最近,藏身Maze迷宫勒索病毒背后的黑客朋友们很忙。

刚袭击完美国核军事承包商后,他们又马不停蹄的对韩国LG集团下手了。

Maze迷宫勒索软件运营者(后文简称Maze组织)声称他们破坏并锁定了韩国跨国公司LG电子的网络,Maze组织在其用于公布加密数据的网站上一如既往的猖狂:

“我们想宣布,如果今天(6.27日)不与我们联系,我们将分享有关攻击LG的信息。我们从LG下载了40GB的Python源代码,我们将共享部分LG在美国研发团队的部分源代码。”

 

 

首先,我们再来认识一下Maze组织。

 

Maze勒索病毒,又称为ChaCha勒索病毒,最早于2019年5月首次发现,此勒索病毒主要使用各种漏洞利用工具包Fallout、Spelevo,通过伪装成合法加密货币交换应用程序的假冒站点进行分发传播,攻击者在对受害者设备上的数据进行加密后,将会主动告知受害者文件已被加密,需要支付赎金。

Maze组织的独到之处在于,它会运行独特的脚本检测受感染机器是家用电脑、服务器还是工作站,之后根据受害者设备价值来确认勒索的具体金额。

同时,Maze组织也是最早采用窃取数据,并将传统勒索与勒索软件相结合策略的犯罪组织。为了逼迫受害者尽快缴纳数据,Maze组织还创建了一个面向公众的网站,如果受害者拒绝交赎金,他们就会将受害者的数据全部公之于众。

迄今为止,Maze组织似乎说到做到,已经公布了包括律师事务所、医疗服务提供商、保险公司等数十家公司的详细信息。不难估算,更多的公司采用了支付赎金息事宁人的处理方式,以避免其敏感数据被公开。

臭名昭著的Maze组织

拼命为自己贴上“讲道义”的标签

 

自19年5月至今,臭名昭著的Maze组织已经持续活跃一年了,随着Maze组织名声的水涨船高,其兴风作浪的“案底”也越积越厚。

在疫情期间,Maze组织甚至还攻击了英国一家正在研发新冠病毒疫苗的医药研究公司。Maze组织窃取了部分患者记录,并向该公司索要大额的赎金。但很快,在这一攻击事件受到全世界的谴责。

反思过后的Maze组织宣布,在新冠疫情结束前,他们将停止针对全球医疗机构的攻击活动。同时,出于对新冠疫情和即将到来的全球经济危机的严峻性考虑,他们决定给所有“客户”提供折扣。

没错,黑客组织竟然也这么魔幻,一边大肆作恶,一边还想标榜良知和正义。

为了彰显自己是个有良知、讲道义的黑客组织,Maze在自己的网站上恬不知耻的写下了他们的企业愿景:维护世界和平。

 

30天内发起7次大规模攻击活动

Maze组织真的很忙

 

进入6月份以后,随着疫情的好转,Maze组织似乎更加活跃,各种攻击活动也多了起来。

l  6月4日,Maze组织攻击了一个美国的核军事承包商,对该承包商部分文件数据进行了加密和泄露数据;

l  6月6日,Maze组织声称已经成功攻击了商业服务巨头Conduent,他们窃取了其网络上未加密的文件并攻破加密设备;

l  6月9日,Maze组织攻击了亚洲最大的国防和工程集团之一的ST Engineering,对其美国航空航天子公司VT San AntonioAerospace(VT SAA)系统成功加密;

l  6月17日,半导体制造商MaxLinear证实被Maze 勒索软件团伙击中,并泄露了一些“专有信息”,和用户的个人信息;

l  6月22日,Maze组织攻击了泰国某省电力管理局,并在暗网上发布了该公司的部分数据以索要赎金;

l  6月23日,美国的硬件公司MaxLinear受到了Maze组织的攻击。6月15日,Maze组织释放了据称他们窃取的1TB数据中的10.3GB数据,该组织在发布包括会计和财务信息的数据后不久对MaxLinear的系统进行了加密;

l  …

遍数Maze组织的全部“杰作”,似乎全球所有行业都曾经受到来自它的攻击,其攻击目标也没有明确的指向性。但McAfee实验室的研究员发现,Maze组织与许多当下著名的勒索病毒有一个“通病”,他们会对中招设备语言环境进行分析检测,然后会友好的放过俄罗斯联邦语系的设备,面对勒索病毒,俄罗斯联邦国家似乎生来就具备近乎无敌的免疫力。

