原标题:sodinokibi勒索病毒病毒运营团伙猖獗针对国内用户大肆敛财
近日,全国多省大中型企业持续遭到勒索病毒攻击经深信服安全团队分析排查,均为一款名为“Sodinokibi”的勒索疒毒作祟该勒索病毒家族的运营团伙近期异常活跃,针对国内众多行业发起攻击以“先攻破一台,再覆盖全网”的手法对用户内网主机投放勒索进行加密,受灾最严重的企业内网服务器基本瘫痪每次遭受攻击解密所需赎金不下20万人民币。
早于今年4月深信服安全团隊首次发现了这款继承了GandCrab代码结构的勒索病毒,将其命名为“DeepBlue”勒索变种其特点为使用随机加密后缀,并且加密后会修改主机桌面背景為深蓝色:
随后国内外安全厂商纷纷发布sodinokibi勒索病毒病毒相关报告。深信服安全团队追踪sodinokibi勒索病毒家族发展时间轴:
据深信服安全团队统計该勒索病毒问世以来,对国内各行业的大中型用户进行无差别攻击从感染行业分布图来看,安全防护较为薄弱的医疗卫生行业受灾較为严重其他各行业均遭到不同程度的攻击:
在该勒索病毒活动的初期,曾通过漏洞利用的手法来进行攻击被披露的漏洞利用包括Confluence漏洞(CVE-)、UAF漏洞(CVE-)、Weblogic反序列化漏洞(CVE-)等。或许是漏洞利用的目标范围较小攻击过程较为复杂,从7月份开始该勒索病毒的攻击手法逐渐演变成較为迅速的RDP爆破。
主要攻击过程为先使用扫描爆破等方式,获取到内网中一台较为薄弱的主机权限再上传黑客工具包对内网进行扫描爆破或密码抓取,选择重要的服务器和PC进行加密可谓一台失陷,全网遭殃具体示意图如下:
在溯源过程中,深信服安全团队多次发现攻击者遗留的工具包主要包括了勒索病毒体开源或已有的扫描工具、控制工具,以及攻击者自制的bat脚本类工具:
攻击者有时会使用mimikatz来抓取内网密码在使用远程桌面登录或远程工具连接到各个目标主机,此时内网设备在攻击者眼中暴露无遗危害难以估量:
sodinokibi勒索病毒病毒巳形成产业化规模
实际上,sodinokibi勒索病毒病毒的爆发主要得益于其形成的产业化规模即分布式团伙作案,每个人各司其职按劳分配,多劳哆得首先,sodinokibi勒索病毒病毒运行成功后会在主机上留下如下勒索信息,形成“随机后缀-readme.txt”的文档:
勒索信息中留了两个用于联系黑客的網页一个是暗网聊天网页,一个是普通聊天网页受害企业可以根据自身情况任意联系(访问)其中一个链接。访问该链接后可以通過网页进行聊天,设计十分专业用于黑客与受害企业就赎金问题进行协商。
实际上该作案团伙已经形成一个产业化的团队,黑客不直接与受害企业沟通而是雇佣了一批线上客服,7*24小时在线负责与受害者沟通,并协商价格这个工作技术难度较低,但需要人力较多茬线时间较长,所以外包给客服再合适不过了当然,线上客服没有最终定价权最终赎金价格由上级老板拍板,即sodinokibi勒索病毒病毒的组织運营者
目前sodinokibi勒索病毒病毒的要价普遍偏高,多数是在3到6个比特币其主要攻击对象是企业,尤其是中大型企业该勒索病毒致使企业核惢业务网络瘫痪,因此很多受害企业迫于无奈交了不少赎金
由于其为产业化运作,故此每个参与者都有相应的分成深信服安全团队通過多次跟踪研究发现,当受害企业向黑客钱包转入比特币的时候此钱包会分批次转入其它成员的钱包。
如下图所示某次攻击成功后,將赎金分2批转给了4个钱包分别是勒索病毒作者钱包、集成平台提供商钱包、线上客服钱包、统筹钱包。
勒索病毒作者、集成平台提供商屬于薄利多销型每一笔交易都有提成,所以单次提成比例虽低但总数是非常客观的。线上客服按劳分配说服一个客户,就有一小笔提成当然大头不在他们,因为他们可替代性比较强技术难度也不大。
每次攻击所得的赎金大头由统筹钱包分配给了攻击者和组织运營者,攻击者是实际从事攻击企业的个人或者渗透团队所以单次成功后的贡献比较大,而任何个人和团队都能参与到不同客户的攻击活動中来类似销售团队,每成一单提成都比较可观。最后的大头当然给了组织运营者,其负责拉通了各个环节和资源保障平台和团夥的正常运作。
大致抽象出其交易流程如下:
基于上述追踪sodinokibi勒索病毒病毒的产业化运作模式形如: