廉价的勒索软件正在暗网论坛上出售,以供人们一次性使用,使得缺乏经验的自由职业者无需与附属机构进行任何互动就能参与网络犯罪。
网络安全公司Sophos情报部门的研究人员发现,2023年6月至2024年2月期间,有19种勒索软件在四个暗网论坛上出售或宣传正在开发中。
Sophos X-Ops在暗网上发现的19个垃圾枪勒索软件变种——廉价、独立生产、构造粗糙。这些垃圾变种的开发者正试图颠覆传统的基于联盟的勒索软件即服务 ( RaaS ) 模式,该模式在勒索软件领域占据主导地位近十年。
他们将这些网络犯罪工具比作“垃圾枪支”——20世纪六七十年代充斥美国的廉价进口手枪。虽然这些武器往往不可靠,但它们具有某些优势,例如进入门槛低和可追溯性低。
这些相同的优势也适用于勒索软件入门套件市场上的潜在网络犯罪分子。研究人员观察到的廉价勒索软件品种的价格范围从20美元到0.5美元比特币不等,或在发布时约为13000美元。平均价格中位数为375美元。
这种一次性网络犯罪工具与”勒索软件即服务“模式不同,因为其中不存在希望从利润中分一杯羹的附属机构。
研究人员表示:“远离现代勒索软件复杂的基础设施,垃圾邮件勒索软件使犯罪分子能够以廉价、轻松且独立的方式参与行动。” “他们可以以小公司和个人为目标,而这些公司和个人不太可能有足够的资源来保护自己或有效应对事件,同时也不会让其他人分一杯羹。”
虽然这种自由听起来很有吸引力,但与廉价的无证手枪的情况一样,也存在风险:即工具本身要么有缺陷,要么“作为骗局的一部分存在后门”。
然而,在潜在的犯罪分子看来,“这些可能是可以接受的风险——尤其是因为使用垃圾勒索软件最终可能会为著名的勒索软件团伙带来更有利可图的利用机会,”他们写道。
这些工具在野外的功效尚不清楚。可供调查人员监控的基础设施很少,而且目标很可能是小型企业或个人,因此几乎不会引起关注。此外,攻击者也没有泄漏被盗数据的网站。
据观察,至少有一种出售的名为”EvilExtractor“的工具去年在针对美国和欧洲的攻击中被使用过,暗网论坛上还有人声称其他三种变种也被成功使用过。
Sophos X-Ops威胁研究总监Christopher Budd强调了这些垃圾工具给防御者带来的挑战。
“这些类型的勒索软件变体不会像Cl0p和Lockbit那样索要数百万美元的赎金,但它们确实可以有效地对抗中小企业,对于许多刚开始‘职业生涯’的攻击者来说,这已经足够了。虽然垃圾勒索软件的现象仍然相对较新,但我们已经看到其创建者发布的帖子,讲述了他们扩大运营规模的野心,并且我们还看到其他人发布的多篇帖子谈论创建自己的勒索软件变体。”
“由于攻击者正在针对中小型企业使用这些变体,并且赎金要求很小,因此大多数攻击可能不会被发现和报告。这给防御者留下了情报空白,网络安全界必须填补这一空白,”他说。
出售勒索软件的暗网论坛上的讨论显示了操作的业余性质。与知名度较高的暗网网站不同,这些论坛上似乎没有愚蠢的问题,“这些人渴望发展自己的能力,为自己分一杯羹。”
研究人员观察到用户请求并分享勒索操作指南的副本,其中包括著名勒索软件运营商Bassterlord编写的勒索软件手册。
一名用户在论坛上发帖称,他们正在尝试一些新的东西:“有针对性的网络钓鱼以获得立足点,然后收集尽可能多的有价值的数据并运行勒索软件。”
他们写道:“那么有没有人知道,从可能的收益、缺乏备份、立足的机会等方面来看,哪些是可能的好目标?” “此外,我们非常感谢任何有关此类行动的建议,因为这是我第一次。”
近日,美英当局领导的“克罗诺斯行动”(Operation Cronos)摧毁了由LockBit勒索软件团伙运营的暗网网站。随着该事件的发酵,“暗网下/AWX”发现,暗网上最臭名昭著的黑客论坛BreachForums突然宣布修改规则,禁止一切勒索软件相关的所有活动。
臭名昭著的BreachForums(又称Breached)黑客论坛是一个臭名昭著的个人买卖、泄露和交易数据的论坛,以出售和泄露全球数亿人的个人数据而闻名,目前大家访问的BreachForums论坛是去年6月份重启运行的。去年3月份,原BreachForums管理员“Pompompurin”被FBi逮捕,早先的BreachForums被关闭,域名被FBI查封。“Pompompurin”于今年1月在弗吉尼亚州东区法院被判处20年监管释放。
