freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

高财商的Maze迷宫勒索病毒组织,才出道一年就赚的盆满钵满
2020-06-29 15:32:51


https://mmbiz.qpic.cn/mmbiz_gif/ogxqTSgGMat4WVGahvVvtuSEAJx6J7reMg8De1Ficmdgic2RvfJU2ThLMJdqWKSL485tWvGLcLHcFOiczgFmWtPVg/640?wx_fmt=gif


大家好,我是零日情报局

本文首发于公众号零日情报局微信ID:lignriqingbaoju

 

最近,藏身Maze迷宫勒索病毒背后的黑客朋友们很忙。

 

刚袭击完美国核军事承包商后,他们又马不停蹄的对韩国LG集团下手了。

 

Maze迷宫勒索软件运营者(后文简称Maze组织)声称他们破坏并锁定了韩国跨国公司LG电子的网络,Maze组织在其用于公布加密数据的网站上一如既往的猖狂:

 

“我们想宣布,如果今天(6.27日)不与我们联系,我们将分享有关攻击LG的信息。我们从LG下载了40GB的Python源代码,我们将共享部分LG在美国研发团队的部分源代码。”

 

1593415791_5ef9986fd7fb6.jpg!small

 

首先,我们再来认识一下Maze组织。

 

Maze勒索病毒,又称为ChaCha勒索病毒,最早于2019年5月首次发现,此勒索病毒主要使用各种漏洞利用工具包Fallout、Spelevo,通过伪装成合法加密货币交换应用程序的假冒站点进行分发传播,攻击者在对受害者设备上的数据进行加密后,将会主动告知受害者文件已被加密,需要支付赎金。

 

Maze组织的独到之处在于,它会运行独特的脚本检测受感染机器是家用电脑、服务器还是工作站,之后根据受害者设备价值来确认勒索的具体金额。

 

同时,Maze组织也是最早采用窃取数据,并将传统勒索与勒索软件相结合策略的犯罪组织。为了逼迫受害者尽快缴纳数据,Maze组织还创建了一个面向公众的网站,如果受害者拒绝交赎金,他们就会将受害者的数据全部公之于众。

 

https://image.3001.net/images/20200210/1581325102_5e411b2e215f6.png

 

迄今为止,Maze组织似乎说到做到,已经公布了包括律师事务所、医疗服务提供商、保险公司等数十家公司的详细信息。不难估算,更多的公司采用了支付赎金息事宁人的处理方式,以避免其敏感数据被公开。

 

臭名昭著的Maze组织

拼命为自己贴上“讲道义”的标签

 

自19年5月至今,臭名昭著的Maze组织已经持续活跃一年了,随着Maze组织名声的水涨船高,其兴风作浪的“案底”也越积越厚。

 

在疫情期间,Maze组织甚至还攻击了英国一家正在研发新冠病毒疫苗的医药研究公司。Maze组织窃取了部分患者记录,并向该公司索要大额的赎金。但很快,在这一攻击事件受到全世界的谴责。

 

反思过后的Maze组织宣布,在新冠疫情结束前,他们将停止针对全球医疗机构的攻击活动。同时,出于对新冠疫情和即将到来的全球经济危机的严峻性考虑,他们决定给所有“客户”提供折扣。

 

没错,黑客组织竟然也这么魔幻,一边大肆作恶,一边还想标榜良知和正义。

 

为了彰显自己是个有良知、讲道义的黑客组织,Maze在自己的网站上恬不知耻的写下了他们的企业愿景:维护世界和平。

 

https://pic2.zhimg.com/80/v2-f4b2cec2c074f1f69dd547115bfebf95_720w.png

 

 

30天内发起7次大规模攻击活动

Maze组织真的很忙

 

进入6月份以后,随着疫情的好转,Maze组织似乎更加活跃,各种攻击活动也多了起来。

 

l  6月4日,Maze组织攻击了一个美国的核军事承包商,对该承包商部分文件数据进行了加密和泄露数据;

l  6月6日,Maze组织声称已经成功攻击了商业服务巨头Conduent,他们窃取了其网络上未加密的文件并攻破加密设备;

l  6月9日,Maze组织攻击了亚洲最大的国防和工程集团之一的ST Engineering,对其美国航空航天子公司VT San AntonioAerospace(VT SAA)系统成功加密;

l  6月17日,半导体制造商MaxLinear证实被Maze 勒索软件团伙击中,并泄露了一些“专有信息”,和用户的个人信息;

l  6月22日,Maze组织攻击了泰国某省电力管理局,并在暗网上发布了该公司的部分数据以索要赎金;

l  6月23日,美国的硬件公司MaxLinear受到了Maze组织的攻击。6月15日,Maze组织释放了据称他们窃取的1TB数据中的10.3GB数据,该组织在发布包括会计和财务信息的数据后不久对MaxLinear的系统进行了加密;

l  …

 

遍数Maze组织的全部“杰作”,似乎全球所有行业都曾经受到来自它的攻击,其攻击目标也没有明确的指向性。但McAfee实验室的研究员发现,Maze组织与许多当下著名的勒索病毒有一个“通病”,他们会对中招设备语言环境进行分析检测,然后会友好的放过俄罗斯联邦语系的设备,面对勒索病毒,俄罗斯联邦国家似乎生来就具备近乎无敌的免疫力。

 

https://www.mcafee.com/wp-content/uploads/2020/03/CHECKING-THE-LANGUAGE-AGAINST-THE-RUSSIAN-LANGUAGE.png

(McAfee实验室发现Maze会绕过俄罗斯语系设备

 

毫无疑问,Maze组织似乎对自己的俄罗斯联邦出身丝毫不加掩饰。

 

 

不交赎金就撕票

开创勒索病毒“绑票”新玩法

 

众所周知,过去勒索病毒攻击主要以破坏数据,勒索受害者为主,通过交赎金的方式获取暴利。

 

Maze组织却则真正学到了现实生活中绑架勒索的精髓, Maze组织会先利用恶意软件盗取数据,然后再使用勒索病毒对获取的数据进行复杂加密,如果受害者不在指定的期限内缴纳赎金,Maze组织就会选择撕票——直接将盗取数据公之于众。

 

除了交钱保平安外,受害者似乎并没有其他退路。

 

 

大鱼小鱼一起抓

判断电脑类型“见人下菜碟”

 

过去的勒索病毒,一般都是“广撒网,多敛鱼,择优而从之”。

而Maze勒索病毒的过人之处在于,它坚决贯彻“大鱼要抓,小鱼也不能放”的原则,走出了一条精细耕作的野路子。

 

Maze组织会通过脚本检测受感染的设备是家用电脑、服务器还是工作站,对不同设备索要赎金开价不同,通过这样的形式大大提高了单笔勒索收益。这样既保证了个人用户有能力和意愿破财消灾支付赎金,也确保在遇到企业级的“大客户”时,能够饱餐一顿。个别大型政企机构在遭受到加密攻击后,甚至被开出了高达数百万美元的价格。

 

1593415876_5ef998c4d04ab.jpg!small

(被Maze勒索病毒加密的计算机桌面)

 

 

丧心病狂与其他勒索病毒相勾结

Maze组织狼狈为奸的1+X商业版图

 

上文中我们曾经提到,为了逼迫受害者尽快缴纳数据,Maze组织创建了一个用于公布数据的网站。6月份以来,Maze似乎正在利用这个面向公众的网站,大肆扩张自己的商业版图。

 

6月5日,一家国际建筑公司的信息和文件被发布到Maze的数据披露网站上。但是,这些数据却并非在Maze勒索软件攻击中被盗,而是来自另一个名为LockBit的勒索软件攻击。之后Maze组织公开表示他们正在与LockBit合作,允许该组织在Maze的“新闻网站”上共享受害者数据。

 

紧接着不久,Maze组织再次添加了另一个竞争的勒索软件组织Ragnar Locker的受害者数据,Maze网站上的帖子引用的是“Maze联盟—由Ragnar提供”。

 

诸多证据表明, Maze组织正在将各路“散兵游勇”拉上自己的战车,以合作资源共享的方式酝酿更大的阴谋。

 

 

老生常谈,写在最后:

 

尽管传统的勒索软件攻击已经让受害者饱受摧残,但起码受害者还能够从数据备份中恢复所有的重要文件。但显然,Maze组织创造的新模式更加恶毒。

 

半年以来,包括Clop、Nemty、Nefilim、Ragnarlocker、Sekhmet、Snatch、DopplelPaymer、Sodinokibi等在内的多个勒索病毒组织已经开始效仿Maze组织先利用恶意软件盗取企业的数据,再投放勒索病毒进行加密勒索的做法。

 

另一个不得不面对的现实问题是,Maze开创的勒索攻击模式,极大的模糊了勒索软件加密勒索赎金与企业数据泄露之间的界限。就算企业有心准备了周密的备份数据,但根本无力阻止黑客威胁公开数据的行径,只能捏着鼻子认缴赎金。但就算真的如期割肉缴纳了赎金,也还是无法保证黑客组织不会将已获得的数据以其他形式泄露出去。毕竟谁也不能指望一个黑客组织坚守原则和诚信。

 

那怎么办呢?想来之后还会不断有新生的,老牌的黑客组织嗅到勒索病毒的商机而加入进来,采用的攻击手法和技术也会更加高明。或许我们只有及时更新杀毒软件和漏洞补丁,才能为躲避那些飞来横祸创造一线生机吧。

 

1593415904_5ef998e0e121c.gif!small


# 勒索病毒
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者