content/zh-cn/images/repository/isc/2021/maze_image1_710x400px_300dpi.jpg

迷宫勒索软件 —— 含义和定义

迷宫勒索软件是一款复杂的 Windows 勒索软件,针对全球许多行业的组织。与其他形式的勒索软件一样,迷宫需要加密货币支付以换取加密数据的安全恢复。

如果迷宫勒索软件受害者拒绝付款,犯罪分子则威胁要泄露受害者的机密数据。这种行为越来越多地出现在较新形式的勒索软件中,包括 REvil/Sodinokibi、JSWorm/Nemty/Nefilim、Clop 等。

什么是迷宫勒索软件?

迷宫是 ChaCha 勒索软件的变体,最初发现于 2019 年 5 月。自 2019 年 12 月以来,迷宫一直非常积极地针对众多行业的受害者。

迷宫勒索软件如何工作?

迷宫通常通过以下方式散布:

  1. 垃圾邮件,通常使用恶意链接或附件(主要是Word 或 Excel 文件)
  2. RDP 蛮力攻击
  3. 使用漏洞利用工具包

在某些情况下,攻击可能来自已成为黑客受害者的组织客户或合作伙伴。迷宫一旦获得对网络的访问权限,操作者就会尝试获得提升的权限,以便他们可以在所有驱动器上部署文件加密。迷宫特别危险,因为它还会窃取找到的数据并将其偷运到由恶意黑客控制的服务器,他们然后会威胁如果不支付赎金的话就发布它。

组织可能能够从安全备份中恢复其数据以再次运行(如果备份本身没有受到损害),但这并不能消除犯罪分子现在拥有组织数据副本的事实。从本质上讲,迷宫是勒索软件攻击和数据泄露的组合。

迷宫勒索软件网站

迷宫的创造者运营一个网站,他们在上面列出了受害者(他们称之为"客户")。在这个网站上,他们经常发布被盗数据的样本作为一种惩罚形式。该网站包括受害者何时受到迷宫勒索软件袭击的详细信息,以及作为"证据"的被盗数据和文档的下载链接。具有挑衅性的是,该网站打出了讽刺性的口号"保持世界安全",甚至包括社交分享按钮,以便可以通过社交媒体分享数据泄露的详细信息。

迷宫勒索软件网站警告受害者,如果没有支付赎金,他们将:

  • 发布安全漏洞的公开细节并通知媒体
  • 暗网上出售具有商业价值的被盗信息
  • 告知任何相关证券交易所有关破解和敏感信息丢失之事,以压低公司的股价
  • 使用被盗信息攻击客户和合作伙伴,并告知他们该公司被黑客侵入

迷宫被认为通过附属网络运营,开发人员与在组织网络中使用迷宫的各团体分享收益。

在 2020 年,迷宫背后的犯罪分子与其他两个网络犯罪组织 LockBit 和 RagnarLocker 合作,基本上形成了一个勒索卡特尔。犯罪分子沆瀣一气,这些团伙窃取的数据被发布在迷宫网站上。在这次合作之后,迷宫使用了以前仅由RagnarLocker 使用的执行技术。

迷宫勒索的结局?

2020 年末,迷宫勒索软件团伙通过一份含混不清的声明宣布将关闭。他们表示将不再更新网站,希望删除数据的受害者可以联系他们的"支持聊天"。

该团伙声称他们开始攻击是为了提高人们对网络安全的认识。与此同时,他们令人困惑地声称,该团伙从未真正存在于报道此事的记者的头脑之外。

他们还声称已经拥有了纽约州政府和几家互联网服务提供商(ISP)的 IT 系统的访问权限,但选择了不攻击它们。

该组织声称已经解散,对此不可全信。此前,勒索软件操作者 GandCrab 宣布他们将退出,结果重新出现运行 REvil/Sodinokibi。有人已经观察到迷宫和两种新出现的勒索软件(称为 Egregor 和 Sekhmet)之间有相似之处,这提供了一个强烈的迹象,表明该团伙只是在转向新一轮的网络攻击。

Cognizant ransomware attack

迷宫勒索软件攻击示例

迷宫勒索软件受害者的知名例子包括:

Cognizant 迷宫勒索软件攻击

最引人注目的迷宫勒索软件攻击的对象之一是 Cognizant,这是一家财富 500 强公司,也是世界上最大的 IT 服务提供商之一。

2020 年 4 月,Cognizant 遭到迷宫勒索软件团伙的攻击,破坏了其对客户的服务。该攻击加密并禁用了一些内部系统,迫使其将其他系统下线。

这次袭击正值新冠肺炎疫情之时,工作人员正在试图远程工作。通过破坏支持虚拟桌面基础架构的计算机系统,员工的工作能力受到了影响。内部目录被删除,使员工相互沟通、销售团队与潜在客户和客户沟通更加困难。在某些情况下,人们失去对电子邮件的访问权限

Cognizant 的一些客户选择关闭 Cognizant 对其网络的访问来保护自己免受恶意软件的侵害,从而有效地将项目搁置。Cognizant 召集了业内领先的网络安全专家来协助他们的内部 IT 安全团队。Cognizant 勒索软件攻击也被报告给执法机构,Cognizant 客户得到了不断的更新。

Cognizant 在数据泄露通知中警告说,社会安全号码、税务 ID、财务信息、驾驶执照和护照等敏感个人信息可能已被盗。对于拥有公司信用卡的员工,该公司警告说,他们可能在攻击期间被暴露。对于受影响的人,Cognizant 提供了一年的免费 ID 盗窃和暗网监控。