2月25日,BreachForums的管理员“ShinyHunters”发布了带有PGP验证的公告称,从现在起,禁止勒索软件销售、招募、开发以及与勒索软件相关的勒索行为,规则的修改并不只针对勒索软件,同时还禁止了: – 药品销售 – 武器销售 – 暴力即服务 (VaaS) – 出售信用卡或借记卡 – 出售真实身份证件或文件 – 引流者或招募引流人员 “ShinyHunters”(头像似乎是@vinnytroia)的公告表示,BreachForums论坛的会员数量已经达到10万人的新高,这是该论坛取得较大进步的标志,因此其团队需要对社区进行整体的改进。而改进的重点是论坛上发布的数据或服务的质量,并且要尽可能的减少交易的摩擦。该公告宣布了三点更新。
一是一般性更新,包括设立数据托管平台、删除经过验证的泄露数据版块、允许申请版主。该论坛决定设立一个免费的数据托管平台(https://escrow.breachforums.is/about),并鼓励用户使用该平台。该托管平台在明网域名与暗网域名中都可以进行访问,最低托管金额已经从50美元降至20美元,以吸引更多用户。该论坛删除了经过验证的泄露数据版块,许多用户没有正确归属他们的泄密事件,而且许多用户也不知道如何验证自己泄密事件中的数据,导致了该版块一直死气沉沉。另外,该论坛正在寻找活跃的用户和对该论坛的社区有价值的人,因此开放了版主申请。但是公告同时表示,成为版主并不会接触到用户的IP地址、电子邮件以及用户的任何身份信息。版主只是拥有一些修改帖子/主题和执行禁言/解禁的管理能力。
二是针对禁止活动的更新,包括不允许销售信用卡/借记卡,不允许销售引流工具与推广人员,不允许销售勒索软件相关业务。首先是继续禁止在论坛上出售信用卡/借记卡,而且不允许张贴信用卡/借记卡,除非它们包含在泄漏的原始数据库中。其次是禁止出售引流工具或为引流活动招募人员,因为大多数情况下,这些行为最终都是骗局。最后是强调禁止与勒索软件相关的软件销售、招募、开发或勒索,该论坛表示其本来就不是一个真正针对勒索软件的论坛,虽然允许勒索软件团伙出现该论坛上,但不允许他们在该论坛上招募成员,也不允许在该论坛上出售他们的服务或软件。不过也表示,勒索软件团伙只要不是为了进一步敲诈受害者,可以在该论坛出售数据或者泄露数据。
三是更新了一个简短声明,向用户表示管理员们正在努力改善该社区。声明称其正在清理论坛,由于低质量的供应商/骗子充斥着论坛,其中许多服务/产品与BreachForums论坛的宗旨并不相符。虽然有些用户可能不喜欢以上禁止的某些内容,但其核心用户群在大多数情况下都不会受到影响。BreachForums论坛将继续赋予这些核心成员在论坛上的权力,并认真听取他们的意见,以改善该社区。
作为目前暗网上最大的数据泄露论坛,BreachForums论坛的进一步的发展以及结局如何,”暗网下/AWX“将持续保持跟进。
更多暗网新闻动态,请关注”暗网下/AWX“。
又是新的一天,另一个新的勒索软件团伙出现了:在暗网的俄语角落里发现的最新威胁行为者称为“CryptNet”。
ZeroFox公司的网络安全侦探在暗网论坛RAMP上发现了这一情况,一个名为“shrinbaba”的威胁行为者在暗网论坛里发布了新的勒索软件即服务(RaaS)的“广告”。
ZeroFox说:“CryptNet被宣传为具有快速且完全不显眼的各种特性和功能,例如删除卷影副本和禁用备份服务的能力,以及无需互联网连接即可离线加密,和一个用于谈判的聊天面板。”
“shrinbaba”发布的广告帖子称:
CryptNet勒索软件正在寻找有域渗透经验的熟练渗透测试人员
通过加入我们,你将拥有世界上最快的勒索软件。您还将拥有
1.完全无法检测的勒索软件
2.独特的离线加密
3.使用AES和RSA的间歇性加密(世界上最快的加密方式)
4.删除影子副本
5.禁用备份服务
