点击蓝字 关注我们
在20世纪60至70年代,美国枪支市场迎来了一波低价、低质量的进口手枪。这些便宜且通常不可靠的武器引起了立法者的关注,他们主要是担心这些武器对拥有者构成风险,并助长犯罪活动。当然,这并非美国或那个时期特有的问题;在英国,尽管现在对手枪进行严格监管,犯罪分子仍然常常使用被重新激活的、甚至是自制或古董的枪支。
尽管“劣质枪支”往往不准且易于发生故障,但购买或制造这些武器对于潜在的犯罪分子来说却有其优势。此类武器不太可能进入执法部门的雷达,且往往很难追踪。它们通常价格便宜,降低了非法拥有和使用的门槛。而且,它们的制作或获得往往不需要依赖庞大的犯罪网络。
在最近对多个地下网络犯罪论坛的调查中——特别是那些由低技能的威胁行为者活跃的论坛——Sophos X-Ops 发现了一个有趣的现象:类似于“劣质枪支”的勒索软件。
我们发现了多个独立制作的、便宜且粗糙构建的勒索软件样本,大多数以一次性购买的方式出售,而不是典型的“勒索软件即服务”(RaaS)模式(截至本文写作时,我们发现的这些“劣质枪支勒索软件”并未出现在赎金观察组织的索引中)。这似乎是一个相对较新的现象(尽管,当然,威胁行为者已经有几十年历史在制作和销售廉价、低质量的远程访问木马(RAT)和其他恶意软件)。我们还看到一些技能较低的威胁行为者表现出开发新勒索软件的兴趣——他们交换语言、规避技术、目标选择和许可模式等方面的建议。
乍一看,个人制作和销售“劣质枪支”勒索软件似乎并不构成重大威胁;与通常给人印象深刻的、组织严密的勒索软件团伙相比,这完全是另一个层次。这里没有泄密网站;没有初始访问经纪人(IAB);没有合作伙伴;没有企业化的层级结构;没有数百万美元的赎金要求;没有炒作手段;没有高知名度的目标;没有旨在打破先进EDR产品的复杂恶意软件;没有寻求头条和媒体关注;也没有深度的研究分析。
然而,随着我们深入调查,我们发现了一些令人担忧的情报。有些人声称已经在实际攻击中使用过“劣质枪支”勒索软件,且全程自行完成攻击链,没有依赖IAB。另一些人则主张利用这些勒索软件攻击小企业和个人——这些目标可能不像Cl0p和ALPHV/BlackCat那样吸引大规模的犯罪团伙,但仍然能为个体威胁行为者带来可观的利润。还有用户表示,他们更喜欢独立版勒索软件,因为这样他们无需像许多RaaS模式那样与他人分成,或者依赖他人开发和运营的基础设施。
与现代勒索软件的复杂基础设施相比,"劣质枪支"勒索软件使犯罪分子能够以廉价、简单且独立的方式参与其中。他们可以攻击小企业和个人,这些目标通常没有资源进行有效防御或响应,同时自己也不用分给其他人一部分收益。
当然,"劣质枪支"勒索软件也可能会适得其反——可能出现故障、触发警报,或作为骗局的一部分被埋下后门——或者他们缺乏经验,导致攻击失败或被检测到。然而,在他们看来,这些风险可能是可以接受的,尤其是因为使用这种“劣质枪支”勒索软件最终可能为他们赢得更有利可图的机会,加入知名的勒索软件团伙。
本文将揭示我们的调查结果,分享我们发现的“劣质枪支”勒索软件的细节,并讨论其对组织、公众及安全社区的影响。
现成的“劣质枪支”勒索软件
在2023年6月至2024年2月期间,我们在四个论坛上观察到19种“劣质枪支”勒索软件,或者是被出售,或者被提到正在开发中。我们的调查结果总结如下表所示。
| 名称 | 发布日期 | 状态 | 价格 | 编程语言 | 是否用于攻击 | 检测情况 | 特性 |
|---|---|---|---|---|---|---|---|
| CatLogs | 2023年12月 | 出售 | 未知 | .NET | 未知 | 未知 | Stealer, RAT, 勒索软件, clipper, 键盘记录器 |
| 未命名控制台应用 | 2023年11月 | 开发中 | N/A | C# | N/A | Defender, 2/70 VT | 遍历桌面、文档、图片、音乐、视频 |
| Custom RaaS | 2023年7月 | 出售 | $200 | 未知 | 未知 | 未知 | RSA 2048/4096, 反虚拟机和调试器, UAC绕过, 随机扩展名 |
