欢乐颂小说结局是什么,欢乐颂小说结局是什么,最好看的小说排行

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

暴富、反水、圍剿……Conti勒索組織魔幻的2021年

2021年最賺錢的勒索組織是誰?

創(chuàng)新互聯(lián)公司專注于甘井子網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。熱誠為您提供甘井子營銷型網(wǎng)站建設(shè)，甘井子網(wǎng)站制作、甘井子網(wǎng)頁設(shè)計(jì)、甘井子網(wǎng)站官網(wǎng)定制、小程序定制開發(fā)服務(wù)，打造甘井子網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供甘井子網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

當(dāng)筆者將這個(gè)問題扔給圈內(nèi)的朋友和同事時(shí)，得到的答案大多都是BlackMatter、REvil、DarkSide、LockBit等全球臭名昭著的勒索組織。畢竟那些耳熟能詳?shù)男侣劊蛣?dòng)輒上億的勒索贖金讓很多人都印象深刻。

但在2022年2月，一份由英國、美國和澳大利亞網(wǎng)絡(luò)安全機(jī)構(gòu)聯(lián)合發(fā)布的調(diào)查報(bào)告揭開了答案。數(shù)據(jù)顯示，在過去的2021年，全球范圍內(nèi)勒索軟件威脅正持續(xù)增加，企業(yè)、機(jī)構(gòu)和組織在過去一年中支付的贖金總額超過6億美元。

令人大跌眼鏡的是，勒索贖金收入排名第一的，卻是那個(gè)名氣不是最大的Conti勒索組織，共計(jì)獲得1.8億美元數(shù)據(jù)，約占總金額的三分之一，堪稱2021年最會(huì)收贖金的勒索組織。

不僅如此，Conti還是近兩年攻擊力最強(qiáng)的勒索組織。自2020年開始，Conti勒索組織連續(xù)發(fā)起400多起針對美國和國際公司、組織的勒索攻擊，其攻勢之兇猛讓美國國土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局、聯(lián)邦調(diào)查局和國家安全局聯(lián)合發(fā)布緊急預(yù)警，獲得了一系列的戰(zhàn)績：

2021年5月，攻擊愛爾蘭衛(wèi)生服務(wù)執(zhí)行局并竊取700GB敏感文件;
同年5月，攻擊美國俄克拉荷馬州塔爾薩市并竊取18000多份敏感文件;
9月，攻擊日本電子產(chǎn)品供應(yīng)商并竊取1.5TB數(shù)據(jù);
11月攻擊英國倫敦高端珠寶商并竊取大量名人、政治家和國家元首數(shù)據(jù)文件。

這些勒索攻擊雖然沒有登錄“2021年年度十大勒索攻擊事件名單”，但卻給Conti勒索組織帶來了令人眼紅的巨額贖金，甚至引起了美國執(zhí)法部門對其進(jìn)行圍剿。

而一個(gè)如此厲害的勒索組織，卻在2021年發(fā)生了一件令無數(shù)人震驚的事件：Conti勒索組織因內(nèi)部分贓不均，成員怒而反水，直接公布了Conti的C2服務(wù)器IP地址和一個(gè)113 MB的檔案，其中包括黑客工具、俄文手冊、培訓(xùn)材料和幫助文檔，讓圈內(nèi)人爽爽地吃了一次瓜。

今天，咱們就來好好盤一盤這個(gè)略顯魔幻的Conti勒索組織。

雙重勒索的典型代表

Conti勒索組織最早出現(xiàn)在2019年年底，如今已經(jīng)成為主要的勒索軟件即服務(wù)(RaaS)運(yùn)營商之一，自出現(xiàn)以來即開始大規(guī)模招收附屬成員，發(fā)展極為快速。

因其惡意軟件傳播、攻擊手法和流行的Ryuk勒索家族相似，故被認(rèn)為是后者的變種。而Ryuk軟件是由大名鼎鼎的俄羅斯Wizard Spider網(wǎng)絡(luò)犯罪組織運(yùn)營，這也讓Conti勒索組織更顯的神秘和強(qiáng)大。

