“阎罗王”勒索再现！思科中招过程披露-安全客

8月10日，思科公司证实，“阎罗王（yanluowang）”勒索软件团伙在5月底攻破其公司网络，并试图以在网上公开被盗文件为威胁来敲诈他们。此前，该团伙还声称入侵了美国零售商沃尔玛的系统，但沃尔玛否认发生了勒索攻击。

攻击过程分析：窃取员工凭证入侵思科网络

在此次事件中，阎罗王勒索团伙劫持了一名员工的个人谷歌账户，其中包含从其谷歌浏览器同步的凭证，之后利用该员工的凭证进入了思科网络。

首先，攻击团伙冒充可信的支持机构，对思科员工进行了一系列复杂的语音钓鱼攻击，加之员工产生MFA疲劳，从而导致某员工接受了一条MFA认证通知，从而让攻击者获得了VPN访问权。

攻击团伙在思科的企业网络中取得了立足点之后，就开始横向移动到Citrix服务器和域控器。思科Talos表示，攻击者进入了Citrix环境，攻陷了一系列Citrix服务器，最终获得了对域控器的特权访问。在获得域管理权后，攻击者使用ntdsutil、adfind和secretsdump等枚举工具收集了更多信息，并在被攻击的系统上安装了一系列有效载荷，包括一个后门。最终，思科发现了攻击者并将他们驱逐出其环境，但在接下来的几周里，攻击者继续尝试重新进行访问，但并没有成功。

勒索软件攻击特点分析

近年来，勒索软件攻击居高不下。在此类攻击中，攻击者通常会加密企业数据并要求付款才能恢复访问权限。在某些情况下，攻击者还可能窃取组织的信息并要求支付额外费用，以换取不向当局、竞争对手或公众披露信息。在思科事件中，阎罗王团伙就以在网络上公开信息为威胁进行敲诈。

2021 年，从经济影响和感染量两个维度来看，我们看到 Conti 和 REvil 威胁行为者主导了勒索软件市场。它们甚至都提供了各自的勒索软件即服务 (RaaS) 平台，攻击者可以通过平台来发起攻击。鉴于RaaS 类型业务模型的快速增长，这就很难将某些事件归因为某个攻击者。对于勒索软件攻击，其发展主要呈现出以下五大趋势：

>>勒索软件组织针对基础设施发起攻击

虽然针对基础设施的勒索软件攻击并不是什么新鲜事，但这类攻击在 2021 年显著增加。

在这一年中，几乎日常生活的方方面面都受到勒索软件的威胁，例如医院、警局、自来水厂、燃料管道、食品生产商和学校。遇到这类攻击，企业不只是需要支付巨额的赎金，更会面临新闻报道和政府审查，让企业不仅面临经济损失，更是声誉受损。两个勒索软件组织DarkSide 和 REvil在攻击成功后躲藏起来，但后来，DarkSide 从 Colonial Pipeline 收集的大部分赎金被司法部没收，REvil 也于 2022 年初被捕。

Colonial Pipeline勒索事件：2021年5月，网络犯罪组织 Darkside 通过发布在暗网上的泄露密码进入了美国最大的燃料管道 Colonial Pipeline。攻击除了导致近 100 GB 的数据泄露外，还导致该公司在调查期间发生了六天业务中断，导致燃料短缺、人民恐慌。据报道，虽然 Colonial Pipeline支付了赎金以避免数据泄露，但该勒索组织的收益并不长久。袭击引起国际关注后，DarkSide 为“给社会制造了问题”道歉，并且，据报道，该组织很快就解散了。
JBS Foods：世界上最大的肉类生产商JBS Foods受到了网络犯罪组织 REvil 的勒索攻击。因为这次攻击事件，JBS Foods暂时关闭其在美国的牛肉工厂，导致了加拿大的一家工厂中止正常运营，并导致其澳大利亚肉类加工厂的停工。虽然JBS Foods声称其数据没有被泄露，但该公司在 6 月承认已支付 1100 万美元的赎金，并将面临长期停工的艰难局面。
New Cooperative：2021年9 月，勒索软件组织 BlackMatter 获得了对 NEW Cooperative 网络的访问权限。据报道，该网络犯罪集团窃取了 1 TB 的数据，并威胁说如果不支付 590 万美元的赎金就公布数据。与此同时，该公司无法访问用于接收谷物运输、运送饲料和保持数百万鸡、猪和牛的喂养计划正常进行的网络。