| Diablo | 2024年1月 | 出售 | 每月$50 | 未知 | 未知 | Defender | AES, 线程化, 外部驱动, 离线模式, Defender绕过, 持久性 |
| Evil Extractor | 2023年12月 | 出售 | 199每月 | 未知 | 是 | 未知 | Stealer, RAT, 勒索软件, FTP服务器, 加密工具, 持久性, 自毁, 反虚拟机 |
| HardShield | 2023年9月 | 开源 | 免费 | C++ | 未知 | 未知 | CBC AES128+RSA 2048, 删除影像副本, 线程化, 自删除 |
| Jigsaw | 2023年6月 | 出售 | $500 | .NET | 未知 | 多个 | 离线加密, AES-RSA, 线程化 |
| Kryptina | 2023年12月 | 出售 | 单个版本800 / 免费 | C | 未知 | 未知 | 目标Linux, 线程化, 离线, AES-256 CBC |
| Lolicrypt | 2023年8月 | 出售 | $1,000 | 未知 | 是 | 未知 | 间歇加密, chacha20, 跨平台 |
| Loni | 2023年7月 | 出售 | 每月9999 | C | 未知 | 未知 | 远程, 删除影像副本, 自毁, XTEA, 间歇加密 |
| Nevermore | 2023年10月 | 出售 | $250 | C# | 未知 | Defender | AES-256, 线程化, Stealer, 独特负载 |
| RansomTuga | 2023年6月 | 开源 | 免费 | C++ | 未知 | 多个 | Stealer |
| Yasmha | 2024年2月 | 出售 | $500 | C# | 未知 | 多个 | N/A |
| Ergon | 2023年9月 | 出售 | 每编译0.5 BTC / 源代码2.5 BTC | 未知 | 是 | 未知 | 定制构建, 支持, RaaS模式 |
| 未命名勒索软件 | 2023年9月 | 开发中 | N/A | Go | N/A | 未知 | Salsa20加密 |
| 未命名勒索软件 | 2023年7月 | 出售 | $1,000 | C++ | 未知 | 未知 | 线程化, 删除影像副本, 自删除, 部分和完全加密 |
| 未命名勒索软件 | 2024年1月 | 出售 | $60 | 未知 | 未知 | 未知 | 客户提供RSA密钥, 赎金通知, 桌面背景等 |
| 未命名勒索软件 | 2024年2月 | 出售 | $50 | Python | 未知 | 未知 | 未知 |
| 未命名勒索软件 | 2023年6月 | 出售 | $500 | 未知 | 未知 | 未知 | 无解密密钥 |
廉价且无亮点
在我们发现的19种勒索软件中,有1种未标明价格,2种为开源项目,另外2种仍在开发中,因此未提供定价信息。其余14种的价格范围从$20(Kryptina的单次构建版本;值得注意的是,由于销售困难,该开发者后来将其勒索软件免费发布)到0.5比特币(当时约合13,000美元)。
然而,0.5比特币的价格(用于Ergon的单次构建)似乎是一个异常值。所有种类的中位数价格为375美元,众数为500美元。包括Ergon在内的平均价格为 1,302美元,但不包括Ergon时的平均价格为 402.15美元。考虑到一些RaaS合作伙伴据报道需要支付高达数千美元才能获得套件(尽管也有一些套件的价格远低于此),这个价格显得特别便宜。
大多数“劣质枪支”勒索软件都是以一次性、单次支付的方式出售。只有三种采用了订阅模式(Diablo,每月许可证50美元;Evil Extractor,根据选择的“套餐”每月99至199美元;Loni,每月美元999或终身许可证9,999美元)。Kryptina和Ergon也提供了源代码,但相较于单次构建版本,它们的价格较高(Kryptina源代码800美元,Ergon源代码2.5比特币,大约39,000美元)。