經(jīng)過近半年時(shí)間的準(zhǔn)備，Conti勒索組織開始展露出它的獠牙。

自2020年5月開始，Conti勒索組織開始頻繁發(fā)起勒索攻擊，并持續(xù)活躍至今。該勒索組織主要通過釣魚郵件、利用其他惡意軟件、漏洞利用和遠(yuǎn)程桌面協(xié)議(RDP)暴力破解進(jìn)行傳播，組合利用多種工具實(shí)現(xiàn)內(nèi)網(wǎng)橫向移動(dòng)。

2020年7月，Conti勒索組織利用匿名化Tor建立贖金支付與數(shù)據(jù)泄露平臺(tái)，開始了其雙重勒索攻擊的新大門。

所謂雙重勒索攻擊，是區(qū)別于傳統(tǒng)的加密數(shù)據(jù)-勒索贖金的攻擊方式，雙重勒索會(huì)在加密目標(biāo)數(shù)據(jù)之前，先將部分機(jī)密數(shù)據(jù)進(jìn)行下載，然后再加密數(shù)據(jù)并向目標(biāo)勒索贖金。

雙重勒索攻擊的特殊之處在于，當(dāng)企業(yè)拒絕支付贖金獲取解密工具時(shí)，攻擊者手中還掌握了另一個(gè)勒索籌碼，即在網(wǎng)站上泄露一小部分預(yù)先下載的數(shù)據(jù)，這些數(shù)據(jù)所有人都可以公開訪問。隨后，他們會(huì)再次威脅目標(biāo)用戶，如果不支付贖金將數(shù)據(jù)全部公開，或者在放在暗網(wǎng)上公開售賣，以此提高勒索成功率。

官方調(diào)查的數(shù)據(jù)表明，有相當(dāng)一部分目標(biāo)是因?yàn)楹ε聶C(jī)密數(shù)據(jù)被曝光而支付了贖金。Conti勒索組織是雙重勒索攻擊的典型代表，幾乎每一次勒索攻擊都使用了雙重勒索模式。這大概也是它能夠豪取1.8億美元贖金的原因，既可以通過勒索收贖金，又可以通過賣數(shù)據(jù)來獲得收益。

隨后，Conti勒索組織開始大肆進(jìn)行勒索攻擊區(qū)。

據(jù)安天科技統(tǒng)計(jì)的Conti勒索組織受害者信息顯示，自Conti勒索組織通過Tor建立網(wǎng)站以來，其累計(jì)公布的受害者信息已經(jīng)達(dá)到六百多個(gè)，涉及的組織、機(jī)構(gòu)和企業(yè)近500個(gè)，且還可能存在部分未公開的目標(biāo)，其兇猛程度可見一斑。

在2020年春季至2021年春季期間，美國本土及國際組織遭遇了400多次網(wǎng)絡(luò)攻擊，其中使用Conti勒索軟件的數(shù)量正在急劇上升。由于Conti勒索組織的攻擊目標(biāo)大多都是美洲地區(qū)，高強(qiáng)度、高頻率的攻擊讓美國大感“吃不消”。2021年5月，美國CISA、FBI和NSA三大機(jī)構(gòu)聯(lián)合發(fā)布緊急報(bào)告稱，各組織、機(jī)構(gòu)和企業(yè)應(yīng)盡快更新系統(tǒng)，以應(yīng)對日益強(qiáng)烈的Conti勒索攻擊。

入侵、加密步步為營

Conti勒索組織之所以能夠遠(yuǎn)遠(yuǎn)甩開其他組織，豪取1.8億美元的贖金，除了雙重勒索策略外，還和他步步為營、目標(biāo)明確的攻擊策略密不可分。

Conti的所有行為都是為了最后的贖金，而為了能夠成功拿到贖金，他們在發(fā)起攻擊前一般會(huì)進(jìn)行周密的部署。

策略一：勒索即服務(wù)

Conti勒索組織采用的是當(dāng)下典型的勒索即服務(wù)，即由核心團(tuán)隊(duì)管理惡意軟件和TOR站點(diǎn)，再由招募到的一些外圍分支或下屬機(jī)構(gòu)執(zhí)行數(shù)據(jù)竊取和勒索部署的工作。按照此前披露的消息，核心團(tuán)隊(duì)在每次勒索成功后可以賺取20%~30%的贖金，其余部分則歸具體實(shí)施攻擊的組織進(jìn)行分配。