迷宫勒索软件对 Cognizant 的攻击估计会在不久之后使公司损失 5000 万美元至 7000 万美元,之后为了完全恢复其计算机系统还会产生进一步的成本。

Cognizant 的客户包括金融服务公司 ING 和标准人寿,汽车公司三菱汽车和人力资源服务公司 PeopleSoft。该公司没有透露哪些客户受到攻击的影响。

佳能迷宫勒索软件攻击

2020 年 8 月,有报道称佳能成为迷宫勒索软件攻击的受害者。该团伙泄露了高达 10TB 的佳能数据,该事件影响了大约 25 个不同的佳能域及其众多内部应用程序,包括电子邮件和协作服务。

迷宫勒索软件攻击影响了 10GB 免费存储服务的用户。佳能承认在 2020 年 6 月 16 日之前保存的任何数据或图像都丢失了,但表示没有图像数据泄漏。虽然无法访问,但这些信息的缩略图仍然可以在线查看。但是点击任何快照都会在网站上产生错误。

施乐迷宫勒索软件攻击

2020 年 7 月,迷宫勒索软件操作者声称他们已经侵入了施乐的系统,并威胁如果不付款就泄露海量数据。该组织在其网站上发布了一系列 10 张截图,作为侵入证据。这些截图显示该团伙窃取了与客户支持操作相关的数据。

彭萨科拉市迷宫勒索软件攻击

佛罗里达州彭萨科拉市在 2019 年末遭到攻击。迷宫勒索软件组织威胁说,如果不支付 100 万美元的赎金就泄露数据。据报道,该团伙从该市受感染的系统中窃取了超过 32GB 的数据。他们泄露了 2GB 作为攻击证据。

由于迷宫勒索软件攻击,彭萨科拉能源和彭萨科拉市卫生服务的在线支付服务被停止。幸运的是,对于居民来说,警察和消防部门等其他服务没有受到影响。

您是否应该为迷宫勒索软件攻击支付赎金?

建议不要。支付赎金的人越多,犯罪分子在未来发起类似攻击的可能性就越大。

尽管如此,一些企业可能会觉得除非他们付钱,否则公司无法生存。没有容易的答案,最终每个组织要根据自己的情况做出决定。无论他们决定什么,建议让执法部门参与并与他们密切合作,以便他们能够调查谁可能是袭击的幕后黑手。

无论组织是否付费,首先了解导致攻击的安全问题至关重要。组织应该查找出了什么问题以及如何修复,以防止未来的网络犯罪攻击。

针对迷宫恶意软件的做法,联邦调查局建议公司考虑主动创建虚拟数据缓存。这些虚假数据收集旨在使攻击者更难在黑客攻击期间成功窃取真正重要的文件。

如何防范迷宫勒索软件攻击

勒索软件不断演化。针对它的最佳防御是主动预防,因为一旦数据被恶意软件或黑客加密,要恢复它往往为时已晚。

组织帮助防止勒索软件攻击的提示包括:

1. 保持软件和操作系统更新

保持软件和操作系统更新将有助于保护您免受恶意软件的侵害。为 Microsoft Office、Java、Adobe Reader、Adobe Flash 等软件和 Internet Explorer、Chrome、Firefox、Opera(包括浏览器插件) 等互联网浏览器应用补丁和更新。当您运行更新时,您将受益于最新的安全修补程序,从而使网络犯罪分子更难利用软件中的漏洞。

2. 使用安全软件

随着网络犯罪越来越普遍,勒索软件保护从未如此重要。使用全面的互联网安全解决方案(如卡巴斯基安全软件)保护计算机免受勒索软件的侵害。当您下载或流式传输时,该软件会阻止受感染的文件,防止勒索软件感染您的计算机,并使网络犯罪分子处于困境之中。

3. 使用 VPN 访问网络

使用 VPN 访问网络,而不是将远程桌面协议(RDP) 暴露给互联网。卡巴斯基安全连接提供在线隐私和访问全球内容。

4. 备份数据

定期将数据备份到安全的异地位置,以便在发生攻击时恢复被盗数据。实现此目的的一种简单方法是启用自动备份,而不是依赖于用户例行记忆。应定期测试备份,以确保数据被保存。

5. 教育和告知员工网络安全风险

各组织应确保工作人员知晓网络犯罪分子用来以电子方式渗透组织的方法。培训所有员工了解网络安全最佳实践,例如:

  • 避免点击垃圾邮件中或不熟悉的网站上的链接。当您点击恶意链接时开始的下载,是计算机可能被感染的一种方式。
  • 避免从未知网站下载软件或媒体文件。
  • 避免打开您不信任的发件人的电子邮件附件。查看电子邮件来自谁,并确认电子邮件地址正确。在打开附件之前,请务必评估附件是否看起来真实。如果不确定,请联系您认为的发送人并仔细检查。
  • 如果收到来自不受信任来源的电话、短信或电子邮件,要求提供个人信息,请勿泄露。
  • 在公司的本地网络中只使用安全技术进行远程连接。
  • 将端点安全与行为检测和自动文件回滚结合使用,例如Kaspersky Endpoint Security for Business
  • 使用难以破解的唯一密码来保护敏感数据和帐户,并启用多重身份验证。
  • 尽可能加密敏感数据。

无论迷宫勒索软件团伙是否解散或只是演变成另一个犯罪团伙,勒索软件威胁将继续。与以往一样,需要保持警惕才能保持领先于不断演化的网络威胁。

相关文章:

迷宫 (Maze) 勒索软件攻击

什么是迷宫勒索软件?迷宫恶意软件勒索加密货币以换取被盗数据,威胁如果迷宫勒索软件受害者不付款则泄漏数据。
Kaspersky Logo