有趣的是,至少有两个“劣质枪支”勒索软件——Diablo和Jigsaw——使用了与历史勒索病毒家族相关的名称。Diablo曾是2017年Locky的一个变种,而Jigsaw(之前名为BitcoinBlackmailer)则是在2016年发布的。这可能只是巧合,而且卖家并未表示他们的勒索软件与这些早期的家族有关。然而,这并未阻止一些用户怀疑是否存在关联,特别是Jigsaw的情况,尽管卖家对此予以否认。
这些威胁行为者可能故意使用早期知名勒索软件的名称,以利用“品牌认知度”并为他们的“劣质枪支”变种增添一丝“合法性”,尽管这些勒索软件可能是仿冒品。
无论如何,至少有部分“劣质枪支”勒索软件的开发者正在通过他们的产品赚钱。尽管Kryptina的开发者承认他们在盈利方面遇到困难,但Nevermore的开发者表示,他们从勒索软件中赚到了“超过预期”的收入。
在此需要注意的是,一些“劣质枪支”勒索软件很可能是诈骗。我们之前报道过犯罪分子在市场上以各种方式欺骗和黑客攻击彼此——包括“偷走钱就跑”骗局和后门恶意软件——因此,有些我们在此讨论的变种很可能也是此类骗局的一部分。然而,我们仅发现了一起此类指控。
然而,即便是一些知名勒索软件家族的合作伙伴,在采用常见的RaaS模式下,也有可能被RaaS运营商诈骗。因此,对于一些经验较少的威胁行为者来说,独立的“劣质枪支”勒索软件可能被视为两者之中较小的风险,因为它可以为他们提供更多的独立性和控制权。
编程语言
19个广告中,有12个提供了有关开发语言和/或框架的详细信息,这些信息出现在最初的帖子或后续讨论中。值得注意的是,.NET/C#是最受欢迎的语言(五个变种),其次是C++(三个变种),C语言占两个,Python和Go各占一个。
这似乎与“传统”恶意软件和勒索软件(通常用C或C++编写)以及更新的勒索病毒变种(如BlackCat和Hive等勒索软件家族转向使用Rust和Go)相悖。然而,这并不完全令人惊讶;C#和.NET通常比许多编程语言和框架具有更浅的学习曲线,因此可能对经验较少的开发者更具吸引力。
或许正因如此,我们看到的几乎所有“劣质枪支”勒索软件——除了Evil Extractor——都缺乏与知名勒索软件相关的精美图形和品牌化设计。在大多数情况下,徽标和界面显得粗糙且业余(有些变种故意没有品牌和名称,因此完全没有徽标)。
功能
“劣质枪支”勒索软件的广告功能差异较大。我们观察到了一系列提到的加密方法,尽管AES-256和/或RSA-2048由于其普遍性,依然是最受欢迎的加密算法,在提供此类细节的每十个广告中,就有七个使用了它们。然而,我们也看到了一些相对较少见的算法,包括Chacha20、XTEA和Salsa20。
四种勒索软件(Evil Extractor、CatLogs、Nevermore和RansomTuga)除了勒索功能外,还捆绑了其他功能,如信息窃取和/或键盘记录。关于勒索软件相关的功能,只有三种提到了删除卷影副本(这是一种知名的勒索软件策略),这一点有些令人惊讶——尽管六种勒索软件提到了多线程加密(另一种非常常见的策略,可以提高加密速度)。
只有一种勒索软件,Kryptina,被描述为专门针对Linux操作系统,尽管Lolicrypt和Loni的开发者表示,他们已经引入了跨平台功能或针对Linux的特定变种。
与常规情况相反,只有Loni声称具有远程加密功能。这或许说明了大多数“劣质枪支”勒索软件的低质量和粗糙,它们仅限于本地加密,而许多主要的勒索软件家族则具备远程加密能力。
仅有两个广告(一个未命名的变种和Evil Extractor)提到了任何形式的反虚拟机(anti-VM)或反调试器(anti-debugger)功能。
我们确实注意到,一些“劣质枪支”勒索软件的开发者似乎有将他们的项目发展成更复杂产品的雄心。例如,Loni的开发者认为他们的勒索软件优于RaaS模式,因为无需分成、支付加盟费用,也不必冒着RaaS运营商干扰谈判和付款的风险。
然而,开发者随后提到,当他们积累到足够的资金时,将“扩大基础设施并启动数据泄露网站”——这实际上创造了一种传统RaaS基础设施与劣质枪支勒索软件的混合模式。
我们还看到了一则广告,似乎模仿了一些知名勒索病毒家族规定的“加盟规则”。在一篇帖子中,某款未命名的劣质枪支勒索病毒的开发者列出了“禁止攻击的目标”,包括医院和政府。然而,这则广告似乎是针对独立勒索病毒的,因此这些规则如何执行仍不明确。
在实际攻击中?
