勒索软件的未来

远近的未来 Ransomware商业模式 FeikeHacquebord斯蒂芬·柄和大卫桑丘 内容 趋势科技法律免责声明 此处提供的信息仅供一般参考 仅用于教育目的。它不是有意的和不应被解释为构成法律建议。这 此处包含的信息可能不适用于所有人情况，可能无法反映最新情况。 此处包含的任何内容均不应依赖或采取行动在没有基于法律建议的情况下 提供特定的事实和情况，仅此而已本应该被理解。趋势科技 保留修改本文档内容的权利在任何时间,恕不另行通知。 3 执行概要 5 介绍 将任何材料翻译成其他语言是仅为方便起见。翻译准确性 不保证也不暗示。如果出现任何问题与翻译的准确性有关，请参阅 文件的原始语言正式版本。任何翻译中产生的差异或差异是 不具有约束力，对合规没有法律效力，或执行的目的。 尽管趋势科技尽合理努力将 此处的准确和最新信息，趋势科技不作任何形式的保证或陈述 的准确性、时效性或完整性。您同意访问、使用和依赖本文档 其内容的风险由您自行承担。趋势科技不承担任何明示或暗示的保证。 趋势科技或任何参与创建，制作或交付本文件应承担责任 对于任何后果、损失或损害，包括直接、 间接的、特殊的、后果性的、业务利润的损失，或因访问而引起的特殊损害， 使用或无法使用，或与使用有关本文档或内容中的任何错误或遗漏其中。使用此信息即表示接受 使用“是”的条件。 6 当前Ransomware进化 12 当代Ransomware构建块 17 触发模式转变 25 Ransomware是什么样子当它经过一个进化 发表的 趋势科技的研究 写的 FeikeHacquebord斯蒂芬·柄和大卫桑丘 41 Ransomware是什么样子当它经过一场革命 股票图像的许可下使用 Shutterstock.com 50 结论 52 参考文献 执行概要 本研究论文探讨了勒索软件在网络犯罪中的地位以及引发变化的因素 在勒索软件商业模式中。勒索软件已演变成一种用于引起重大问题的恶意软件适用于企业、政府、医疗保健和关键基础设施，但适用于其他网络犯罪业务模型-可以产生更多非法利润的模型-提出了一个有趣的问题：什么 会让勒索软件行为者改变他们的犯罪商业模式吗？ 地缘政治事件，例如俄罗斯在2022年入侵乌克兰，可能会触发或迫使勒索软件行为者改变。勒索软件行为者的触发因素也可能来自战斗和防御策略 执法部门、政府和私营行业：云采用、强化网络、逮捕、 对网络犯罪团伙和促进服务的制裁，以及对加密货币的监管，以使其更难洗钱。 我们相信，这些策略中的大多数将导致勒索软件的逐渐变化，例如使用更多 初始访问阶段的零日漏洞，更好的操作安全性（OpSec），更高的自动化程度优化收入，增加Linux云服务器的目标和外来平台的目标-所有这些都 本报告将对此进行更详细的介绍。 与此同时，勒索软件参与者只会开始重新思考他们的业务，并在以下情况下做出重大改变他们被更努力地推动，或者意识到其他地方有更多的钱可以赚。例如，演员 可以放弃勒索软件并在杀伤链中使用其他更有利可图的有效载荷，同时仍然利用他们的许多核心专业技能。此报告将详细介绍包括以下内容的方案： •盗窃知识产权和其他敏感数据 •商业电子邮件妥协 •股票操纵计划，例如“做空和扭曲” •盗窃的cryptocurrencies规模 此外，勒索软件行为者可能会在加密货币盗窃和欺诈方面更加活跃。 拥有加密资产的计划，尤其是当他们意识到这些计划的利润时。非法利润由于比特币的普及和即将到来的技术，加密货币预计将增长 比如Web3和metaverse。 勒索软件攻击的核心问题之一是初始访问。企业网络的初始访问可能发生: •针对企业的定制攻击，其中可能包括高级社会工程。 •具有恶意负载的群发电子邮件活动，以及过滤最有价值的受害者。 •面向互联网的系统中漏洞的N天和零日漏洞利用。 •供应链的攻击。 •利用云服务的错误配置和云管理密钥的盗窃。 •漏洞在云实例。 