公民社会组织最坏,最著名的勒索新天地棋牌指南

此处列出的勒索新天地棋牌帮派及其恶意新天地棋牌使数百万家公司受害,并造成数十亿美元的损失。

勒索新天地棋牌 loading= A masked criminal ransoms data for payment." itemprop="contentUrl" />
Mikkel William /盖蒂图片社

勒索新天地棋牌有一个 悠久的历史可以追溯到1980年代后期。如今,它为背后的犯罪集团创造了数十亿美元的收入。受害者即使支付赎金也要承担恢复费用。 Sophos报告 那一个的平均成本 勒索新天地棋牌 对于支付了赎金的受害组织,2020年的攻击金额接近150万美元,对未支付赎金的组织约为732,000美元。

考虑到攻击者的经济利益,勒索新天地棋牌帮派和 恶意新天地棋牌 已经扩散了。能够开发和交付代码的勒索新天地棋牌威胁行为者数量可能达到数百。这不包括所谓的“会员”,他们从其中一些威胁参与者购买勒索新天地棋牌即服务(RaaS)产品。

以下是主要勒索新天地棋牌恶意新天地棋牌和组的列表,这些恶意新天地棋牌和组是根据其影响或创新功能选择的。它不是(也并非打算是)详尽列表。而且,尽管其中一些勒索新天地棋牌组不再活跃,但这并不能保证它们在某天不会再变大变坏,这是经常发生的情况。

塞伯 

历史: 塞伯 是一个RaaS平台,该平台于2016年首次出现,当年7月为攻击者带来了20万美元的收入。

怎么运行的: Cerber利用Microsoft漏洞来感染网络。它的功能类似于其他勒索新天地棋牌威胁。它使用AES-256算法对文件进行加密,并针对多种文件类型,包括文档,图片,音频文件,视频,档案和备份。即使它们未映射到计算机中的驱动器号,它也可以扫描并加密可用的网络共享。然后,Cerber将三个文件放到受害者的桌面上,其中包含赎金要求以及如何付款的说明。

目标受害者: 作为RaaS平台,Cerber对任何人都是威胁。

归因: Cerber的创建者在一个私人俄语论坛上出售了该平台。

康蒂

历史: 康蒂 RaaS平台于2020年5月首次出现,被认为是Ryuk勒索新天地棋牌的后继产品。截至2021年1月,Conti是 相信已感染 超过150个组织,并为其犯罪开发者及其分支机构赚取了数百万美元。自推出以来,至少发现了三个新版本。

怎么运行的: Conti团伙具有双重威胁,即隐瞒解密密钥以及出售或泄漏受害者的敏感数据。实际上,它经营着一个名为Conti News的网站,该网站列出了受害者并发布了被盗数据。一旦恶意新天地棋牌感染了系统,它就会花费时间横向移动以访问更敏感的系统。 Conti通过使用多线程来快速加密文件。

目标受害者: 作为RaaS行动,Conti对任何人都构成威胁,尽管2021年1月的最新一轮感染似乎针对政府组织。

归因: Conti是单个团伙的工作,其成员身份不明。

加密锁

历史: 在2013年的攻击中首次发现, 加密锁 开启了现代勒索新天地棋牌时代,并在其高峰期感染了多达500,000台Windows计算机。也称为TorrentLocker。 2014年7月,美国司法部宣布已“中和” CryptoLocker。

怎么运行的: CryptoLocker是一个 木马 在受感染的计算机上搜索要加密的文件,包括任何内部或网络连接的存储设备。通常通过 网络钓鱼 带有包含恶意链接的文件附件的电子邮件。一旦打开文件,就会激活下载程序,从而感染计算机。

目标受害者: CryptoLocker似乎没有针对任何特定实体。

归因: CryptoLocker是由犯罪团伙成员创建的,该犯罪团伙开发了银行木马Gameover Zeus。

加密墙

历史: 加密墙,也称为CryptoBit或CryptoDefense,于2014年首次出现,并在原始CryptoLocker关闭后开始流行。它经历了几次修订。

怎么运行的: 通过垃圾邮件或漏洞利用工具包分发CryptoWall。它的开发人员似乎避免使用复杂的方法,而推荐使用一种简单但有效的经典勒索新天地棋牌方法。在运行的最初六个月中,它感染了625,000台计算机。

