“双重勒索”勒索软件结合加密与数据盗窃
“双重勒索”是不断发展的勒索软件策略的术语:首先窃取机密数据,然后对受害者的文件进行加密。如果受害者不支付赎金,就公开数据。
越来越多的勒索软件运营商正在建立数据泄露展示页面,威胁要从受害者那里发布受侵害的数据,这增加了受害者支付赎金的压力。
勒索软件攻击的受害者现在面临双重困扰。如果无法满足勒索的要求,网络犯罪分子将威胁泄露受威胁的数据或将其用于未来的垃圾邮件攻击,从而使勒索软件受害者遭受的痛苦越来越大。
在勒索战术,称之为“双敲诈”首先在2019年由已故出现迷宫运营商 -但由背后各种网络罪犯被迅速采用,在过去的几个月内,DopplelPaymer和Sodinokibi勒索纷纷效仿。
Check Point Research威胁情报经理Lotem Finkelsteen在星期四的分析中说:“双重勒索是一种明显的,不断增长的勒索软件攻击趋势,”。“我们在2020年第一季度看到了很多这样的情况。通过这种策略,威胁行动者将敏感信息滴入网络中最黑暗的地方,以证实他们的赎金要求,从而进一步使受害者陷入困境。”
2019年11月,针对美国大型安全人员配置公司Allied Universal的勒索软件攻击开创了“双重勒索”的先例。在公司遭受Maze勒索软件攻击并拒绝咳嗽300比特币(230万美元)勒索之后,攻击者扬言要使用从Allied Universal系统提取的敏感信息以及被盗的电子邮件和域名证书来假冒Allied Universal的垃圾邮件活动。
为了证明威胁的有效性,威胁参与者泄露了700 MB的数据(仅是骗子声称窃取的数据的10%),包括合同,病历,加密证书等,并发布了新的赎金要求,即50比原来高百分之几。
现在,研究人员说,迷宫勒索软件背后的组织TA2101自此创建了一个专用网页,其中列出了其非合作受害者的身份,并定期发布被盗数据的样本。
迷宫勒索软件在线展示泄露数据的网页
“迷宫此后发布了数十家公司的详细信息,这些公司,律师事务所,医疗服务提供商和保险公司没有满足他们的要求。据估计,许多其他公司通过支付所需的赎金避免了公开其敏感数据。”Finkelsteen说。
自此事件以来,Finkelsteen表示,Clop,Nemty(在勒索软件操作本周关闭之前),DopplelPaymer和Sodinokibi勒索软件背后的其他网络犯罪组织已复制了这些努力,开放了自己的网站来发布或泄漏被盗数据,以进行处理勒索软件受害者要承受更大的压力。
例如,使用Sodinokibi勒索软件(也称为REvil)的攻击者创建了一个“快乐博客”,他们在该网站上最近发布了针对13个目标的勒索软件攻击的详细信息以及从目标组织窃取的公司信息。其中包括全国饮食失调协会的文件,该协会是一家协助饮食失调者的组织,该组织于4月初首次被勒索软件感染(其数据已于4月4日被勒索软件攻击者泄露)。Threatpost已联系全国饮食失调协会寻求进一步评论。
同样,Sodinokibi勒索软件背后的运营商扬言要出售受全球货币交易所Travelex侵害的整个数据库,因为在新的一年中恶意软件攻击使该公司脱机并在1月份损毁了其业务(Travelex最终支付了230万美元的比特币Travelex向勒索软件帮派支付了230万美元)。
勒索软件双重勒索付款
研究人员说,勒索软件攻击者只会首先发布这些信息的屏幕快照,以警告受害者他们需要按时支付赎金。如果付款不及时,攻击者将继续应对威胁,并将机密文件发布在网络上以供公众下载。
“这使目标组织陷入双重危险的陷阱:如果他们不屈服于攻击者的要求,则攻击者将发布被盗数据,并且组织将不得不向有关的国家或国际数据隐私监管机构报告违规行为。可能反过来向该组织征收巨额罚款,” Finkelsteen说。“无论哪种方式,该组织可能都必须付出代价才能前进。”
医院
研究专家警告说,“双重勒索”攻击将在2020年继续袭击勒索软件的受害者,尤其是在更多的医院,不仅收集与健康相关的敏感数据,而且目前正处于以网络攻击为目标的冠状病毒大流行的前线。
尽管勒索软件团伙 最近承诺 在大流行中停止攻击医院,但网络攻击仍在继续。根据安全研究人员“ PeterM”在Twitter上的报道,Ryuk勒索软件已将多家医院作为攻击目标 。总部位于伦敦的医疗服务提供商Hammersmith Medicines Research与英国政府合作测试COVID-19疫苗,最近也 遭到勒索软件攻击。发起攻击的Maze勒索软件运营商后来在网上发布了被盗数据。
研究人员说:“我们特别担心医院必须面对这种威胁。” “鉴于他们专注于冠状病毒患者,解决双重勒索勒索软件攻击将非常困难。我们对医院和大型组织发出警告,要求它们备份数据并教育员工。”
研究人员说,公司可以通过遵循许多最初可以防止勒索软件攻击的最佳实践来保护自己-包括备份其数据和文件,教育员工,使基于签名的保护保持最新状态以及实施多层安全保护。