很难评估大多数劣质枪支勒索病毒在实际攻击中的使用程度。其主要卖点之一是几乎不需要支持基础设施,包括泄露网站——因此没有一个中央信息源供研究人员和调查人员监控。此外,如果购买者的目标是小型企业和个人,这些事件可能不会像涉及大型组织的事件那样广泛公开。
威胁行为者也不太可能在“公共”论坛上讨论涉及的攻击,尤其是他们直接参与的攻击。而且,获取技术信息,如哈希值和其他IOC(入侵指标)也很困难,除非购买勒索病毒或调查已知的事件——因此很难判断我们是否见过这些勒索病毒,或许它们以不同的名称或身份出现过。
然而,我们知道,威胁行为者已在实际攻击中使用了 Evil Extractor——据我们了解,这是唯一一例获得深入报道的实例。我们还观察到有卖家和买家的说法称,另外三种变种(Ergon、Loni 和 Lolicrypt)已在实际攻击中使用,但我们未能获得更多信息。
检测
当威胁行为者在犯罪论坛上发布恶意软件广告时,他们通常会包含来自在线扫描工具的检测率,无论是以数字还是截图的形式。虽然这些结果几乎总是与静态检测而非动态检测相关,但犯罪社区通常将其视为某种质量基准。例如,威胁行为者可能会将零检测率(通常被称为“FUD”:完全未检测或完全不可检测)作为卖点,即使这个数字在实际攻击的背景下并不一定有多大意义。
19个广告中有6个提到某种形式的检测——其中3个提到特别是Windows Defender(无论是在检测还是绕过的上下文中),另3个则提到多个安全产品在在线扫描工具中的检测情况。
然而,正如我们之前所提到的,即使是相对较高的检测率,在劣质枪支勒索病毒面前也不一定是致命问题。小型企业和个人可能并不总是拥有安全产品,或者即使有,可能没有正确配置,或者在警报触发时没有采取最佳实践——许多威胁行为者对此心知肚明。
知名勒索软件及RaaS模式
除了相对不知名的劣质枪支勒索软件,我们还在论坛上发现了一些较为知名的勒索软件,尽管它们大多属于较新的或低层级的家族。我们将这些示例归为三类:出售或分发的构建工具或源代码、合作伙伴招募机会,以及开发协助请求。
| 名称 | 发布日期 | 类型 | 价格 |
|---|---|---|---|
| Insane | 2024年1月 | 开发请求 / 合作伙伴招募 | N/A |
| DJVU | 2024年1月 | 构建工具出售 | 未知 |
| Zeppelin | 2024年1月 | 源代码 | 未知 |
| Endurance | 2023年11月 | 合作伙伴招募 / 构建工具出售 | $850 |
| Chaos | 2023年6月 | 构建工具出售 | 未知 |
| Qilin | 2023年9月 | 合作伙伴招募 | N/A |
| qBit | 2023年9月 | 构建工具出售 / 开发请求 | 未知,2023年12月免费发布 |
| Black Snake | 2023年6月 | 合作伙伴招募 | N/A |
| Hakuna Matata | 2023年7月 | 构建工具出售 / 分发 | 未知 |
| LMAO | 2023年6月 | 构建工具出售 / 分发 | 未知 |
| 未知 | 2023年7月 | 合作伙伴招募 | N/A |
值得注意的是,我们将“Yasmha”归类在劣质枪支勒索软件部分,而非本部分,因为发布者明确表示它是Yashma勒索软件的一个变种(拼写错误似乎是故意的,或者至少在多个帖子中保持一致)。相反,提供DJVU(STOP的变种)、Zeppelin、Endurance、Chaos(Yashma的前身)、qBit、Hakuna Matata和LMAO(Chaos的变种)构建工具和源代码的威胁行为者,并未声称他们的产品是新型或定制化的变种。
最后,我们还观察到了一个来自尚不知名勒索软件家族TrapTight的招募活动。
某个未命名勒索软件团伙的招募活动:
低层级犯罪论坛上的威胁行为者在涉足勒索软件时似乎有几种选择。最便宜、最常见且最直接的方式是“自力更生”模式:一次性购买“劣质枪支”勒索软件,并根据自己的需求部署使用。另一种选择是购买更知名勒索软件变种的构建工具——这些变种已在现实攻击中经过验证和测试。