勒索即服務(wù)的強(qiáng)大之處在于讓他們可以迅速壯大隊(duì)伍，廣泛招募攻擊者為他們服務(wù)。其優(yōu)勢在于大大提高了勒索攻擊速率，降低了發(fā)起攻擊的門檻，由一個(gè)團(tuán)隊(duì)變成了多個(gè)團(tuán)隊(duì)發(fā)起攻擊，使得大規(guī)模攻擊成為可能。Conti勒索組織只需抽取這些攻擊者的利潤即可，堪稱穩(wěn)賺不賠。

策略二：時(shí)刻更新武器庫

“工欲善其事，必先利其器”。一次勒索攻擊能否成功，很大程度上取決于攻擊者的武器庫。這也是Conti勒索組織能夠?qū)ⅰ袄账骷捶?wù)”的模式運(yùn)轉(zhuǎn)下去的有力保障。反過來，正因?yàn)閷⒐粢苑?wù)的形式輸出，Conti勒索組織才能集中時(shí)間和精力做好武器庫的更新，并形成一個(gè)良性循環(huán)。

事實(shí)上，在武器庫更新上，Conti勒索組織一直保持著極高的敏感度。例如，2021年12月9日(CVE-2021-44228)Log4Shell的漏洞利用被公布到網(wǎng)絡(luò)，Conti組織僅在3天后，即12月12日就將其加入工具庫，開始對VMware vCenter Server發(fā)動(dòng)攻擊。

同時(shí)，Conti勒索組織還對圈內(nèi)很多已經(jīng)公開的漏洞保持著關(guān)注度，例如Windows打印后臺(tái)處理程序服務(wù)中的SMB服務(wù)器(包括EternalBlue)、PrintMonamine(CVE-2021-34527)或Microsoft Active Directory域控制器系統(tǒng)中的Zerologon(CVE-2020-1472)等。

策略三：勒索攻擊閃電戰(zhàn)

Conti勒索組織攻擊的顯著特點(diǎn)就是“快”，因此他在攻擊第一步——獲得初始網(wǎng)絡(luò)訪問權(quán)限上不拘泥于某一種方法。例如他們會(huì)從已經(jīng)擁有訪問權(quán)限的組織那里直接花錢購買;或者是通過僵尸網(wǎng)絡(luò)進(jìn)行傳播;或者是利用魚叉式網(wǎng)絡(luò)釣魚郵件進(jìn)行分發(fā);總之什么方法有效就用什么方法。

和傳統(tǒng)部署勒索軟件不同的是，Conti勒索組織幾乎從不直接部署軟件，而是選擇了輕量級(jí)的加載程序，以此規(guī)避防病毒軟件的檢測。Conti勒索軟件還支持令行執(zhí)行參數(shù)，可以讓它快速加密本地磁盤、特定網(wǎng)絡(luò)共享甚至文件中定義的網(wǎng)絡(luò)共享列表。

這種方式最大的優(yōu)勢就是“精準(zhǔn)破壞”，可以有效降低攻擊被發(fā)現(xiàn)的概率，比如攻擊者可以定向爆破服務(wù)器，此時(shí)系統(tǒng)中其他地方依舊安全，這就可以降低系統(tǒng)識(shí)別出攻擊的可能性，以至于被系統(tǒng)被加密了，企業(yè)都沒有注意到。

這套打法看起來和二戰(zhàn)初期的閃電戰(zhàn)頗為類似，其最終的目的就是在對方反應(yīng)過來之前，迅速完成自己的戰(zhàn)略目標(biāo)，以此提高勒索攻擊的成功率。事實(shí)也是如此，很多企業(yè)都淪陷在這一套電戰(zhàn)式的勒索攻擊之中。

分贓不均成員跳反

別看Conti 勒索組織如此牛逼，但在2021年同樣爆發(fā)了一件十分魔幻的事件：團(tuán)隊(duì)成員因?yàn)榉众E不均而悍然反水，直接在互聯(lián)網(wǎng)上公開了Conti勒索軟件的核心資料，上演了一波現(xiàn)實(shí)版“無間道”。

