此博客文章是与威胁情报团队成员合作编写的。

上周,美国新闻机构NBC新闻(NBC news)发表的一篇文章引起了轰动,文章称,最近Kaseya大规模供应链攻击中使用的REvil勒索软件是“写得避免使用俄语的计算机.”

攻击,其中之一最大和最引人注目的历史上的赎金软件攻击发生在拜登政府在俄罗斯网络活动上升的瑞典权的时期发生。对于未实施的,和NBC标题作家,它看起来像“新启示”。邀请读者加入地缘政治点。

但它引起的轰动,至少在那些熟悉勒索软件的人当中,并不奇怪REvil的编码是避开俄罗斯的,但奇怪的是有人会对此感到惊讶。TrustWave的作者报告这篇文章依据,肯定没有惊讶罗维尔不想在俄罗斯跑。他们几乎没有提到。

当使用暗边勒斯马厂踢了大黄巢的威胁演员时,勒索瓶真的抓住了世界上的注意力通过攻击殖民地管道是美国最大的燃料管道。但随着许多读者会知道,在过去几年中,赎金软件攻击一直在不懈,每年升级。即使是全球大流行病并没有妨碍赎金瓶帮派的活动,刚刚今年的目标已经包括无数私营公司,以及医院,执法机构,政府,慈善机构和关键基础设施。

有多个组织在创造和开发不同类型的勒索软件,还有更多的分支机构被诱使使用它进行自己的攻击。尽管他们的攻击遵循类似的模式,但工具、战术和技术都在不断创新。虽然有些群体是合作,或多或少有些人单独工作。

然而,他们所有人都有一个共同点:勒索沃特真的,真的不希望在俄罗斯或独联体(CIS)成员国竞选,而且从来没有。

俄罗斯 - 厌恶的勒索瓶家庭

独立国家联合体(简称独联体或独联体)Sodruzhestvo Nezavisimykh Gosudarstv.在俄语),是一个由俄罗斯和其他曾经成为苏联的成员组成的国际组织。亚美尼亚,阿塞拜疆,白俄罗斯,哈萨克斯坦,吉尔吉斯斯坦,摩尔多瓦,俄罗斯,塔吉克斯坦和乌兹别克斯坦是CIS的会员国。虽然他们不被认为是官方成员,但允许两名成立国家,乌克兰和土库曼斯坦参加了CIS。

必威平台APPMalwarebytes研究人员根据2021年上半年的已知攻击数编制了最多产的赎金瓶系列的名单(这不包括7月的级联Kaseya攻击)以及是否将在CIS中运行该ransomware。他们都没有。除非它发生在CIS,否则几乎任何东西都是赎金瓶帮派的公平游戏。

Ransomware家庭 2021年已知的攻击† 目前活跃? 在CIS中运行?
CONTI(215) 215. 是的
Avaddon (161) 161
REvil (116) 116
暗侧(75) 75.
Pysa(68) 68. 是的
DOPPELPAYMER(60) 60. 是的
CL0P(44) 44 是的
Babuk Locker(43) 43 是的
Ragnarlocker(30) 30. 是的
NetWalker (22) 22 是的
Nefilim(17) 17 是的
RansomEXX (14) 14 是的
安装储物柜(8) 8 是的
†已知的攻击是开源数据黑暗的示踪剂这反映了在2021年上半年遭到袭击但没有支付赎金的受害者人数。这还不包括最近的Kaseya供应链袭击事件。实际的攻击数量肯定更高。

在表中列出的13个勒索软件系列中,已知10个是活动的。Avaddon阴暗面似乎已被执法机构扰乱。CL0P洗钱操作是袭击6月,但涉及赎金软件的攻击仍在继续。最近Babuk装载机后面的小组宣布正在戒烟勒索软件的加密场景,但它的勒索软件建设者后来出现在恶毒乐身上,用它构建的勒索软件后来被用于攻击。在Kaseya遭到大规模攻击后,REvil勒索软件集团的网站和基础设施已被关闭。尽管猜测甚嚣尘上,但原因尚不清楚。