另一方面,如果威胁行为者希望自行开发勒索软件,或加入合作伙伴计划,但自身技能或经验尚不足以进入顶级团伙,他们可以选择加入一些已知的二线勒索软件家族,作为迈向更知名团伙的跳板。或者,如果这对他们来说仍然有难度,他们还可以申请加入像TrapTight这样的全新勒索软件家族。
意图、教程与目标
虽然通常很难确定威胁行为者是否在现实世界中使用了劣质枪支勒索软件,但可以明确的是,一些人确实有这样的意图。例如,一名个体声称已购买了Nevermore构建工具,并计划对“任何拥有重要文件的计算机/服务器进行勒索,无论其归属于公司还是个人。”
该威胁行为者进一步表示,他们正在考虑使用Shodan——一个索引服务横幅的搜索引擎,允许用户查找特定类型的设备和服务——来识别易受攻击的RDP和SSH服务器。这种方法与初始访问经纪人(IAB)所采用的策略类似。
这种对目标选择的兴趣在其他地方也有所体现;一名用户寻求建议,询问如何识别“合适的目标……我考虑过高中/大学”,并征求关于“潜在目标”的建议,例如可能的收益、缺乏备份的情况以及获取立足点的可能性。
另一名用户表示,他们已经成功入侵了一个网络,但“从未部署过勒索软件”,并向论坛上的其他用户寻求建议或“教程”。
另一名论坛用户遇到了类似的问题:
在指导方面,我们观察到多个用户在请求和分享所谓的“勒索软件手册”,其中包括由知名勒索软件运营者和初始访问经纪人(IAB)Bassterlord编写的指南,以及2021年泄露的Conti手册。显然,这些用户希望从知名的勒索软件行为者中学习并模仿其攻击手法。
在其他情况下,一些用户创建并分享了他们自己的指南:
一些用户明确主张将小型企业和个人作为攻击目标,并寻求有关勒索软件部署后的联系方式、赎金金额及支付加密货币的建议,以及如何清洗非法所得资金。
另一名用户在回应同行关于“普通计算机用户不会支付赎金”的观点时反驳道:“我认为恰恰相反……大型科技公司不会付钱……但一些普通人会。”
一名勒索软件开发者采取了更为激进的方式。在他们的广告中指出:“没有解密密钥……一旦收到付款,直接拉黑受害者。” 他们还表示,该勒索软件“专门设计用于针对特定人群,例如骗子、社会底层人士等。”
在另一篇特别有趣的帖子中,Nevermore的开发者提出了一种不同于传统感染策略的替代方法:物理访问。他们建议将勒索软件存储在USB设备中,获取对目标设备的访问权限(“可以是那个讨厌的邻居,或者你的雇主”),关闭任何安全产品,然后执行勒索软件。该威胁行为者进一步表示:“只要避免被目击和摄像头拍到,就几乎没有可用于对付你的证据。”
一名用户评论称,这种方法“仅适用于小型企业,尝试在任何中型企业上都太过冒险”,并建议将这一策略与社会工程相结合,以便进入目标场所。
Nevermore的开发者对此表示赞同,并补充道:“你会惊讶于有多少人会将笔记本电脑或PC无人看管且未锁定就去洗手间。”
野心与抱负
虽然我们在此次研究中调查的论坛主要由低级别威胁行为者活跃,但我们观察到了一个有趣的现象。在劣质枪支勒索软件的买家和卖家之下,还有一个更低的层级——那些尚未达到开发自己勒索软件阶段,但渴望学习和进步的用户。
我们注意到,多个用户在寻求建议,例如应该使用哪种编程语言,或者已经开始编写勒索软件项目,但正如以下示例所示,他们仍然“对下一步该做什么感到困惑。”
在一些情况下,我们还看到用户提出了不同项目的想法,但不确定这些想法是否可行。
在其他情况下,一些用户在克服了这些障碍并成功编写出可运行代码后,仍然对接下来的步骤感到困惑。这些用户寻求关于如何对其恶意软件进行授权、定价——甚至如何开始销售的建议。
追踪层级
在犯罪论坛上存在“脚本小子”(script kiddies)并不令人意外,但这些潜在的勒索软件行为者所处的这一“次级层级”仍值得关注。在较高级别的俄语网络犯罪论坛上——这些论坛通常由知名且活跃的初始访问经纪人(IAB)、恶意软件开发者以及勒索软件合作伙伴组成——上述问题最多会被忽视,最坏的情况下会被嘲笑。(此外,部分主要论坛在2021年Colonial Pipeline攻击事件后,已禁止发布商业勒索软件相关内容,尽管许多用户已找到绕过禁令的方法,而禁令的执行力度和遵守程度各有不同。)