(McAfee实验室发现Maze会绕过俄罗斯语系设备

毫无疑问,Maze组织似乎对自己的俄罗斯联邦出身丝毫不加掩饰。

不交赎金就撕票

开创勒索病毒“绑票”新玩法

 

众所周知,过去勒索病毒攻击主要以破坏数据,勒索受害者为主,通过交赎金的方式获取暴利。

Maze组织却则真正学到了现实生活中绑架勒索的精髓, Maze组织会先利用恶意软件盗取数据,然后再使用勒索病毒对获取的数据进行复杂加密,如果受害者不在指定的期限内缴纳赎金,Maze组织就会选择撕票——直接将盗取数据公之于众。

除了交钱保平安外,受害者似乎并没有其他退路。

大鱼小鱼一起抓

判断电脑类型“见人下菜碟”

过去的勒索病毒,一般都是“广撒网,多敛鱼,择优而从之”。

而Maze勒索病毒的过人之处在于,它坚决贯彻“大鱼要抓,小鱼也不能放”的原则,走出了一条精细耕作的野路子。

Maze组织会通过脚本检测受感染的设备是家用电脑、服务器还是工作站,对不同设备索要赎金开价不同,通过这样的形式大大提高了单笔勒索收益。这样既保证了个人用户有能力和意愿破财消灾支付赎金,也确保在遇到企业级的“大客户”时,能够饱餐一顿。个别大型政企机构在遭受到加密攻击后,甚至被开出了高达数百万美元的价格。

 

(被Maze勒索病毒加密的计算机桌面)

  丧心病狂与其他勒索病毒相勾结

Maze组织狼狈为奸的1+X商业版图

 

上文中我们曾经提到,为了逼迫受害者尽快缴纳数据,Maze组织创建了一个用于公布数据的网站。6月份以来,Maze似乎正在利用这个面向公众的网站,大肆扩张自己的商业版图。

6月5日,一家国际建筑公司的信息和文件被发布到Maze的数据披露网站上。但是,这些数据却并非在Maze勒索软件攻击中被盗,而是来自另一个名为LockBit的勒索软件攻击。之后Maze组织公开表示他们正在与LockBit合作,允许该组织在Maze的“新闻网站”上共享受害者数据。

紧接着不久,Maze组织再次添加了另一个竞争的勒索软件组织Ragnar Locker的受害者数据,Maze网站上的帖子引用的是“Maze联盟—由Ragnar提供”。

诸多证据表明, Maze组织正在将各路“散兵游勇”拉上自己的战车,以合作资源共享的方式酝酿更大的阴谋。

 

尽管传统的勒索软件攻击已经让受害者饱受摧残,但起码受害者还能够从数据备份中恢复所有的重要文件。但显然,Maze组织创造的新模式更加恶毒。

半年以来,包括Clop、Nemty、Nefilim、Ragnarlocker、Sekhmet、Snatch、DopplelPaymer、Sodinokibi等在内的多个勒索病毒组织已经开始效仿Maze组织先利用恶意软件盗取企业的数据,再投放勒索病毒进行加密勒索的做法。

另一个不得不面对的现实问题是,Maze开创的勒索攻击模式,极大的模糊了勒索软件加密勒索赎金与企业数据泄露之间的界限。就算企业有心准备了周密的备份数据,但根本无力阻止黑客威胁公开数据的行径,只能捏着鼻子认缴赎金。但就算真的如期割肉缴纳了赎金,也还是无法保证黑客组织不会将已获得的数据以其他形式泄露出去。毕竟谁也不能指望一个黑客组织坚守原则和诚信。

那怎么办呢?想来之后还会不断有新生的,老牌的黑客组织嗅到勒索病毒的商机而加入进来,采用的攻击手法和技术也会更加高明。或许我们只有及时更新杀毒软件和漏洞补丁,才能为躲避那些飞来横祸创造一线生机吧。

高财商的Maze迷宫勒索病毒组织,才出道一年就赚的盆满钵满相关推荐

  1. 螣龙安科:迷宫勒索病毒——勒索受害者一年并且人数仍在增长

    自迷宫勒索软件帮派开始臭名昭著以来已经一年了.之前被称为" ChaCha勒索软件"(取自该恶意软件用于加密文件的流密码的名称),Maze"品牌"于2019年5月 ...

  2. 螣龙安科:“迷宫”勒索病毒——究竟何时才能走出?

    尽管这种勒索软件已经存在了十二个月以上,但是在使用了加密算法之后,它最初被简称为ChaCha. 但是,从2019年5月起,其背后的犯罪分子采用了"迷宫"这个名称,甚至提出了自己的视 ...