6.关于你的客户的统计数据
7.用于谈判的聊天面板
加入我们团队的好处
我们没有国家限制。
你将在每笔付款中获得90%的利润。
你将得到谈判的支持
“shrinbaba”在该帖子下留下了自己的Tox号码。
ZeroFox认为,CryptNet已经取得了几个勒索软件的攻击进展,上个月底确认了两名受害者。
勒索软件是一种恶意软件,被互联网犯罪分子用来渗透和勒索目标公司,然后向这些公司收取“费用”,以换取他们返回数据并保守秘密。
在这种情况下,CryptNet向在成功攻击中使用其闪亮的新非法勒索软件的任何人提供90%的分成。这表明,该技术背后的人类操作员可能属于网络犯罪分子的“超级聪明”类别,他们乐于设计这些工具,并让其他人利用它们来勒索组织。
ZeroFox表示:“这是RaaS市场中附属机构可以获得的最高分成份额之一,附属机构通常从大多数勒索软件团伙那里只能获得60-80%的份额,”并补充说CryptNet声称它还将在赎金谈判期间提供支持。
它补充说:“虽然原始帖子表示对可以作为目标的国家没有限制,但在另一位论坛成员的质疑后,这一说法随后从原始帖子中删除。”
ZeroFox认为,这种说法很可能已被编辑掉了,因为它暗示俄罗斯也可以成为使用CryptNet勒索软件的目标——这通常是讲俄语的团伙中的一大禁忌,因为他们的非法活动只要不攻击祖国,就可以在这个被抛弃的超级国家中享有实际上的豁免。
该威胁行为者“shrinbaba”还在另外一个帖子里决定出售一个名为“Stealer”的源代码,出售的原因是他正在做另一个项目。“shrinbaba”称:
Stealer完全从头开始重写。用C++写在.NET上,不依赖.NET版本。在v143工具集下构建,没有CRT,本地x86可执行。可执行文件重量:230kb(UPX下约100kb)。
在操作系统Windows 7 – Windows 11(Windows Server 2008 R2 – Windows Server 2022的服务器版本)上运行,位深并不重要。
通过它自己的协议在TCP上与套接字上的服务器工作。所有的信息都是通过服务器生成的每台机器的唯一密钥,以加密的形式传送到服务器和从服务器传送出来。
分发模式是对一个时间段的订阅。订阅结束后——仍然可以使用搜索日志、下载日志和查看统计数据,其他的都关闭了。
网络安全研究人员详细介绍了勒索软件攻击者为掩盖其在线真实身份以及其网络服务器基础设施的托管位置而采取的各种措施。
“大多数勒索软件运营商使用其原籍国(如瑞典、德国和新加坡)以外的托管服务提供商来托管他们的勒索软件运营网站,”思科Talos研究员Paul Eubanks说。“当他们连接到他们的勒索软件网络基础设施以进行远程管理任务时,他们使用VPS作为代理来隐藏他们的真实位置。”
同样突出的是使用TOR网络和DNS代理注册服务,为其非法操作提供额外的匿名层。
但是,通过利用威胁参与者的操作安全失误和其他技术,这家网络安全公司上周披露,它能够识别托管在公共IP地址上的TOR隐藏服务,其中一些是与DarkAngels、Snatch、Quantum和Nokoyawa勒索软件集团有关的先前未知的基础设施。
虽然众所周知,勒索软件集团依靠暗网来掩盖他们的非法活动,从泄露被盗数据到与受害者谈判付款,但Talos透露,它能够识别“公共IP地址托管与暗网相同的威胁参与者基础设施”网。”
“我们用来识别公共互联网IP的方法涉及将威胁参与者的[自签名]TLS证书序列号和页面元素与公共互联网上的索引匹配。”Eubanks说。
除了TLS证书匹配之外,用于发现攻击者清晰网络基础设施的第二种方法是使用Shodan等网络爬虫将与暗网网站相关的网站图标与公共互联网进行对比。
以Nokoyawa为例,这是今年早些时候出现的一种新的Windows勒索软件,与Karma具有大量代码相似之处,托管在TOR隐藏服务上的站点被发现存在目录遍历漏洞,使研究人员能够访问用于捕获用户登录的“/var/log/auth.log“文件。