>>RDP和钓鱼依旧是最常见的攻击向量

在过去几年中，通过 RDP 进行初步攻击一直是主要的攻击向量。然而，自 2021 年以来，我们看到这种攻击向量正在下降。相比之下，通过钓鱼攻击有所增加。我们将这两种攻击向量视为获得初始立足点的最常用方式，而且这两个攻击向量也是攻击者最便宜且最有利可图的方法。在这次针对思科的攻击中，阎罗王团伙冒充可信的支持机构，对思科员工进行了一系列复杂的语音钓鱼攻击，从而获得了VPN访问权。

通过 RDP 进行攻击主要是通过暴力破解凭据来实现的。这种方法的优点是攻击者使用合法凭据进入网络，从而不容易被关注到。尽管安全成熟度较高的组织会监控此类活动，但大多数中小型企业不会。

>>利润最大化：从双重勒索到多重勒索的转变

双重勒索是勒索软件攻击中的一个常见话题。勒索攻击通常首先会将受害者网络和系统上文件进行加密，然后会将文件和数据渗出，将其托管并扣押在勒索软件组织拥有的转储站点上。在谈判过程中，文件通常处于锁定状态。一些 RaaS 平台还具有计时器功能，指示受害者还剩下多少时间来支付赎金。

近年来，我们看到利润最大化的一个变化是出现了多重勒索计划。最初，攻击者从组织窃取和加密敏感数据，威胁受害者付款，否则就要公开发布这些数据。现在，攻击者现在还针对组织的客户和/或合作伙伴索要赎金。2021 年 4 月，REvil 以笔记本制造商 Quanta Computer 为目标发起攻击。当公司拒绝支付任何赎金时，攻击者将注意力转向苹果，并威胁要公布他们在最初攻击中窃取的蓝图。后来攻击者放弃了针对 Apple 的勒索，Apple 也没有正式对此事件发表评论。Clop 勒索软件团伙在 2021 年 5 月使用了相同的策略。在锁定 RaceTrac Petroleum 并威胁要发布公司的文件后，该组织更是直接联系他们的客户和合作伙伴并威胁要发布他们的文件。请注意，一些研究将 DDoS 的使用描述为第三重攻击向量，然后将向受害者客户索要赎金作为第四重勒索。但是，DDoS 攻击仅用于增加压力，而不会增加实际的赎金或敲诈过程。

>>勒索软件即服务（RaaS）商业模式发展壮大

在攻击中使用勒索软件即服务 (RaaS) 平台已成为常态。这种类型的服务为其他威胁行为者、攻击组织和个人提供了一个平台，并且实行的是联属营销模式。RaaS平台涵盖了勒索软件攻击所需的所有功能，从文件加密和存储到支付。

RaaS提供商会从受害者收取的赎金中抽成，而联号则控制着赏金和与受害者的通信。RaaS平台可以在受感染目标上轻松部署所需的所有工具，并且这些工具还在不断开发中。就像一个健康的企业一样，RaaS 平台不断适应新的环境变化，以便不被终端和网络安全工具检测到。RaaS 让任何攻击者都可以进行勒索软件攻击，即使他们缺乏技术知识。

>>招募企业内鬼

更复杂的勒索软件攻击即将出现的趋势是积极招募员工在勒索软件活动期间提供协助。据悉，一名俄罗斯国民因锁定和招募特斯拉员工协助勒索而被定罪。该员工需要在其公司的计算机系统上执行恶意软件，从而从公司网络中窃取数据。然后，他威胁要在网上披露这些数据，除非该公司支付赎金要求。安装恶意软件后，该员工将获得 1,000,000 美元的比特币。Lockbit 也承诺在其内部人员招聘计划中获得“数百万”的收益。

有关勒索软件攻击的更多信息，请查看完整版《2022网络威胁形势研究报告》。

总结与建议

勒索软件事件会严重影响业务流程，并让组织无法获得运营和交付关键任务服务所需的数据。事实证明，勒索软件会给带来重大的经济损失和声誉损害。从最初遭到入侵到最终恢复正常运行，对企业来说存在很大的挑战性。在此次思科遭受的勒索软件攻击中，虽然没有给企业造成重大影响，但也再次为我们敲响了警钟。对此，建议组织采用下面这些做法来避免遭受勒索攻击。