目标受害者: 这种勒索新天地棋牌已使全球数以万计的各种类型的组织受害,但避开了讲俄语的国家。

归因: CryptoWall开发人员很可能是在讲俄语的国家/地区经营的犯罪团伙。 CryptoWall 3.0会检测它是否在白俄罗斯,乌克兰,俄罗斯,哈萨克斯坦,亚美尼亚或塞尔维亚的计算机上运行,​​然后自行卸载。

CTB储物柜

历史: CTB-Locker于2014年首次报道,是另一种以高感染率闻名的RaaS产品。 2016年,针对CTB-Locker的Web服务器发布了新版本。

怎么运行的: 关联企业每月向CTB-Locker开发人员支付费用,以访问托管的勒索新天地棋牌代码。勒索新天地棋牌使用椭圆曲线密码术来加密数据。也是 以多语言能力而闻名,这增加了潜在受害者的全球数量。

目标受害者: 鉴于其RaaS模式,CTB-Locker对任何组织都是一个威胁,但西欧,北美和澳大利亚的1级国家/地区通常是攻击目标,尤其是如果已知它们过去曾支付赎金的话。

多普尔付款人

历史: DoppelPaymer于2019年6月首次出现,目前仍在活跃和危险中。美国联邦调查局的网络部门 发出警告 大约是2020年12月。2020年9月,它被用于第一个勒索新天地棋牌,该勒索新天地棋牌导致受害德国医院被迫将患者送往另一家医院而导致死亡。

怎么运行的: DoppelPaymer背后的帮派使用不寻常的策略,即使用欺骗性的美国电话号码给受害者打电话,要求赎金付款,通常约50比特币,或首次出现时约60万美元。他们声称自己来自朝鲜,并造成了泄露或出售被盗数据的双重威胁。在某些情况下,他们通过威胁受害公司的员工而采取了进一步措施。

多普尔付款人似乎是基于BitPaymer勒索新天地棋牌的,尽管它有一些关键区别,例如使用线程文件加密来提高加密率。与BitPaymer不同的是,DoppelPaymer使用一个名为Process Hacker的工具来终止安全性,电子邮件服务器,备份和数据库进程以及服务,以削弱防御能力并避免破坏加密过程。

目标受害者: DoppelPaymer瞄准医疗保健,紧急服务和教育等关键行业。

归因: 尚不清楚,但一些报告表明,DppexPaymer是Dridex木马背后的一个分支,即TA505。

白鹭

历史: 白鹭 出现在2020年9月,并且发展迅速。它的名字来自神秘世界 被定义为 “一群人的集体能量,尤其是在实现共同目标时。”

怎么运行的: Egregor遵循“双重勒索”趋势,既加密数据又威胁如果不支付赎金就泄露敏感信息。它的代码库相对复杂,并且能够通过使用混淆和反分析技术来避免检测。 

目标受害者: 截至11月下旬,Egregor破坏了全球19个行业的至少71个组织。

归因: Egregor的崛起恰逢Maze勒索新天地棋牌团伙关闭其业务。迷宫小组的分支机构似乎已经转移到了Egregor。它是Sekhmet勒索新天地棋牌系列的变体,并且 已关联的 Qakbot恶意新天地棋牌。

凤凰

历史: FONIX是RaaS产品,于2020年7月首次发现。它很快经历了许多代码修订,但 突然关机2021年年1月,FONIX帮派释放了其主解密密钥。

怎么运行的: FONIX帮派在网络犯罪论坛和黑暗网络上宣传了其服务。 FONIX的购买者将向该团伙发送电子邮件地址和密码。然后,该团伙将定制的勒索新天地棋牌有效载荷发送给买方。 FONIX团伙从支付的所有赎金中扣除25%。

目标受害者: 由于FONIX是RAAS,因此任何人都可能成为受害者。

归因: 一个未知的网络犯罪团伙

甘达蟹 

历史: 甘达蟹 可能是有史以来最赚钱的RaaS。截至2019年7月,其开发商要求赔偿的受害者款项超过20亿美元。GandCrab于2018年1月首次被发现。

怎么运行的: 甘达蟹是针对网络犯罪分子的联盟勒索新天地棋牌程序,他们向开发人员支付他们收取的部分勒索费用。该恶意新天地棋牌通常是通过网络钓鱼电子邮件发送的恶意Microsoft Office文档传递的。 GandCrab的变体利用了诸如 Atlassian的融合。在这种情况下,攻击者会利用该漏洞注入恶意模板,从而启用远程代码执行。

目标受害者:尽管GandCrab旨在避免使用俄语的地区的系统,但它已感染了全球多个行业的系统。

归因: GandCrab已经 与俄罗斯国民Igor Prokopenko绑在一起.