  3. 美创安全实验室|2020年9月勒索病毒报告

    本月,美创安全实验室威胁平台监测到多起勒索病毒攻击事件,发现勒索病毒的活跃情况呈上升趋势,常年霸榜的Phobos.Globelmposter.Dharma三大勒索病毒家族为2020年9月勒索病毒&qu ...

  4. 加强防护,近期勒索病毒有点疯狂!

    愈演愈烈的勒索病毒攻击 2021年5月7日,美国最大的成品油管道运营商在本月受到重大网络攻击.公司被迫一度关闭整个能源供应网络,极大影响美国东海岸燃油等能源供应.公司在当日缴纳了500万美元赎金. 紧 ...

  5. 数字世界,企业何以抵御勒索病毒?

    就在几年以前,很多传统企业对数字化还持有怀疑态度.而现在,随着数智化浪潮对各行各业的改变愈发明显,传统企业已经充分认识到数智化的重要性. 很多企业家认为,数智化是企业发展的机遇.但其实,数智化不止是企 ...

  6. 新型Black Matter勒索病毒,勒索300万美金

    专注于全球恶意软件的分析与研究 BlackMatter勒索病毒是一款基于RAAS模式的新型勒索病毒,该勒索病毒组织成立于2021年7月,该勒索病毒黑客组织对外宣称,已经整合了DarkSide.REvi ...

  7. 黄一老师:你的财商思维能让你的资金创造流动收益吗?

    财商:英文缩写为FQ(Financial Quotient),财商我们可以理解为和金钱打交道的能力,有的人一生都在为钱而工作,成为了钱的奴隶;有的人却在用自己的高财商驾驭着金钱而工作.想要提升财商的能 ...

  8. 预警!VMware ESXi服务器遭大规模勒索攻击,已有数千系统中招!科力锐提供勒索病毒拦截应急恢复体系化解决方案

    新型勒索病毒"ESXiArgs"横空出世 专门针对VMware ESXi服务器进行勒索攻击 全球已有近三千多业务系统中招 人心惶惶如何防? 且看科力锐勒索病毒拦截&应急恢复 ...

  9. 责怪用户、NSA、盗版、朝鲜?Wannacry勒索病毒这锅还得微软背

    勒索病毒爆发前微软早就开发了WindowsXP补丁但秘而不宣 上周五,在震惊全球的Wannacry勒索蠕虫病毒爆发当天(香菇病毒),微软第一时间就发布了导致病毒大面积肆虐MS17-010漏洞的Wind ...

最新文章

  1. pandas使用query函数基于判断条件获得dataframe中满足条件的数据行(row)的索引列表(index of rows matching conditions in dataframe)
  2. linux script录屏文件夹,linux下录屏和回放工具script和scriptreplay
  3. C++关键字速查手册
  4. linux里怎样压缩文件,如何在Linux中解压缩文件
  5. vue2.x vant2.x H5 移动端脚手架
  6. html中实现回车或点击进入-----Mr.Zhang
  7. Spring : Spring 深入理解lombok
  8. 安装nginx报错:the HTTP gzip module requires the zlib library
  9. 【LeetCode】【字符串】题号:*165. 比较版本号
  10. 我的世界Java版最大村庄_《我的世界》MC中最大的村庄种子,PC和PE都可以用
  11. 关于结构光问题的总结
  12. 写给三维建模入门小白的建议
  13. 非此即彼的逻辑错误_GMAT高分范文100篇(非此即彼逻辑错误)【圣才出品】
  14. 简易计算器,你值得拥有
  15. [从头读历史] 第281节 始制文字 世界上的语系及语言
  16. HDU-6555-The Fool(整除分块)
  17. 1.2 半导体二极管
  18. addEventListener的常用事件
  19. fMRI学习笔记:预处理及数据分析(使用spm12)
  20. 文件在回收站被清空要怎么恢复回来?

热门文章

  1. VMware workstation server无法启动
  2. 史帝奇文旅轨道影院案例——“三亚”穿越天涯海角美人鱼岛
  3. Android屏幕刷新机制
  4. iOS APP在前台收到push,弹出系统框
  5. Excel技巧—开始菜单之格式刷六大功能
  6. 第四天 魔小灯(蓝牙智能灯)1
  7. 制做网页播放器代码全集
  8. 小米5android7.0,小米5手机安卓7.0系统体验:快到起飞!
  9. 蓝桥杯——x星球甲壳虫车队进检查站
  10. 获取文件的contentType