但在我们讨论的这些论坛上,用户对暴露自己的无知显得不那么顾虑,因为这些平台几乎完全迎合低技能的威胁行为者。大家心照不宣地认为,这些论坛并非精英或专业人士的聚集地,而是为那些渴望提升技能、希望在网络犯罪领域分得一杯羹的个体而设立的。
尽管大多数关于犯罪市场的研究通常聚焦于较高级别的俄语论坛(另一个值得探讨的话题,俄语——尤其是犯罪行话“Fenya”——在网络犯罪地下世界中被认为是“精英”语言),但对低层级的英语论坛进行监控同样有其价值。这些论坛可能孕育出下一代的威胁行为者。虽然目前在这些论坛上展示的许多项目质量较低,但随着威胁行为者技能和信心的增长,这些项目有可能逐步演变成更复杂的威胁。
此外,还有一种观点认为,低层级的英语论坛可能是某些威胁行为者职业发展的第一步。下图说明了我们在调查中观察到的各个层级,以及威胁行为者如何在其中逐步晋升。用户通常从提出基础问题开始,尝试自己编写基础勒索软件和恶意软件。随后,他们可能会进入购买劣质枪支勒索软件的阶段,或发展、共享并出售自己的勒索软件——或许,就像我们在Loni的案例中看到的那样,他们的最终目标是将这些项目发展成更复杂的犯罪模式。
在这一层级之上,是与新兴和次级勒索软件家族相关的招募和开发机会——这些家族拥有成熟的RaaS(勒索软件即服务)模式、经过验证的恶意软件、现有的基础设施,并在现实攻击中积累了一定的成功经验。而在顶层,则是知名度极高的勒索软件团伙,威胁行为者在积累经验、建立名声后,最终可能跻身其中,实现更高的犯罪目标。
因此,我们应不仅将劣质枪支勒索软件视为一个有趣的现象,更应将其作为勒索软件生态系统的一部分,以及其开发者、购买者和使用者通向更大、更复杂犯罪机会的潜在途径。因此,持续追踪劣质枪支勒索软件及其相关人员是值得的。他们不仅目前对小型企业和个人构成威胁,而且随着时间的推移,其中至少有一部分将逐渐具备更大规模的破坏能力。
结论
由于劣质枪支勒索软件似乎仍处于萌芽阶段,我们将持续关注其发展。它可能预示着勒索软件市场的进一步分化,甚至可能导致市场饱和。或者,勒索软件市场可能会逐步演变为几个不同的层级:高知名度的团伙瞄准大型组织,而“残渣”——小型企业和个人——则留给低级别的威胁行为者。这些低层级行为者目前正在制作和销售劣质枪支勒索软件,但随着时间的推移,他们可能会“晋升”并被更大、更专业的犯罪组织招募为开发者或合作伙伴。
在某种程度上,劣质枪支勒索软件也可能只是资本主义运作的又一体现。与任何其他市场一样,供给将扩展以满足需求,而投机者将蜂拥至最赚钱的服务和产品,并在此过程中为自己开辟市场利基。虽然本次研究的重点是勒索软件,但信息窃取工具(infostealers)、远程访问木马(RATs)和加密货币挖矿软件(cryptominers)可能也遵循类似的发展模式——即从底层的低质量产品和行为者逐步向更高层次发展。
然而,显而易见的是,劣质枪支勒索软件对小型企业、公众和安全行业构成了独特的挑战。 我们观察到威胁行为者明确提到,他们将攻击目标锁定在小型公司和个人身上,甚至在讨论哪些类型的企业更适合作为攻击目标,以及如何确定赎金金额。这些目标通常防护较弱、信息较少且缺乏充分准备。
与此同时,劣质枪支勒索软件也给安全行业带来了多重问题。难以获取其样本、难以确定其在真实环境中的使用程度,以及难以追踪其新变种。威胁行为者有时会使用知名勒索软件家族的“品牌名称”,可能是为了利用这些品牌的声誉——这会给研究人员带来困惑。此外,研究人员对这些传播劣质枪支勒索软件的论坛的监控通常较少,导致威胁情报的缺口。企业和安全研究人员必须在众多威胁之间分配时间和资源,优先级会因风险概况、行业、地理位置等因素而有所不同,因此需要在投入和回报之间找到平衡。
尽管如此,追踪劣质枪支勒索软件及其目前处于勒索软件生态系统边缘的相关人员,仍可为个别威胁和更广泛的威胁趋势提供宝贵的洞察。监控特定的勒索软件变种可以帮助保护小型企业和个人,而追踪卖家、买家及其能力演变则可以为威胁的发展趋势提供长期的洞察,从而帮助更好地预测和应对未来的网络安全风险。
原文链接
