另一种勒索软件现在正在加密之前窃取数据
齐柏林飞艇(Zeppelin)勒索软件团伙已经加入了勒索软件毒种的行列,这些毒种还将在加密文件之前收集和窃取受害者的数据。
齐柏林飞艇加入了迷宫,REvil (Sodinokibi),抓举,和现在不存在的圣诞快乐勒索软件。
网络安全公司Morphisec在调查齐柏林飞艇的一名房地产行业受害者并为其提供事件响应服务时发现,在加密过程之前,齐柏林飞艇还会窃取受害者的数据。
Morphisec首席技术官迈克尔•戈里利克(Michael Gorelik)昨日在接受采访时表示:“在这起案件中,我们有一个威胁执行者,使用与Wipro事件类似的技术——锁定服务器、停止所有数据库进程、复制备份,然后部署勒索软件,所有这些都使用合法的IT远程工具。”
Gorelik告诉ZDNet,他的公司发现了一个服务器的链接,在这个服务器上,骗子正在发送被盗的数据库备份,“这是一个可能表明某些公司存在重大数据泄露的数据源”。
Morphisec公司的首席技术官表示,他们已经联系了有关部门,以了解数据泄露和数据过滤服务器的情况。
Morphisec公司关于这一特殊入侵行为的深入报道可以在该公司的博客上找到。这份报告和它的发现与Cylance公司上周发布的一份报告一致,该报告首次记录了齐柏林飞艇(Zeppelin)勒索软件,但没有记录数据盗窃。
这是因为数据盗窃发生在执行实际的勒索程序二进制加密数据之前。这是勒索软件领域近期趋势的一部分。
这种策略通常被称为“大型狩猎勒索软件”。这个术语指的是勒索软件团伙,他们放弃了以家庭用户为目标的做法,现在盯上了大型企业。
这些团伙破坏了一家公司的基础设施,通过网络横向移动,以获得尽可能多的电脑,然后运行他们的勒索软件来加密数据,并索要过高的赎金。
有大量的勒索软件被用于“大型狩猎”入侵。然而,在过去的一个月里,策略发生了转变。
随着各公司逐渐采取可靠的备份策略,它们也开始无视赎金要求,从零开始重建网络,而不是支付赎金。
为了适应这种趋势,一些勒索软件团伙正在从受感染的网络中窃取数据。
数据盗窃的证据和使用数据盗窃恶意软件的证据已经在迷宫、REvil和抓取勒索软件的感染中被观察到,现在是齐柏林飞艇。
据信,被盗的数据是用来向受害公司施压,迫使它们支付费用,而不是从备份中恢复数据。
然而,在过去几周,另一种趋势正在形成,一些勒索软件团伙威胁受害者,如果他们不这样做,就会在公共互联网上泄露数据。
迷宫勒索软件团伙目前正在使用这种“要么付费,要么泄露你的数据”的方法。他们最近在公共互联网上创建了一个网站,列出了所有没有付费的受害公司,并开始泄露他们的一些数据。
REvil勒索软件的操作人员也对采用类似的方法表示了兴趣,尽管到目前为止还没有公开的记录。
目前,人们只看到齐柏林飞艇团伙窃取受害者的数据,而没有看到他们在未得到报酬的情况下勒索要求泄露数据。虽然,随着勒索软件的发展,这种情况在未来可能会改变,因为越来越多的威胁行为者采用这种策略。