而這起“無間道”的原因竟然是因?yàn)镃onti勒索組織成員之間分贓不均。

據(jù)反水成員在社交平臺(tái)上稱，之所以公布Conti勒索組織的內(nèi)部資料，是因?yàn)槔账鞴糁螅渌麍F(tuán)隊(duì)成員都獲得了數(shù)百萬美元的收益，但是他卻僅僅拿到了1500美元，兩者相差數(shù)千倍之多。這也意味著，Conti勒索組織并未遵守20%-30%的行業(yè)慣例。

如此的利益分配模式擱誰都不能忍，因此該成員直接跳反，并將所掌握的Conti勒索軟件的資料全部進(jìn)行公開。被公開的文件總共51個(gè)，其中大部分的文件名以及操作手冊內(nèi)容都使用到了俄語。而這些被公開的文件中包含了竊取數(shù)據(jù)、檢測殺軟、對抗殺軟、網(wǎng)絡(luò)掃描、遠(yuǎn)程控制等各方面的工具。目前，這些資料已經(jīng)全部被上傳至暗網(wǎng)中。

這對Conti勒索組織來說是一個(gè)巨大的打擊。由于Conti勒索組織的操作手冊的含金量非常高，因此這些核心資料不僅會(huì)被研究，以針對性提高企業(yè)反勒索攻擊的能力;還有可能會(huì)被同行拿去研究，以此提高其攻擊水平。

且此次泄密暴露出勒索軟件團(tuán)伙的組織成熟度，以及他們在針對全球公司發(fā)動(dòng)攻擊時(shí)使用的流程和經(jīng)驗(yàn)。同時(shí)也暴露了勒索軟件即服務(wù)操作的脆弱性，因?yàn)槿魏我粋€(gè)不滿意的加盟成員都可能會(huì)導(dǎo)致攻擊中使用的精心制作的培訓(xùn)信息和資源暴露。

在此次公開的內(nèi)容中，還有一份詳細(xì)的攻擊教程。該教程很詳細(xì)的列出該團(tuán)伙的攻擊步驟，其大體的攻擊思路主要分為以下幾個(gè)方面：

通過獲取設(shè)備訪問權(quán)限，了解設(shè)備所屬公司，再重點(diǎn)了解該公司的收入情況等。
通過獲取設(shè)備訪問權(quán)限，在內(nèi)網(wǎng)繼續(xù)橫向滲透。獲取跟多設(shè)備權(quán)限后部署遠(yuǎn)控軟件，為后續(xù)攻擊操作做好準(zhǔn)備。
在內(nèi)網(wǎng)設(shè)備中掃描文件，通過文件名認(rèn)定可能有價(jià)值的文件。并利用同步數(shù)據(jù)軟件回傳這些數(shù)據(jù)。例如：“會(huì)計(jì)”、“銀行”、“2020”、“2021”、“保險(xiǎn)”、“條款”等都是他們認(rèn)為可能有價(jià)值的文件名關(guān)鍵詞。
部署勒索軟件，準(zhǔn)備針對性事件報(bào)告：詳細(xì)列出受害者官網(wǎng)地址、收入情況、企業(yè)規(guī)模等信息。

有專家表示，該成員公開的內(nèi)部資料和幾個(gè)活躍的Conti勒索攻擊案例相符合。這意味著這些被泄露的資料可信度較高，內(nèi)部成員反水泄露信息的事件因此得以確定。

結(jié)語

暴富、反水、圍剿......這就是Conti勒索組織魔幻的2021年。在這魔幻的背后，所透露出來的是勒索攻擊正在向產(chǎn)業(yè)化發(fā)展：他們越來越專業(yè)，分工越來越細(xì)化，勒索途徑越來越多樣化。

如今，勒索攻擊已經(jīng)成為全世界的毒瘤，以Conti為代表的勒索組織趨利性越發(fā)明顯，搞錢是他們的唯一目標(biāo)，為了實(shí)現(xiàn)這個(gè)目標(biāo)可以無所不用其極。

這意味著，未來全球面臨的勒索攻擊威脅將變的更加嚴(yán)峻，不僅僅是企業(yè)，那些足以影響社會(huì)和民生的基礎(chǔ)設(shè)施同樣需要提高警惕，從Conti勒索組織的所作所為來看，它們將會(huì)是勒索攻擊的主要目標(biāo)。

網(wǎng)站題目：暴富、反水、圍剿……Conti勒索組織魔幻的2021年
當(dāng)前路徑：http://fisionsoft.com.cn/article/djjecip.html