https://news.sophos.com/en-us/2024/04/17/junk-gun-ransomware-peashooters-can-still-pack-a-punch/
以下是solar安全团队近期处理过的常见勒索病毒后缀:
| 出现时间 | 病毒名称 | 相关文章 |
|---|---|---|
| 2024/11 | .rox | |
| 2024/10/23 | RansomHub | |
| 2024/11 | Fx9 | |
| 2020/1 | .mkp | |
| 2024/5 | .moneyistime | |
| 2024/9/29 | .lol | |
| 2024/6/21 | .MBRlock | |
| 2024/6/1 | .steloj | |
| 2024/5/27 | .TargetOwner | |
| 2024/5/17 | .Lockbit 3.0 | |
| 2024/5/13 | .wormhole | |
| 2024/4/9 | .bianlian | |
| 2024/3/20 | .locked | |
| 2024/3/11 | .Live1.5 | |
| 2024/3/8 | .Live2.0 | |
| 2024/3/6 | .Elbie | |
| 2024/3/1 | .lvt | |
| 2024/2/26 | 0.27 | |
| 2024/1/18 | ._locked | |
| 2024/1/15 | .faust | |
| 2024/1/15 | .DevicData | |
| 2024/1/2 | .jopanaxye | |
| 2023/12/1 | .live1.0 | |
| 2023/9/5 | .CryptoBytes | |
| 2023/8/28 | .mallox | |
| 2023/8/2 | .rmallox | |
| 2023/1/10 | .DevicData-Pa2a9e9c | |
| 2023年初 | .halo | |
| 2021/5/1 | .mallox | |
| 2021/1月初 | .babyk | |
| 2020/5/18 | .consultraskey-F-XXXX | |
| 2019/5/1 | .src |
攻击手法分析篇专注于剖析真实的攻击案例,通过还原勒索病毒家族的具体攻击路径和策略,为用户提供深度溯源分析,同时结合典型案例总结防护启示,帮助用户提高安全意识和防御能力。
| 时间 | 相关文章 |
|---|---|
| 2024/12/12 | |
| 2024/12/11 |
教程分享篇聚焦于实际的安全防护方法,通过定期进行基线加固、及时更新补丁和备份数据等措施,为企业提供具体的操作指南,并在此基础上加强公司安全人员的意识培训,帮助企业有效防范勒索病毒的威胁。
| 时间 | 相关文章 |
|---|---|
| 2024/6/27 | |
| 2024/6/24 |
案例介绍篇聚焦于真实的攻击事件,还原病毒家族的攻击路径和策略,为用户提供详细的溯源分析和防护启示;
| 时间 | 相关文章 |
|---|---|
| 2024/7/10 |
漏洞与预防篇侧重于技术层面的防御手段,针对病毒利用的漏洞和安全弱点,提出操作性强的应对方案:
| 时间 | 相关文章 |
|---|---|
| 2025/1/8 | |
| 2025/1/21 |
应急响应工具教程篇重点分享应急响应过程中常用工具的安装、配置与使用说明,旨在帮助读者快速掌握这些工具的操作流程与技巧,提高其在实际应急场景中的应用熟练度与效率。
| 时间 | 相关文章 |
|---|---|
| 2025/1/10 |
如果您想了解有关勒索病毒的最新发展情况,或者需要获取相关帮助,请关注“solar专业应急响应团队”。
更多资讯 扫码加入群组交流
喜欢此内容的人还喜欢
索勒安全团队
索勒安全团队
索勒安全团队
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...