黄金眼

历史: 出现在2016年 黄金眼 似乎是基于 佩蒂亚 ransomware.

怎么运行的: 最初,GoldenEye通过针对人力资源部门的活动进行宣传,并附有虚假的求职信和简历。一旦其有效负载感染计算机,它就会执行一个宏来加密计算机上的文件,并在每个文件的末尾添加一个随机的8个字符的扩展名。然后,勒索新天地棋牌使用自定义启动加载程序修改计算机的硬盘主启动记录。 

目标受害者: GoldenEye首先在其网络钓鱼电子邮件中针对说德语的用户。

归因: Unknown

拼图

历史: 拼图 解密工具于2016年首次出现,但研究人员在发现解密工具后不久就发布了该工具。

怎么运行的: 拼图最显着的方面是,它加密一些文件,要求赎金,然后逐步删除文件,直到支付了赎金为止。每小时删除一个文件72个小时。此时,它将删除所有剩余文件。

目标受害者: 拼图似乎没有针对任何受害者。

归因: Unknown

克·朗格

历史: 克·朗格于2016年被发现,被认为是第一个旨在攻击Mac OS X应用程序的可运行勒索新天地棋牌。

怎么运行的:KeRanger是通过合法但受到威胁的BitTorrent客户端分发的,该客户端能够逃脱检测,因为它具有有效的证书。

目标受害者: Mac users

归因: Unknown

皮柜 

历史: 皮柜于2017年首次在两个Android应用程序中被发现:Booster&清洁器和墙纸模糊高清。发现后不久,Google便从商店中删除了这些应用。

怎么运行的: 受害者下载似乎合法的应用程序。然后,该应用会请求权限,以授予执行所需的恶意新天地棋牌访问权限。它不加密文件,而是锁定设备主屏幕以防止访问数据。

目标受害者: 下载受感染应用的Android用户。

归因: 一个未知的网络犯罪集团。

储物柜

历史: LockerGoga 于2019年出现在针对工业公司的攻击中。尽管攻击者要求赎金,但LockerGoga似乎在设计上难以支付赎金。这使一些研究人员认为其意图是破坏而不是经济利益。

怎么运行的: LockerGoga使用包含恶意文档附件的网络钓鱼活动来感染系统。有效负载已使用有效证书签名,从而使它们可以绕过安全性。

目标受害者:LockerGoga受害于欧洲制造公司,其中最引人注目的是Norsk Hydro,它导致了全球IT停工。

归因: 一些研究人员 说LockerGoga可能是一个民族国家的工作。

洛基

历史: Locky最早于2016年开始传播,并使用了 类似于银行恶意新天地棋牌Dridex的攻击模式。洛克激发了包括奥西里斯(Osiris)和暗黑破坏神(Diablo6)在内的许多变种。

怎么运行的: 通常会向受害者发送一封带有Microsoft Word文档的电子邮件,据称是发票。该发票包含恶意宏。 Microsoft禁用宏 默认情况下 由于安全隐患。如果启用了宏,则文档将运行宏,该宏将下载Locky。 Dridex使用相同的技术来窃取帐户凭据。

目标受害者: 早期的Locky袭击针对的是医院,但随后的活动广泛且没有针对性。

归因: 据怀疑,由于两者之间的相似性,Locky背后的网络犯罪组织隶属于Dridex背后的一个组织。

迷宫 

历史:Maze是一个相对较新的勒索新天地棋牌组织,于2019年5月被发现。 释放被盗数据 如果受害者不支付解密费用,则向公众公开。迷宫集团于2020年9月宣布将关闭其运营。

怎么运行的: 迷宫攻击者通常使用可以通过网络钓鱼活动猜测,默认或获得的有效凭据来远程进入网络。然后,该恶意新天地棋牌使用开源工具扫描网络,以发现漏洞并了解网络。然后,它在整个网络中横向移动,以寻找更多可用于特权升级的凭据。找到域管理员凭据后,就可以访问和加密网络上的任何内容。

目标受害者: 迷宫在所有行业中都在全球范围内运作。

1 2 Page 1
第1页,共2页