鉴于初始访问在勒索软件杀伤链中的关键位置，针对勒索软件的防御应该不要只关注勒索软件，否则勒索软件将被其他有效载荷所取代 更高的利润和潜在的损害。防御需要多种策略的组合，例如： •硬化面向internet的系统。 •公司内部系统的硬化。 •过渡到云服务。 •打击初始访问提供商应优先于单独打击勒索软件。 •对主要行为者和协助者实施制裁将使勒索软件需求的成本增加增加更多。 •实施加密货币法规，以减少隐私并保护消费者免受侵害 欺诈。欧盟即将出台的法规就是一个例子，它将使洗钱变得很多困难。 •为勒索软件参与者可能转向另一种网络犯罪的可能性做好准备，例如 cryptocurrency欺诈和cryptocurrency盗窃。 当执法机构和私人网络安全行业密切合作时， 勒索软件的问题将减少，并防止网络犯罪分子转移到其他领域网络犯罪。 本研究论文探讨了勒索软件在网络犯罪中的地位以及在什么情况下1 位置可以而且将会改变。勒索软件给社会造成的问题急剧升级 在过去的几年里。这引起了私人网络安全行业的强烈反应，该行业已经大量投资于更好的防御，国际执法部门追捕不良行为者，以及政府强加制裁勒索软件团伙和一些服务提供商，例如加密货币交易所和加密货币混合器，促进洗钱。但我们还没有看到这种增加的反攻是否会有 一个持久的影响。 有迹象表明，这场斗争还不够。例如，有多份报道称臭名昭著的邪恶 Corp通过建立勒索软件联盟计划来规避美国政府实施的制裁 新名称。勒索软2件受害者最终在该组织成立近三年后连续向EvilCorp付款添加到美国制裁名单。 一些REVil（被趋势科技追踪为水母马）演员被俄罗斯当局逮捕 在2022年初3而REvil的Tor隐藏网站已经在2021年10月关闭。4但有人了 控制REvil勒索软件即服务（RaaS5）Tor隐藏站点在2022年春季再次出现，似乎有 恢复业务。6 孔蒂（被趋势科技追踪为水妖精）在入侵乌克兰后采取了亲俄立场。这挑衅行为促使一名安全研究人员访问Conti的内部系统超过 一年，走出阴影。他在7 关于Conti的互联网，这为公众提供了对Conti运营的前所未有的洞察，并加速了解散孔蒂是一个著名的老城。 然而，这绝不是前Conti附属公司活动的结束。Conti的一些附属公司拥有同时为其他RaaS组工作，或者只是搬到其他地方开始为另一个组工作 比如BlackCat（也称为Alphv，Alphav和AlphaVM）。8同样,大量的操作安全其他RaaS小组的（OpSec）失误为其运营提供了重要的见解，但似乎并非如此致命的日常操作。 这就提出了一个问题，即安全行业、政府和执法部门可以采取什么行动来阻止。或减缓勒索软件攻击。在RaaS节目中找到舒适家的演员们什么时候才能打包 移动其他地方吗? 本研究论文试图通过研究现实场景来提供答案，例如，风险 对被抓住的评估对勒索软件参与者不利。在其他情况下，勒索软件 演员可能只是找到更有利可图的犯罪方式。在我们的分析中，我们明确不排除勒索软件最初将逐渐进一步发展，然后参与者对其业务进行重大改变 模型是因为它们是由外部触发器强迫这样做的，或者仅仅是因为他们发现了更多有利可图的网络犯罪。 当参与者设法利用云中的复杂漏洞时，可能会发生勒索软件升级 服务提供商（CSP）的解决方案，以及勒索软件攻击何时与库存相结合操纵。鉴于由于新兴技术（如 元界和Web3，勒索软件行为者可能会效仿民族国家行为者拉撒路的领导，他不仅过去曾部署过勒索软件，但也通过入侵加密货币钱包和 cryptocurrency交流。 本文首先概述了勒索软件的现状。然后我们讨论可能触发什么 勒索软件参与者改变其不同的商业模式。我们将这些变化描述为演变 和革命，在单独的部分中讨论这两种变化。在整篇论文中，我们提出建议关于打击勒索软件以及如何为犯罪商业模式的未来变化做好准备ransomware演员。 