勒索软件如何避开独联体国家

勒索软件创建者通常使用许多技术,包括在其代码中以避免CIS国家,例如硬编码国家名称和地理领域以及检查系统语言。

样本硬编码国家检查代码从Nefilin Ransomware获取。(信用:Malwa必威平台APPrebytes)

一些威胁参与者包括代码来检查默认系统语言,例如,调用GetUserDefaultLangID要么getlocaleinfow例如,返回用户英语英语的语言。另一个检查过程通过公共API检索受害者的IP地址,例如api.ipify.org..因为IP地址是在地理上分配的,所以它们可用于猜测用户的粗略位置。

尽管勒索软件非常努力地不在俄罗斯或独联体运行,但有时还是会运行。当勒索软件意外地侵入这些国家的系统时,已知攻击者会交出解密密钥并为错误道歉。

在找出公司在亚美尼亚办事处的办事处后,Avaddon Ransomware联系人与受害者公司之间的谈话,这是他们的一个禁止区。(来源:lemagit.

在罕见的情况下,威胁演员还选择避免基于他们所在的国家的其他目标。着名,叙利亚父亲走到推特为了恳求覆盖娃娃在他和Gandcrab赎金软件运营商之间调解,让他再次看到他的男孩。在地下论坛帖子中,GandCrab威胁角色决定发布解密密钥对任何受叙利亚袭击影响的人他们还表示,不把叙利亚列入要避免的国家名单是一个错误。然而,他们的善心是断断续续的,叙利亚以外的目标,包括医院,仍然被认为是公平的目标。

为什么勒索软件避开俄罗斯?

那么,勒索软件为何如此热衷于避免在独联体内部受到攻击呢?虽然有可能一些勒索软件团伙在俄罗斯政府的积极合作下运作,但这并不是主流观点。

拜登政府和许多安全专业人士认为,勒索瓶帮派要么运作与俄罗斯的祝福或者这个国家正在失明。如果他们避免攻击其组织,Ransomware帮派不希望面临任何惩罚。既然俄罗斯与美国没有引渡条约,那么经营的帮派也无法被美国执法无法协助的。

简而言之,如果你避免独联体,赎金软件的风险很低,奖励形式的网络犯罪。

情绪音乐正在发生变化,并且正在努力增加犯罪分子面临的风险。即使在4月份的殖民地管道袭击之前,美国政府官员和网络安全专家都开始谈论勒瑞斯沃版作为国家安全的威胁

“这些恶意活动的幕后黑手应该为自己的行为负责。这包括那些没有充分利用职权制止罪犯的政府,”国土安全部长亚历杭德罗·马约卡斯在3月31日的一次演讲中说。

这种情绪也被赎金软件特遣部队(RTF)回应,一组专家志愿者任务解决了赎金软件问题并找到了破坏它的方法。在它4月份报告, RTF敦促美国政府带头开展国际协调努力,以解决全球勒索软件问题。在一系列的建议中,它还建议将勒索软件视为对国家安全的威胁《敲诈勒索和腐败组织法以否则称为RICO ACT,扩展到包括勒索瓶帮派。

在若干场合,拜登政府表示打算在赎金瓶帮派之后积极地去。这包括治疗,调查和起诉勒索软件攻击就像恐怖主义一样.军方的介入也在仔细考虑之中,商务部长吉娜·雷蒙多表示.与此同时,北约金斯特尔滕贝格总书记告诉BBC新闻中心,该组织可以通过军事力“通过空运,海或土地”回应网络内人。

不要购买俄罗斯键盘

无论勒索软件——或任何恶意软件——是否会检查其受害者是否在独联体或独联体附属国家,值得记住的是,它们所使用的“大游戏”攻击不是自动的。一定程度上的人类参与是作案手法的一部分。

所以,在你考虑购买俄语键盘之前,安装俄语语言包或其他奇怪的技巧当一个勒索软件运营商把自己置于攻击你的位置时,他们已经了解你和你的业务,比如你的主要总部和卫星办公室在哪里。在任何情况下,试图说服他们不这样做都有点荒谬、不切实际,而且是白费力气。

也许Emsisoft首席技术官Fabian Woser说得最好:

我们的建议:避免奇怪的技巧。没有替代品深度防御策略