调查结果表明,不仅犯罪分子的泄漏网站可以被互联网上的任何用户访问,其他基础设施组件,包括识别服务器数据,也被暴露出来,从而有效地使获得用于管理勒索软件服务器的登录位置成为可能。
对登录成功的root用户登录信息的进一步分析表明,它们来自两个IP地址5.230.29.12和176.119.0.195,前者属于GHOSTnet GmbH,这是一家提供虚拟专用服务器(VPS)服务的托管服务提供商。
“然而,176.119.0.195属于AS58271,它以Tyatkova Oksana Valerievna的名义列出,”Eubanks指出,“操作员可能忘记使用基于德国的VPS进行混淆,并直接从其176.119.0.195的真实IP登录到与该Web服务器的会话。”
随着新兴Black Basta勒索软件的操作者通过使用QakBot进行初始访问和横向移动,并利用PrintNightmare漏洞(CVE-2021-34527)进行特权文件操作来扩大他们的攻击武器库。
更重要的是,LockBit勒索软件团伙上周宣布发布LockBit 3.0,并打出“让勒索软件再次伟大!”的宣传标语,此外还推出了他们自己的漏洞赏金计划,为发现安全漏洞和改进其软件的“绝妙的想法”提供1000至100万美元的奖励。
Tenable高级研究工程师Satnam Narang在一份声明中表示:“LockBit3.0的发布和漏洞赏金计划的引入是对网络犯罪分子的正式邀请,以帮助协助该组织寻求保持领先地位。”
“漏洞赏金计划的一个关键重点是防御措施:防止安全研究人员和执法部门在其泄漏站点或勒索软件中发现漏洞,确定包括会员计划在内的成员可能被人肉攻击的方式,以及发现该组织用于内部通信的消息软件和Tor网络本身的漏洞。”
“被人肉或被识别的威胁表明,执法工作显然是LockBit等组织非常关注的问题。最后,该组织正计划提供Zcash作为付款方式,这很重要,因为Zcash比比特币更难追踪,使研究人员更难监视该组织的活动。”
2017年10月25日,在俄罗斯莫斯科的Global Cyber Security Company Group-IB办公室的显示器上可以看到计算机代码。 一位高级官员周二表示,拜登政府并不清楚为什么被认为总部设在俄罗斯的勒索软件团伙REvil从暗网上消失了。
这位政府官员补充说,但美国将继续对REvil等犯罪团伙以及俄罗斯等对这些团伙活动区域负责的政府施加压力。
拜登政府官员在接受POLITICO采访时发表的评论最清楚地表明,美国在最近几天取缔REvil的网站和其他在线基础设施中没有发挥直接作用。
REvil被怀疑在最近几个月针对一家肉类供应商和一家主要信息技术供应商发动网络攻击并进行勒索。此举打击了美国和其他国家的企业,将其锁定在系统之外,而REvil则要求用钱来停止攻击。
当被问及政府是否对俄罗斯的这类网络犯罪分子采取了任何行动时,这位高级官员不愿透露。
具体到REvil,”我们当然注意到他们已经停止了他们的行动,我们不知道具体原因。”这位官员说。”但我们仍在敦促俄罗斯对在其境内活动的网络犯罪分子采取行动。我们不是在宣布胜利。”
当被问及克里姆林宫是否取缔了该组织或使该组织取缔了其网站时,这位官员说。”这是有可能的,我猜。同样,我们也不知道他们到底为什么要停工。” 这位官员根据政府制定的基本规则以匿名方式发言。
美国并没有将REvil的攻击与克里姆林宫直接联系起来。但美国总统拜登警告俄罗斯领导人弗拉基米尔-普京,他的政府需要对此类犯罪组织采取行动,如果必须采取行动,美国将对他们采取行动。
拜登的助手表示,应对日益严重的勒索软件威胁是美国的当务之急,他们正在使用各种措施来引起对这一威胁的前所未有的关注。
但是,鉴于美国网络能力的高度机密性,解决勒索软件也是他们讨论的一个艰难话题。在过去的一周里,政府官员在被问及是什么导致了REvil在线被攻破时都小心翼翼。
上周末,另一位高级政府官员说,美国在监测此案时正在追踪公开的信息。
“至少从公开信息来看,REvil的发言人的账户可能已经被俄罗斯黑客渠道所禁止。”该官员说。”而且我们继续看到,REvil的基础设施仍然处于关闭状态。我们认为这是一个非常积极的事情。”