当前Ransomware进化 •目标 •双到多个 敲诈勒索的方法 •支付:100000美元 支付: 20-100美元 支付: 100美元 储物柜的恶意软件 支付: 100-1000美元现代 ransomware 加密ransomware的质量分布 假杀毒勒索 200520062007200820092010201120122013201420152016201720182019202020212022 图1.勒索软件更改的摘要时间表10 当前的勒索软件威胁可以追溯到最早的现代勒索形式 恶意软件：“假防病毒”软件和“锁屏”恶意软件。在这两种形式中，攻击者劫持了计算机和恶意软件要求用户付款。主要区别在于背后的叙事 攻击以及每个攻击如何试图说服用户付费。 从2005年到2010年左右，假冒防病毒软件是互联网用户的常见威胁。这个假的安全软件检测到系统中的虚假威胁。然后，假AV不断骚扰用户 获取软件许可证以清洁系统。这种策略对攻击者来说是成功的，对于一些人来说是成功的年，但他们最终得到的媒体报道是广泛的。这预示了很多用户，所以 威胁变得不那么有效。最重要的是，通常使用普通信用卡付款。什么时候受害者意识到他们被骗了，他们经常投诉，信用卡处理商结束 承担成本。这意味着攻击者经常被拒绝进一步的交易。列入黑名单的处理器的结束。 6|勒索软件商业模式的近期和遥远未来 图2.伪造的防病毒软件“桌面安全2010”的屏幕截图。 经常改变名字,有时每周。 这种演变的下一个迭代是Locker恶意软件，它在2010年左右开始变得普遍。 直到2015年左右。Locker恶意软件有一个简单的想法：一旦它感染了机器，它就会禁用用户访问到计算机。用户会看到一条警告，提供解锁访问权限以换取付款。 攻击者通常会掩盖这种威胁，就好像访问锁来自执法机构一样， 这笔款项是对所谓的轻罪的罚款。再一次，几年后，这个社会工程技巧 得到了如此多的媒体报道，受害者已经知道该计划是窃取他们钱财的策略。 作为改进假AV攻击,11储物柜恶意软件要求通过现金券付款。这些通常在加油站和其他小商店出售，并允许消费者制作 当他们向收款人提供代金券的序列号时，小额付款。通常，代金券最常用的公司是UKash和Paysafecard。两家公司都是受害者 游戏，因此与执法机构一起努力根除Locker恶意软件袭击者模仿。 7|勒索软件商业模式的近期和遥远未来 图3.Locker恶意软件冒充英国警察的锁屏，大约2010年。请注意右侧的现金券提示，要求付款。 这些攻击的下一个演变是我们目前所知的勒索软件。勒索软件攻击在2015年左右开始普遍，今天变得猖獗。 这些威胁在系统中搜索有价值的文件（例如用户照片、文档和 电子表格等）并使用强大的算法对其进行加密。然后他们继续要求付款以解密这些文件。这是强制用户付款的更有效方法 因为是否预先警告它们并不重要：没有必要愚弄用户。一旦 计算机成功感染，陷阱启动。这是一种技术性更强，社交性更低的一种威胁。 比特币和其他加密货币的普及促进了支付。这已启用 攻击者可以更好地避免执法跟踪，更轻松地在国际上接收付款，这有助于增加勒索软件攻击的数量。这个时代常见的勒索软件组织是CryLock和佛法/孤岛危机。12 早期形式的勒索软件主要是群发给尽可能多的用户。一开始，勒索软件下载器附加到感染性电子邮件中。单击时，这些附件 将下载攻击链的其余部分并最终感染计算机。稍后，电子邮件文本上的链接将执行相同的功能。此更改在此过程中经常绕过反垃圾邮件筛选器。 这种感染媒介是不分青红皂白的，旨在接触尽可能多的受害者。越多受害者被感染，攻击者的底线就越高。 8|勒索软件商业模式的近期和遥远未来 在最新的演变中，勒索软件变得更加有针对性。2019年左右，较新的勒索软件版本通过黑客攻击或其他类似方式手动进入网络。一旦进入， 入侵者评估网络，试图横向移动寻找有价值的数据，并且经常以提升其权限并成为网络管理员。找到数据后，他们首先 通过网络将其泄