel Santos 和首席威胁研究员 Ruchna Nigam 详细介绍了四个勒索软件组织的行为。

AvosLocker

2021 年 7 月首次观察到，AvosLocker 在勒索软件即服务 (RaaS) 模型中运行，并由 avos 控制，后者在暗网讨论论坛 Dread 上宣传其服务。其赎金记录包括用于识别受害者的信息和 ID，指示感染者访问 AvosLocker Tor 站点以进行恢复和数据恢复。根据这项研究，Monero 的赎金要求在 50,000 美元到 75,000 美元之间，在全球七个组织中发现了感染。

Hive Ransomware

该报告称，已检测到 Hive Ransomware 于 2021 年 6 月开始运营，其目标是医疗保健组织和其他无法抵御网络攻击的企业。该组织在其泄密网站 Hive Leaks 上发布了第一个受害者，然后又发布了另外 28 名受害者的详细信息。“当这个勒索软件被执行时，它会丢弃两个批处理脚本，”研究人员写道。“第一个脚本 hive.bat 尝试删除自身，第二个脚本负责删除系统的卷影副本 (shadow.bat)。Hive 勒索软件向加密文件添加了 [随机字符].hive 扩展名，并删除了一个名为 HOW_TO_DECRYPT.txt 的赎金票据，其中包含防止数据丢失的说明和指南。”

受害者通过赎金票据被引导到与攻击者的聊天功能讨论解密。研究人员无法具体说明勒索软件的确切传送方法，但建议使用传统手段，例如凭证暴力破解或鱼叉式网络钓鱼。

HelloKitty: Linux Edition

HelloKitty 家族于 2020 年浮出水面，主要针对 Windows 系统。它的名字来源于它对 HelloKittyMutex 的使用。2021 年，Palo Alto 检测到一个名为 funny_linux.elf 的 Linux (ELF) 样本，其中包含一个赎金票据，其中的措辞直接匹配了后来的 HelloKitty for Windows 样本中的赎金票据。发现了更多样本，并于 3 月开始针对 ESXi，这是最近 Linux 勒索软件变体的首选目标。

研究人员写道：“奇怪的是，攻击者在不同样本的赎金票据中共享的首选通信方式是 Tor URL 和受害者特定的 Protonmail 电子邮件地址之间的混合。” “这可能表明使用相同的恶意软件代码库的不同活动甚至完全不同的威胁参与者。” 尽管攻击者也愿意接受比特币付款，但已经检测到门罗币的赎金要求高达 1000 万美元。勒索软件使用椭圆曲线数字签名算法 (ECDSA) 加密文件。

LockBit 2.0

LockBit 2.0 以前称为 ABCD 勒索软件，是另一个作为 RaaS 运行的组织。尽管自 2019 年开始运营，Palo Alto 发现了该组织方法的最新演变，参与者声称他们当前的变体是运行中最快的加密软件。自 6 月以来，该组织已经破坏了 52 个全球组织。研究人员写道：“威胁行为者在其泄密网站上发布的所有帖子都包括倒计时，直到机密信息向公众公布，这对受害者造成了额外压力。” 执行后，LockBit 2.0 开始文件加密并附加 .lockbit 扩展名。加密完成后，名为“Restore-My-Files.txt”的赎金通知会通知受害者，并提供有关解密步骤的建议。